Foire aux questions
Comment puis-je respecter les droits des individus en matière de protection des données ?
Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :
- en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
- en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.
Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.
Plus d’informations :
Est-il possible de traiter des données sensibles ?
Non, le traitement de données sensibles est généralement interdit, sauf dans des circonstances très spécifiques :
- La personne a donné son consentement explicite pour le traitement de ses données sensibles.
- Le traitement des données sensibles est nécessaire pour que le responsable du traitement puisse remplir ses obligations, notamment dans le contexte de l’emploi, de la sécurité sociale et de la protection sociale. Par exemple, le responsable du traitement peut avoir besoin de traiter les données sensibles d’une personne pour pouvoir déterminer si elle a droit à certaines prestations de sécurité sociale ou à des allocations d’emploi.
- Le traitement de données sensibles est nécessaire pour protéger les intérêts vitaux d’une personne lorsque l’individu est physiquement ou légalement incapable de donner son consentement. Par exemple, si une personne est inconsciente à la suite d’un accident et nécessite des soins médicaux immédiats, ses données de santé peuvent avoir besoin d’être traitées pour que les soins médicaux appropriés soient dispensés.
- Le traitement de données sensibles s’effectue dans le cadre des activités légitimes d’une fondation, d’une association ou d’une autre organisation à but non lucratif ayant un but politique, philosophique, religieux ou syndical, et uniquement pour le traitement des données personnelles de leurs membres, anciens membres ou personnes ayant des contacts réguliers avec eux.
- Les données sensibles ont été manifestement rendues publiques par les individus.
- Le traitement des données sensibles est nécessaire dans le cadre d’une procédure judiciaire.
- Le traitement des données sensibles est nécessaire pour des questions d’intérêt public substantiel.
- Le traitement de données sensibles est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail. Par exemple, l’évaluation des données sensibles d’une personne, telles que ses données médicales, peut être nécessaire pour déterminer sa capacité de travail en tant qu’employé.
- Le traitement de données sensibles est nécessaire pour des questions de santé publique sur la base du droit de l’Union ou du droit national. Par exemple, le traitement des données sensibles des personnes peut être nécessaire pour garantir une qualité élevée des soins de santé et une qualité élevée des produits médicaux, ou pour lutter contre les menaces graves pour la santé, telles que les virus.
- Le traitement de données sensibles est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Par exemple, le traitement de données sensibles peut être nécessaire pour fournir des statistiques précises sur la situation d’un pays dans un domaine particulier.
Plus d’informations:
J’organise un évènement dans le cadre de mes activités commerciales, puis-je faire des photos et des vidéos de l’évènement et des personnes présentes ?
Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.
Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.
Plus d’informations :
Le délégué à la protection des données (DPD) est-il responsable du respect du RGPD ?
Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.
Plus d’informations :
Mon organisme doit-il se conformer au RGPD ?
Tout organisme, quelle que soit sa taille ou son secteur, établi dans l’Espace économique européen (EEE) ou offrant des produits ou des services à des particuliers dans l’EEE, traitant des données personnelles, de manière automatisée ou non, doit se conformer au RGPD. Même si le RGPD concerne principalement le traitement automatisé de données personnelles, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur.
Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation, la modification et l’effacement de données personnelles.
Néanmoins, les règles applicables du RGPD dépendent de la nature, du contexte, des finalités et des risques des opérations de traitement effectuées. Pour les PME dont l’activité principale n’est pas le traitement de données personnelles, les obligations peuvent être moins strictes que pour une grande entreprise.
Plus d’informations :
Puis-je traiter des données personnelles uniquement lorsque j’ai le consentement de la personne ?
Le traitement des données personnelles est autorisé s’il repose sur une base légale. Outre le consentement libre, spécifique, éclairé et univoque, d’autres bases légales pour le traitement peuvent être utilisées.
En d’autres termes, le consentement est nécessaire lorsqu’aucune des autres bases légale ne s’applique.
Plus d’informations :
Que dois-je faire en cas de violation de données ?
Une violation de données personnelles est un incident de sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès à celles-ci.
- Si la violation de données présente un risque pour les personnes concernées, vous devez la signaler à l’autorité compétente en matière de protection des données dans un délai de 72 heures.
