Foire aux questions
Qui peut remplir le rôle de délégué à la protection des données (DPD) ?
Le DPD peut être un employé existant ayant une connaissance suffisante du RGPD (si les tâches professionnelles du salarié sont compatibles avec celles du DPD et que cela ne conduit pas à des conflits d’intérêts) ou une personne externe. Le DPD devrait être en mesure d’exécuter des missions de manière indépendante et de rendre compte directement au plus haut niveau de direction.
Plus d’informations :
Si je souhaite conserver les CV des candidats pour les futures procédures de recrutement, dois-je demander leur consentement ?
Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.
En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.
Plus d’informations :
Dois-je désigner un délégué à la protection des données (DPD) ?
La désignation d’un DPD est obligatoire dans les trois cas suivants :
- l’organisme est une autorité publique ;
- les activités de base de l’organisation consistent en un suivi régulier et systématique des individus à grande échelle, par exemple la géolocalisation via une application mobile, ou la surveillance des centres commerciaux et des espaces publics par le biais de la vidéosurveillance ;
- les activités principales de l’organisme consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et à des infractions.
Vous pouvez toujours désigner un DPD sur une base volontaire, même si cela n’est pas légalement requis. Veuillez noter que dans ce cas, vous devez vous conformer à toutes les dispositions du RGPD concernant les missions et la position du délégué à la protection des données dans l’organisme.
Plus d’informations :
Le RGPD s’applique-t-il également aux enregistrements papier ?
Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.
Plus d’informations :
Les sous-traitants doivent-ils également respecter le RGPD ?
Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.
Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.
Plus d’informations :
Puis-je enregistrer les conversations téléphoniques avec les clients afin d’améliorer la qualité du service et ai-je besoin d’un consentement pour cela ?
Oui. Lors d’un appel téléphonique, vos clients doivent être informés, de l’objectif de l’enregistrement, des destinataires des enregistrements, de leur droit d’opposition et de leur droit d’accès aux enregistrements.
Plus d’informations :
Quelles sont mes responsabilités en vertu du RGPD ?
Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :
- Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
- Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
- Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
- Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
- Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
- Tenir un registre des opérations de traitement.
Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.
Plus d’informations:
Qu’est-ce qu’un responsable conjoint de traitement ?
Lorsqu’il y a deux ou plusieurs responsables du traitement qui déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints du traitement. Ils décident ensemble de traiter les données personnelles à des fins communes. Cette responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables de traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives en ce qui concerne le respect du RGPD.
Il est important de noter qu’être responsable de traitement conjoint implique la responsabilité partagée d’une activité de traitement.
- Exemple de responsabilité de traitement conjointe : Les entreprises A et B ont lancé un produit en collaboration et souhaitent organiser un évènement pour promouvoir ce produit. À cette fin, ils décident de partager les données de leurs bases de données client et prospects respectifs et décident de la liste des invités à l’événement sur cette base. Ils s’accordent également sur les modalités d’envoi des invitations à l’événement, sur la manière de recueillir des commentaires lors de l’événement et sur les actions marketing de suivi. Les entreprises A et B peuvent être considérées comme des responsables conjoints du traitement des données personnelles liées à l’organisation de l’événement promotionnel, car elles décident ensemble de la finalité définie conjointement et des moyens essentiels du traitement des données dans ce contexte.
Plus d’informations :
Qu’est-ce qu’une déclaration de confidentialité ?
Les organismes doivent, dans le cas d’une collecte directe de données personnelles auprès des personnes concernées, fournir des informations sur les opérations de traitement de manière concise et transparente, en utilisant un langage compréhensible, facile d’accès, clair et simple. Cela peut se faire par écrit (par exemple au verso d’une offre) ou par voie électronique (par exemple sur un site web). Si la personne concernée en fait la demande, vous pouvez également fournir ces informations oralement, mais vous devez être en mesure de le prouver par la suite.
Même lorsque les données ont été collectées indirectement, c’est-à-dire si vous ne collectez pas directement les données personnelles d’un individu vous-même (par exemple par l’intermédiaire d’un tiers), vous devez fournir les mêmes informations détaillées aux personnes physiques.