Lorsqu’il y a deux ou plusieurs responsables du traitement qui déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints du traitement. Ils décident ensemble de traiter les données personnelles à des fins communes. Cette responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables de traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives en ce qui concerne le respect du RGPD.

Il est important de noter qu’être responsable de traitement conjoint implique la responsabilité partagée d’une activité de traitement.

• Exemple de responsabilité de traitement conjointe : Les entreprises A et B ont lancé un produit en collaboration et souhaitent organiser un évènement pour promouvoir ce produit. À cette fin, ils décident de partager les données de leurs bases de données client et prospects respectifs et décident de la liste des invités à l’événement sur cette base. Ils s’accordent également sur les modalités d’envoi des invitations à l’événement, sur la manière de recueillir des commentaires lors de l’événement et sur les actions marketing de suivi. Les entreprises A et B peuvent être considérées comme des responsables conjoints du traitement des données personnelles liées à l’organisation de l’événement promotionnel, car elles décident ensemble de la finalité définie conjointement et des moyens essentiels du traitement des données dans ce contexte.
   

Plus d’informations :

• Responsable du traitement des données ou sous-traitant
   

Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.

En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.

Plus d’informations :

• Traiter les données personnelles de manière licite

1. Assurez-vous que les données que vous avez reçues ont été collectées légitimement et que les personnes concernées ont été informées du traitement de leurs données personnelles.
2. Dans le cas où un tiers traite des données personnelles en votre nom, assurez-vous de mettre en place un contrat avec le sous-traitant, qui détaille les opérations de traitement et les moyens de traiter les données personnelles.

Et, bien entendu, respectez toutes vos obligations de responsable de traitement.

Plus d’informations :

• Responsable de traitement ou sous-traitant

Les DPD peuvent remplir d’autres missions au sein de l’organisation, mais cela ne peut pas entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement. Les fonctions contradictoires comprennent principalement des postes de direction (chef de la direction, chef des opérations, chef des finances, chef des ressources humaines, chef de l’informatique, directeur général), mais peuvent également concerner d’autres fonctions si elles conduisent à la détermination des finalités et des moyens de traitement.
Le DPD doit être en mesure d’exercer ses fonctions et missions de manière indépendante. Cela signifie que votre organisme :

• ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
• ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses missions.

Plus d’informations :

• Le délégué à la protection des données

Pour que le consentement soit considéré comme valide, il doit être :

• libre ;
• spécifique ;
• informé ; et
• univoque.

Cela signifie que les personnes doivent avoir un choix véritablement libre pour le traitement de leurs données personnelles. Elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et par quels moyens. Elles ont également besoin de pouvoir répondre de manière suffisamment spécifique dans les demandes de consentement.

En outre, il devrait y avoir une action positive claire de la part de l’individu (cases non pré-cochées et  séparées de l’acceptation des conditions générales applicables).

En outre, les individus doivent pouvoir retirer librement leur consentement (sans conséquences négatives) s’ils changent d’avis plus tard.

Plus d’informations :

• Traiter les données personnelles de manière licite

Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :

• en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
• en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.

Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.

Plus d’informations :

• Respecter les droits des individus

Si votre organisation collecte les données personnelles directement auprès d’individus, elle doit fournir les informations nécessaires au moment de la collecte.

En cas de collecte indirecte de données personnelles, votre organisme doit fournir les informations au plus tard dans un délai d’un mois à compter de l’obtention initiale des données personnelles. Cette période maximale d’un mois peut être réduite :

• si les données personnelles sont utilisées à des fins de communication avec la personne concernée. Dans ce cas, vous devez informer la personne concernée au plus tard au moment de la première communication à la personne concernée ;
• si les données sont transmises à un autre destinataire, l’organisme en informe les personnes concernées au plus tard au moment du transfert des données personnelles. 

Plus d’informations :

• Respecter les droits des individus

Une violation de données personnelles est un incident de sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès à celles-ci.

• Si la violation de données présente un risque pour les personnes concernées, vous devez la signaler à l’autorité compétente en matière de protection des données dans un délai de 72 heures.
• Si la violation est susceptible d’entraîner un risque élevé pour les personnes, vous devrez également communiquer cette violation aux personnes concernées dans les meilleurs délais.

En tout état de cause, pour toutes les infractions – même celles qui ne sont pas notifiées à un autorité de protection des données – vous devez consigner au moins les détails de base de la violation, l’évaluation de celle-ci, ses effets et les mesures prises pour y répondre.

Plus d’informations :

• Violations de données

Un traitement de données personnelles désigne tout type d’activité (opération de traitement) effectuée sur, ou avec, les données personnelles des personnes physiques. Cela inclut la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données personnelles.

Vous ne pouvez pas stocker des données personnelles pour toujours.

En règle générale, les données personnelles ne peuvent être conservées que le temps nécessaire pour atteindre les objectifs pour lesquels les données personnelles sont traitées.

Dans certains cas, la durée de conservation des données peut être déterminée par des lois spécifiques. Par exemple, la réglementation du travail détermine une durée de conservation pour les bulletins de salaire.

Les organismes devraient mettre en place des politiques de conservation des données pour s’assurer que les données personnelles ne sont pas conservées plus longtemps que nécessaire. Les données personnelles des personnes doivent être supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires pour atteindre les objectifs pour lesquelles elles ont été traitées. 
 

Plus d’informations :

• Les bases de la protection des données