- Si la violation est susceptible d’entraîner un risque élevé pour les personnes, vous devrez également communiquer cette violation aux personnes concernées dans les meilleurs délais.
En tout état de cause, pour toutes les infractions – même celles qui ne sont pas notifiées à un autorité de protection des données – vous devez consigner au moins les détails de base de la violation, l’évaluation de celle-ci, ses effets et les mesures prises pour y répondre.
Plus d’informations :
Que dois-je faire lorsque quelqu’un demande comment je traite ses données ?
Les particuliers peuvent vous demander si vous traitez leurs données et, dans ce cas, ils ont le droit d’accéder à ces données. Ainsi, lorsque cela se produit et si vous traitez leurs données, vous devez, par exemple, fournir une copie de leurs données personnelles, gratuitement, ainsi que toute information supplémentaire nécessaire. Lorsqu’une demande est faite par voie électronique, votre organisme doit fournir les renseignements requis dans un format électronique couramment utilisé, ou un autre format demandé par la personne concernée.
Plus d’informations :
Quelles informations dois-je communiquer/partager avec les personnes concernées ?
Le RGPD donne aux particuliers le contrôle du traitement de leurs données personnelles. La transparence est donc essentielle. Cela signifie que vous devez informer les personnes dont vous traitez les données concernant sur vos opérations de traitement et les finalités poursuivies. En d’autres termes, vous devez expliquer qui traite leurs données, mais aussi comment et pourquoi. Ce n’est que si l’utilisation des données personnelles est « transparente » pour les personnes concernées qu’elles peuvent évaluer les risques éventuels et prendre des décisions concernant leurs données personnelles.
En vertu du RGPD, vous êtes tenu de partager les informations suivantes avec des particuliers :
- l’identité et les coordonnées du responsable du traitement ;
- les finalités du traitement ;
- la base légale du traitement (si l’intérêt légitime, les informations spécifiques sur quels intérêts légitimes se rapportent au traitement spécifique et sur l’entité qui poursuit chaque intérêt légitime).
- les coordonnées du responsable du traitement ;
- les coordonnées du DPD (s’il existe) ;
- les destinataires ou catégories de destinataires des données ;
- les informations sur les transferts de données personnelles en dehors de l’Espace économique européen (EEE) (dans ce cas : l’existence ou non d’une décision d’adéquation ou d’une référence aux garanties appropriées et la manière dont ces informations peuvent être mises à la disposition des personnes concernées ;
- les catégories de données personnelles traitées, lorsque les données ne sont pas obtenues de la personne concernée.
En outre, le RGPD exige que votre organisme fournisse les informations suivantes pour assurer un traitement équitable et transparent :
- la durée de conservation ou, lorsque cela n’est pas possible, les critères utilisés pour déterminer cette durée ;
- le droit de demander l’accès, l’effacement, la rectification, la restriction, l’opposition et la portabilité des données personnelles;
- le droit d’introduire une réclamation auprès d’une autorité de protection des données ;
- si la base légale du traitement est le consentement : le droit de retirer son consentement à tout moment ;
- dans le cas d’une prise de décision automatisée, des informations pertinentes sur la logique sous-jacente et les conséquences prévues du traitement pour la personne concernée ;
- la source des données personnelles (si vous ne les recevez pas directement de la part de la personne concernée) ;
- si la personne est tenue de fournir les données personnelles (par la loi ou pour former ou exécuter un contrat), ainsi que les conséquences du refus de fournir les données.
Plus d’informations :
Qu’est-ce qu’un conflit d’intérêts pour un délégué à la protection des données (DPD) ?
Les DPD peuvent remplir d’autres missions au sein de l’organisation, mais cela ne peut pas entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement. Les fonctions contradictoires comprennent principalement des postes de direction (chef de la direction, chef des opérations, chef des finances, chef des ressources humaines, chef de l’informatique, directeur général), mais peuvent également concerner d’autres fonctions si elles conduisent à la détermination des finalités et des moyens de traitement.
Le DPD doit être en mesure d’exercer ses fonctions et missions de manière indépendante. Cela signifie que votre organisme :
- ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
- ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses missions.
Plus d’informations :