Foire aux questions
Qu’est-ce qu’une analyse d’impact sur la protection des données et quand est-elle requise ?
Une analyse d’impact sur la protection des données ou AIPD est une évaluation écrite que votre organisme devrait effectuer pour évaluer l’impact d’une opération de traitement planifiée. Il vous aide à identifier les mesures appropriées pour faire face aux risques et à démontrer votre conformité.
S’il est toujours préférable d’anticiper l’impact des opérations de traitement planifiées de votre organisme en effectuant une AIPD, il est obligatoire d’effectuer une AIPD lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.
En particulier, c’est le cas lorsque le traitement envisagé implique :
- le traitement – à grande échelle – de données personnelles sensibles ou de données relatives à des condamnations pénales ;
- l’évaluation systématique et approfondie des aspects personnels d’une personne fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques à l’égard de l’individu en question ou qui affectent les individus de manière significative ;
- la surveillance systématique d’une zone accessible au public à grande échelle.
Le CEPD a élaboré des lignes directrices qui énumèrent les critères à prendre en compte pour évaluer si une AIPD est obligatoire ou non. Les autorités chargées de la protection des données ont également publié des listes d’opérations de traitement qui font l’objet d’une AIPD. De plus, plusieurs autorités ont développé des guides, des logiciels ou des outils d’autoévaluation pour vous aider dans votre évaluation (par exemple la CNIL en France).
Plus d’informations :
Si je souhaite conserver les CV des candidats pour les futures procédures de recrutement, dois-je demander leur consentement ?
Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.
En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.
Plus d’informations :
Comment puis-je respecter les droits des individus en matière de protection des données ?
Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :
- en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
- en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.
Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.
Plus d’informations :
Le délégué à la protection des données (DPD) est-il responsable du respect du RGPD ?
Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.
Plus d’informations :
Le RGPD s’applique-t-il également aux enregistrements papier ?
Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.
Plus d’informations :
Les sous-traitants doivent-ils également respecter le RGPD ?
Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.
Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.
Plus d’informations :
Que puis-je faire si le sous-traitant ne veut pas signer un contrat avec un responsable du traitement ?
Un contrat valide entre le responsable du traitement et le sous-traitant est obligatoire en vertu du RGPD. Une infraction peut faire l’objet d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel total d’une entreprise, le montant le plus élevé étant retenu.
Pour vous guider lors de la mise en place d’un accord responsable du traitement des données, les autorités danoises et slovènes chargées de la protection des données, ainsi que la Commission européenne, ont élaboré des modèles de contrat.
Plus d’informations :
Quelles sont mes responsabilités en vertu du RGPD ?
Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :
- Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
- Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
- Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
- Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
- Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
- Tenir un registre des opérations de traitement.
Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.
Plus d’informations:
Qu’est-ce qu’un cookie ?
Les cookies sont de petits fichiers stockés sur un appareil, tels qu’un ordinateur, un appareil mobile ou tout autre appareil pouvant stocker des informations. Les cookies servent un certain nombre de fonctions importantes, y compris pour se souvenir des utilisateurs et de leurs interactions précédentes avec un site web. Ils peuvent être utilisés pour garder une trace des articles dans un panier d’achat en ligne ou pour garder une trace des informations lorsque les détails sont insérés dans un formulaire de demande en ligne.
Les cookies d’authentification sont également importants pour identifier les utilisateurs lorsqu’ils se connectent aux services bancaires et autres services en ligne. Les informations stockées dans les cookies peuvent inclure des données personnelles, telles qu’une adresse IP, un nom d’utilisateur, un identifiant unique ou une adresse e-mail.
Qu’est-ce qu’un responsable conjoint de traitement ?
Lorsqu’il y a deux ou plusieurs responsables du traitement qui déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints du traitement. Ils décident ensemble de traiter les données personnelles à des fins communes. Cette responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables de traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives en ce qui concerne le respect du RGPD.
Il est important de noter qu’être responsable de traitement conjoint implique la responsabilité partagée d’une activité de traitement.
- Exemple de responsabilité de traitement conjointe : Les entreprises A et B ont lancé un produit en collaboration et souhaitent organiser un évènement pour promouvoir ce produit. À cette fin, ils décident de partager les données de leurs bases de données client et prospects respectifs et décident de la liste des invités à l’événement sur cette base. Ils s’accordent également sur les modalités d’envoi des invitations à l’événement, sur la manière de recueillir des commentaires lors de l’événement et sur les actions marketing de suivi. Les entreprises A et B peuvent être considérées comme des responsables conjoints du traitement des données personnelles liées à l’organisation de l’événement promotionnel, car elles décident ensemble de la finalité définie conjointement et des moyens essentiels du traitement des données dans ce contexte.
Plus d’informations :