La publication des noms des gagnants d’un concours sur votre site web pourrait être considérée comme un intérêt légitime, si vous pouvez le prouver en effectuant un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur le droit des personnes concernées.

Une bonne pratique consisterait à mettre en place une procédure interne au sein de laquelle les règles relatives à la publication des données personnelles des lauréats sont expliquées.

En outre, le traitement des données personnelles à ces fins devrait faire partie de la politique de confidentialité du concours, de sorte que les participants soient informés à l’avance de la manière dont leurs données seront traitées.

Plus d’informations :

• Traiter les données personnelles de manière licite

Si votre organisation collecte les données personnelles directement auprès d’individus, elle doit fournir les informations nécessaires au moment de la collecte.

En cas de collecte indirecte de données personnelles, votre organisme doit fournir les informations au plus tard dans un délai d’un mois à compter de l’obtention initiale des données personnelles. Cette période maximale d’un mois peut être réduite :

• si les données personnelles sont utilisées à des fins de communication avec la personne concernée. Dans ce cas, vous devez informer la personne concernée au plus tard au moment de la première communication à la personne concernée ;
• si les données sont transmises à un autre destinataire, l’organisme en informe les personnes concernées au plus tard au moment du transfert des données personnelles. 

Plus d’informations :

• Respecter les droits des individus

Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :

• avec le consentement des personnes concernées;
• lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
• pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
• lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
• protéger les intérêts vitaux d’un individu;
• pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.

En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.

Plus d’informations :

• Traiter les données personnelles de manière licite

La tâche du DPD comprend, entre autres :

• informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
• contrôler la conformité à la protection des données;
• fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
• agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
• agir comme point de contact pour les particuliers.

En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.

Plus d’informations :

• Le délégué à la protection des données

Vous devez répondre dans les meilleurs délais et, au plus tard, dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour y répondre, à condition que la personne en soit informée dans un délai d’un mois à compter de la réception de la demande.

Vous devez le faire gratuitement.

Plus d’informations :

• Respecter les droits des individus

Vous ne pouvez pas stocker des données personnelles pour toujours.

En règle générale, les données personnelles ne peuvent être conservées que le temps nécessaire pour atteindre les objectifs pour lesquels les données personnelles sont traitées.

Dans certains cas, la durée de conservation des données peut être déterminée par des lois spécifiques. Par exemple, la réglementation du travail détermine une durée de conservation pour les bulletins de salaire.

Les organismes devraient mettre en place des politiques de conservation des données pour s’assurer que les données personnelles ne sont pas conservées plus longtemps que nécessaire. Les données personnelles des personnes doivent être supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires pour atteindre les objectifs pour lesquelles elles ont été traitées. 
 

Plus d’informations :

• Les bases de la protection des données

Pour que le consentement soit considéré comme valide, il doit être :

• libre ;
• spécifique ;
• informé ; et
• univoque.

Cela signifie que les personnes doivent avoir un choix véritablement libre pour le traitement de leurs données personnelles. Elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et par quels moyens. Elles ont également besoin de pouvoir répondre de manière suffisamment spécifique dans les demandes de consentement.

En outre, il devrait y avoir une action positive claire de la part de l’individu (cases non pré-cochées et  séparées de l’acceptation des conditions générales applicables).

En outre, les individus doivent pouvoir retirer librement leur consentement (sans conséquences négatives) s’ils changent d’avis plus tard.

Plus d’informations :

• Traiter les données personnelles de manière licite

Les personnes physiques ont le droit de demander l’effacement des données personnelles les concernant : dans ce cas, le responsable du traitement a l’obligation de les effacer. Vous devez répondre dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour donner suite à la demande, à condition que la personne concernée en soit informée dans un délai d’un mois à compter de la réception de la demande.
Il est important de noter que le droit à l’effacement n’est pas absolu. Il ne s’applique pas lorsque les données en question sont nécessaires pour :

• l’exercice du droit à la liberté d’expression et d’information (par exemple à des fins journalistiques) ;
• le respect d’une obligation légale qui exige le traitement des données personnelles (par exemple, le traitement des dossiers sur les heures de travail des employés) ;
• des raisons d’intérêt public dans le domaine de la santé publique ;
• des fins d’archivage dans l’intérêt public ou pour la recherche scientifique ou historique, ou pour des fins statistiques ; et
• la constatation, l’exercice ou la défense de droits en justice.

Lorsque les données personnelles à effacer ont déjà été transférées à d’autres organismes, vous devez informer ces destinataires que la personne a demandé l’effacement, sauf si cela s’avère impossible ou nécessiterait des efforts disproportionnés.

Plus d’informations :

• Respecter les droits des individus

Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :

• en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
• en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.

Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.

Plus d’informations :

• Respecter les droits des individus

Non, le traitement de données sensibles est généralement interdit, sauf dans des circonstances très spécifiques :

• La personne a donné son consentement explicite pour le traitement de ses données sensibles.
• Le traitement des données sensibles est nécessaire pour que le responsable du traitement puisse remplir ses obligations, notamment dans le contexte de l’emploi, de la sécurité sociale et de la protection sociale. Par exemple, le responsable du traitement peut avoir besoin de traiter les données sensibles d’une personne pour pouvoir déterminer si elle a droit à certaines prestations de sécurité sociale ou à des allocations d’emploi.
• Le traitement de données sensibles est nécessaire pour protéger les intérêts vitaux d’une personne lorsque l’individu est physiquement ou légalement incapable de donner son consentement. Par exemple, si une personne est inconsciente à la suite d’un accident et nécessite des soins médicaux immédiats, ses données de santé peuvent avoir besoin d’être traitées pour que les soins médicaux appropriés soient dispensés.
• Le traitement de données sensibles s’effectue dans le cadre des activités légitimes d’une fondation, d’une association ou d’une autre organisation à but non lucratif ayant un but politique, philosophique, religieux ou syndical, et uniquement pour le traitement des données personnelles de leurs membres, anciens membres ou personnes ayant des contacts réguliers avec eux.
• Les données sensibles ont été manifestement rendues publiques par les individus.
• Le traitement des données sensibles est nécessaire dans le cadre d’une procédure judiciaire.
• Le traitement des données sensibles est nécessaire pour des questions d’intérêt public substantiel.
• Le traitement de données sensibles est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail. Par exemple, l’évaluation des données sensibles d’une personne, telles que ses données médicales, peut être nécessaire pour déterminer sa capacité de travail en tant qu’employé.
• Le traitement de données sensibles est nécessaire pour des questions de santé publique sur la base du droit de l’Union ou du droit national. Par exemple, le traitement des données sensibles des personnes peut être nécessaire pour garantir une qualité élevée des soins de santé et une qualité élevée des produits médicaux, ou pour lutter contre les menaces graves pour la santé, telles que les virus.
• Le traitement de données sensibles est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Par exemple, le traitement de données sensibles peut être nécessaire pour fournir des statistiques précises sur la situation d’un pays dans un domaine particulier. 
   

Plus d’informations:

• Traiter les données personnelles de manière licite