Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :

• avec le consentement des personnes concernées;
• lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
• pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
• lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
• protéger les intérêts vitaux d’un individu;
• pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.

En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.

Plus d’informations :

• Traiter les données personnelles de manière licite

Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.

Plus d’informations :

• Le délégué à la protection des données

La première étape de l’installation de vidéosurveillance est d’identifier le ou les finalités poursuivies. Ces derniers peuvent être variés : sécurité des locaux, aide à la prévention et à la détection du vol et d’autres délits, ou protection de la vie et de la santé des employés, en raison de la nature du travail.

Comme pour tout traitement de données personnelles, l’enregistrement des personnes doit avoir une base légale en vertu du RGPD. Le consentement peut fournir une base légale pour ce traitement de données. Cependant, il est peu probable que cela s’applique à l’utilisation de vidéosurveillance dans la plupart des cas, car il sera difficile d’obtenir un consentement libre de toutes les personnes susceptibles d’être enregistrées. La base légale la plus commune pour ce type de traitement des données  personnelles est l’intérêt légitime. Lorsque le traitement est fondé sur un intérêt légitime, vous devrez effectuer un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits de la personne.

Vous devrez informer les personnes qu’elles sont enregistrées. Cela peut être fait en plaçant des panneaux faciles à lire dans des endroits importants. En outre, un panneau indiquant l’objectif du système de vidéosurveillance ainsi que l’identité et les coordonnées du responsable du traitement des données devrait être placé à toutes les entrées.

Les personnes dont les images sont enregistrées par un système de vidéosurveillance devraient recevoir les renseignements suivants :

• l’identité et les coordonnées du responsable du traitement ;
• les finalités du traitement ;
• la base légale du traitement (s’il s’agit de l’intérêt légitime, les informations spécifiques sur les intérêts légitimes qui se rapportent spécifiquement à ce traitement, et sur l’entité qui poursuit chaque intérêt légitime.) ;
• les coordonnées du délégué à la protection des données (DPD), s’il y en a un ;
• les destinataires, ou catégories de destinataires, des données;
• les mesures de sécurité pour les séquences enregistrées ;
• la durée de conservation des images de vidéosurveillance ;
• l’existence de droits individuels en vertu du RGPD et le droit d’introduire une réclamation auprès de l’autorité nationale de protection des données.

Plus d’informations :

• Traiter les données personnelles de manière licite
• Respecter les droits des personnes
   

Le respect du RGPD est contrôlé par les autorités nationales de protection des données. Les autorités de protection des données peuvent mener des enquêtes et imposer des sanctions si nécessaire. Ces autorités disposent d’un certain nombre d’outils, dont des amendes allant jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), des rappels à l’ordre et des interdictions de traitement temporaires ou permanentes.

Vous trouverez les coordonnées de toutes les autorités de protection des données de l’EEE sur le site web du CEPD : Membres

Plus d’informations :

• Les autorités de protection des données & vous
   

Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.

Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.

Plus d’informations :

• Traiter les données personnelles de manière licite

Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.

Plus d’informations :

• Bases de la protection des données

Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.

Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.

Plus d’informations :

• Responsable du traitement ou sous-traitant
   

Certains types de données personnelles appartiennent à des catégories particulières de données personnelles, ce qui signifie qu’elles méritent plus de protection : il s’agit des données dites sensibles. Les données sensibles comprennent des données qui révèlent des informations sur un individu 

• la santé ;
• l’orientation sexuelle ;
• l’origine raciale ou ethnique ;
• les opinions politiques, les croyances religieuses ou philosophiques ;
• l’appartenance syndicale ;
• les données biométriques et génétiques.

Le traitement des données sensibles d’une personne est généralement interdit, sauf dans des circonstances spécifiques qui justifient son traitement.
 

Plus d’informations:

• Bases de la protection des données

Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.

En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.

Plus d’informations :

• Traiter les données personnelles de manière licite

Lorsqu’il y a deux ou plusieurs responsables du traitement qui déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints du traitement. Ils décident ensemble de traiter les données personnelles à des fins communes. Cette responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables de traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives en ce qui concerne le respect du RGPD.

Il est important de noter qu’être responsable de traitement conjoint implique la responsabilité partagée d’une activité de traitement.

• Exemple de responsabilité de traitement conjointe : Les entreprises A et B ont lancé un produit en collaboration et souhaitent organiser un évènement pour promouvoir ce produit. À cette fin, ils décident de partager les données de leurs bases de données client et prospects respectifs et décident de la liste des invités à l’événement sur cette base. Ils s’accordent également sur les modalités d’envoi des invitations à l’événement, sur la manière de recueillir des commentaires lors de l’événement et sur les actions marketing de suivi. Les entreprises A et B peuvent être considérées comme des responsables conjoints du traitement des données personnelles liées à l’organisation de l’événement promotionnel, car elles décident ensemble de la finalité définie conjointement et des moyens essentiels du traitement des données dans ce contexte.
   

Plus d’informations :

• Responsable du traitement des données ou sous-traitant