Foire aux questions
Quelles sont les bases légales pour traiter des données personnelles prévues par le RGPD ?
Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :
- avec le consentement des personnes concernées;
- lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
- pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
- lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
- protéger les intérêts vitaux d’un individu;
- pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.
En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.
Plus d’informations :
Qu’est-ce qui devrait être inclus dans un contrat entre responsable de traitement et sous-traitant ?
Le contrat entre le responsable du traitement et le sous-traitant doit stipuler que ce dernier :
- traite les données personnelles uniquement sur instruction du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays situé en dehors de l’EEE ;
- veille à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- assure la sécurité du traitement ;
- ne fasse pas appel à un autre sous-traitant sans l’autorisation écrite spécifique ou générale préalable du responsable du traitement ;
- assiste le responsable du traitement pour l’exécution des obligations du responsable du traitement pour répondre aux demandes d’exercice des droits des personnes ;
- aide le responsable du traitement à sécuriser le traitement, à notifier les violations de données et à effectuer des AIPD;
- au choix du responsable du traitement, supprime ou renvoie toutes les données personnelles au responsable du traitement après la fin de la prestation des services ;
- mette à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant du RGPD;
- permette et contribue aux audits, y compris ceux effectués par le responsable du traitement des données ou un autre auditeur mandaté par le responsable du traitement des données.
En outre, le sous-traitant informe immédiatement le responsable du traitement si, à son avis, des instructions enfreignent le RGPD ou d’autres dispositions de l’UE ou nationales en matière de protection des données.
Plus d’informations :
Qu’est-ce qu’un cookie ?
Les cookies sont de petits fichiers stockés sur un appareil, tels qu’un ordinateur, un appareil mobile ou tout autre appareil pouvant stocker des informations. Les cookies servent un certain nombre de fonctions importantes, y compris pour se souvenir des utilisateurs et de leurs interactions précédentes avec un site web. Ils peuvent être utilisés pour garder une trace des articles dans un panier d’achat en ligne ou pour garder une trace des informations lorsque les détails sont insérés dans un formulaire de demande en ligne.
Les cookies d’authentification sont également importants pour identifier les utilisateurs lorsqu’ils se connectent aux services bancaires et autres services en ligne. Les informations stockées dans les cookies peuvent inclure des données personnelles, telles qu’une adresse IP, un nom d’utilisateur, un identifiant unique ou une adresse e-mail.
Dois-je être certifié pour devenir délégué à la protection des données (DPD) ?
Non, vous n’avez pas besoin d’être certifié pour devenir DPD.
Les DPD doivent toutefois être en mesure de démontrer qu’ils possèdent les qualifications requises par le RGPD, telles qu’une expertise en droit et pratiques sur la protection des données.
Plus d’informations :
Puis-je traiter des données personnelles uniquement lorsque j’ai le consentement de la personne ?
Le traitement des données personnelles est autorisé s’il repose sur une base légale. Outre le consentement libre, spécifique, éclairé et univoque, d’autres bases légales pour le traitement peuvent être utilisées.
En d’autres termes, le consentement est nécessaire lorsqu’aucune des autres bases légale ne s’applique.
Plus d’informations :
Quelles sont les sanctions si mon organisme ne respecte pas le RGPD ou si mon traitement est en infraction avec le RGPD ?
Le respect du RGPD est contrôlé par les autorités nationales de protection des données. Les autorités de protection des données peuvent mener des enquêtes et imposer des sanctions si nécessaire. Ces autorités disposent d’un certain nombre d’outils, dont des amendes allant jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), des rappels à l’ordre et des interdictions de traitement temporaires ou permanentes.
Vous trouverez les coordonnées de toutes les autorités de protection des données de l’EEE sur le site web du CEPD : Membres
Plus d’informations :
Qu’est-ce qu’une analyse d’impact sur la protection des données et quand est-elle requise ?
Une analyse d’impact sur la protection des données ou AIPD est une évaluation écrite que votre organisme devrait effectuer pour évaluer l’impact d’une opération de traitement planifiée. Il vous aide à identifier les mesures appropriées pour faire face aux risques et à démontrer votre conformité.
S’il est toujours préférable d’anticiper l’impact des opérations de traitement planifiées de votre organisme en effectuant une AIPD, il est obligatoire d’effectuer une AIPD lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.
En particulier, c’est le cas lorsque le traitement envisagé implique :
- le traitement – à grande échelle – de données personnelles sensibles ou de données relatives à des condamnations pénales ;
- l’évaluation systématique et approfondie des aspects personnels d’une personne fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques à l’égard de l’individu en question ou qui affectent les individus de manière significative ;
- la surveillance systématique d’une zone accessible au public à grande échelle.
Le CEPD a élaboré des lignes directrices qui énumèrent les critères à prendre en compte pour évaluer si une AIPD est obligatoire ou non. Les autorités chargées de la protection des données ont également publié des listes d’opérations de traitement qui font l’objet d’une AIPD. De plus, plusieurs autorités ont développé des guides, des logiciels ou des outils d’autoévaluation pour vous aider dans votre évaluation (par exemple la CNIL en France).
Plus d’informations :
J’organise un évènement dans le cadre de mes activités commerciales, puis-je faire des photos et des vidéos de l’évènement et des personnes présentes ?
Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.
Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.
Plus d’informations :
Le RGPD s’applique-t-il également aux enregistrements papier ?
Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.
Plus d’informations :
Les sous-traitants doivent-ils également respecter le RGPD ?
Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.
Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.
Plus d’informations :