La publication des noms des gagnants d’un concours sur votre site web pourrait être considérée comme un intérêt légitime, si vous pouvez le prouver en effectuant un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur le droit des personnes concernées.

Une bonne pratique consisterait à mettre en place une procédure interne au sein de laquelle les règles relatives à la publication des données personnelles des lauréats sont expliquées.

En outre, le traitement des données personnelles à ces fins devrait faire partie de la politique de confidentialité du concours, de sorte que les participants soient informés à l’avance de la manière dont leurs données seront traitées.

Plus d’informations :

• Traiter les données personnelles de manière licite

Un traitement de données personnelles désigne tout type d’activité (opération de traitement) effectuée sur, ou avec, les données personnelles des personnes physiques. Cela inclut la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données personnelles.

Les organismes doivent, dans le cas d’une collecte directe de données personnelles auprès des personnes concernées, fournir des informations sur les opérations de traitement de manière concise et transparente, en utilisant un langage compréhensible, facile d’accès, clair et simple. Cela peut se faire par écrit (par exemple au verso d’une offre) ou par voie électronique (par exemple sur un site web). Si la personne concernée en fait la demande, vous pouvez également fournir ces informations oralement, mais vous devez être en mesure de le prouver par la suite.

Même lorsque les données ont été collectées indirectement, c’est-à-dire si vous ne collectez pas directement les données personnelles d’un individu vous-même (par exemple par l’intermédiaire d’un tiers), vous devez fournir les mêmes informations détaillées aux personnes physiques.
 

Les particuliers peuvent vous demander si vous traitez leurs données et, dans ce cas, ils ont le droit d’accéder à ces données. Ainsi, lorsque cela se produit et si vous traitez leurs données, vous devez, par exemple, fournir une copie de leurs données personnelles, gratuitement, ainsi que toute information supplémentaire nécessaire. Lorsqu’une demande est faite par voie électronique, votre organisme doit fournir les renseignements requis dans un format électronique couramment utilisé, ou un autre format demandé par la personne concernée.

Plus d’informations :

• Respecter les droits des individus

Les personnes physiques ont le droit de demander l’effacement des données personnelles les concernant : dans ce cas, le responsable du traitement a l’obligation de les effacer. Vous devez répondre dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour donner suite à la demande, à condition que la personne concernée en soit informée dans un délai d’un mois à compter de la réception de la demande.
Il est important de noter que le droit à l’effacement n’est pas absolu. Il ne s’applique pas lorsque les données en question sont nécessaires pour :

• l’exercice du droit à la liberté d’expression et d’information (par exemple à des fins journalistiques) ;
• le respect d’une obligation légale qui exige le traitement des données personnelles (par exemple, le traitement des dossiers sur les heures de travail des employés) ;
• des raisons d’intérêt public dans le domaine de la santé publique ;
• des fins d’archivage dans l’intérêt public ou pour la recherche scientifique ou historique, ou pour des fins statistiques ; et
• la constatation, l’exercice ou la défense de droits en justice.

Lorsque les données personnelles à effacer ont déjà été transférées à d’autres organismes, vous devez informer ces destinataires que la personne a demandé l’effacement, sauf si cela s’avère impossible ou nécessiterait des efforts disproportionnés.

Plus d’informations :

• Respecter les droits des individus

Les mesures de sécurité nécessaires peuvent varier en fonction de la nature des données personnelles que vous traitez et des risques associés pour les individus. Dans tous les cas, il y a quelques mesures minimales que vous devriez mettre en place :

• sécuriser l’accès aux locaux ;
• utiliser un logiciel antivirus régulièrement mis à jour ;
• choisir soigneusement vos mots de passe;
• authentifier les utilisateurs avant d’utiliser les installations informatiques;
• disposer d’une politique de sauvegarde et de récupération des données en cas d’incident.

En outre, certaines mesures de base telles que verrouiller votre écran pendant votre absence et votre bureau à la fin de la journée sont toujours pertinentes.

Plus d’informations :

• Sécuriser les données personnelles
   

1. Assurez-vous que les données que vous avez reçues ont été collectées légitimement et que les personnes concernées ont été informées du traitement de leurs données personnelles.
2. Dans le cas où un tiers traite des données personnelles en votre nom, assurez-vous de mettre en place un contrat avec le sous-traitant, qui détaille les opérations de traitement et les moyens de traiter les données personnelles.

Et, bien entendu, respectez toutes vos obligations de responsable de traitement.

Plus d’informations :

• Responsable de traitement ou sous-traitant

Non, le traitement de données sensibles est généralement interdit, sauf dans des circonstances très spécifiques :

• La personne a donné son consentement explicite pour le traitement de ses données sensibles.
• Le traitement des données sensibles est nécessaire pour que le responsable du traitement puisse remplir ses obligations, notamment dans le contexte de l’emploi, de la sécurité sociale et de la protection sociale. Par exemple, le responsable du traitement peut avoir besoin de traiter les données sensibles d’une personne pour pouvoir déterminer si elle a droit à certaines prestations de sécurité sociale ou à des allocations d’emploi.
• Le traitement de données sensibles est nécessaire pour protéger les intérêts vitaux d’une personne lorsque l’individu est physiquement ou légalement incapable de donner son consentement. Par exemple, si une personne est inconsciente à la suite d’un accident et nécessite des soins médicaux immédiats, ses données de santé peuvent avoir besoin d’être traitées pour que les soins médicaux appropriés soient dispensés.
• Le traitement de données sensibles s’effectue dans le cadre des activités légitimes d’une fondation, d’une association ou d’une autre organisation à but non lucratif ayant un but politique, philosophique, religieux ou syndical, et uniquement pour le traitement des données personnelles de leurs membres, anciens membres ou personnes ayant des contacts réguliers avec eux.
• Les données sensibles ont été manifestement rendues publiques par les individus.
• Le traitement des données sensibles est nécessaire dans le cadre d’une procédure judiciaire.
• Le traitement des données sensibles est nécessaire pour des questions d’intérêt public substantiel.
• Le traitement de données sensibles est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail. Par exemple, l’évaluation des données sensibles d’une personne, telles que ses données médicales, peut être nécessaire pour déterminer sa capacité de travail en tant qu’employé.
• Le traitement de données sensibles est nécessaire pour des questions de santé publique sur la base du droit de l’Union ou du droit national. Par exemple, le traitement des données sensibles des personnes peut être nécessaire pour garantir une qualité élevée des soins de santé et une qualité élevée des produits médicaux, ou pour lutter contre les menaces graves pour la santé, telles que les virus.
• Le traitement de données sensibles est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Par exemple, le traitement de données sensibles peut être nécessaire pour fournir des statistiques précises sur la situation d’un pays dans un domaine particulier. 
   

Plus d’informations:

• Traiter les données personnelles de manière licite

Oui. Lors d’un appel téléphonique, vos clients doivent être informés, de l’objectif de l’enregistrement, des destinataires des enregistrements, de leur droit d’opposition et de leur droit d’accès aux enregistrements.

Plus d’informations :

• Traiter les données personnelles de manière licite