Foire aux questions
Quelles sont les missions du délégué à la protection des données (DPD) ?
La tâche du DPD comprend, entre autres :
- informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
- contrôler la conformité à la protection des données;
- fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
- agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
- agir comme point de contact pour les particuliers.
En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.
Plus d’informations :
Qui peut remplir le rôle de délégué à la protection des données (DPD) ?
Le DPD peut être un employé existant ayant une connaissance suffisante du RGPD (si les tâches professionnelles du salarié sont compatibles avec celles du DPD et que cela ne conduit pas à des conflits d’intérêts) ou une personne externe. Le DPD devrait être en mesure d’exécuter des missions de manière indépendante et de rendre compte directement au plus haut niveau de direction.
Plus d’informations :
Comment puis-je obtenir un consentement valide ?
Pour que le consentement soit considéré comme valide, il doit être :
- libre ;
- spécifique ;
- informé ; et
- univoque.
Cela signifie que les personnes doivent avoir un choix véritablement libre pour le traitement de leurs données personnelles. Elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et par quels moyens. Elles ont également besoin de pouvoir répondre de manière suffisamment spécifique dans les demandes de consentement.
En outre, il devrait y avoir une action positive claire de la part de l’individu (cases non pré-cochées et séparées de l’acceptation des conditions générales applicables).
En outre, les individus doivent pouvoir retirer librement leur consentement (sans conséquences négatives) s’ils changent d’avis plus tard.
Plus d’informations :
Puis-je traiter des données personnelles uniquement lorsque j’ai le consentement de la personne ?
Le traitement des données personnelles est autorisé s’il repose sur une base légale. Outre le consentement libre, spécifique, éclairé et univoque, d’autres bases légales pour le traitement peuvent être utilisées.
En d’autres termes, le consentement est nécessaire lorsqu’aucune des autres bases légale ne s’applique.
Plus d’informations :
Qu’est-ce qu’un traitement de données personneles ?
Un traitement de données personnelles désigne tout type d’activité (opération de traitement) effectuée sur, ou avec, les données personnelles des personnes physiques. Cela inclut la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données personnelles.
Comment puis-je répondre à une demande d’effacement ?
Les personnes physiques ont le droit de demander l’effacement des données personnelles les concernant : dans ce cas, le responsable du traitement a l’obligation de les effacer. Vous devez répondre dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour donner suite à la demande, à condition que la personne concernée en soit informée dans un délai d’un mois à compter de la réception de la demande.
Il est important de noter que le droit à l’effacement n’est pas absolu. Il ne s’applique pas lorsque les données en question sont nécessaires pour :
- l’exercice du droit à la liberté d’expression et d’information (par exemple à des fins journalistiques) ;
- le respect d’une obligation légale qui exige le traitement des données personnelles (par exemple, le traitement des dossiers sur les heures de travail des employés) ;
- des raisons d’intérêt public dans le domaine de la santé publique ;
- des fins d’archivage dans l’intérêt public ou pour la recherche scientifique ou historique, ou pour des fins statistiques ; et
- la constatation, l’exercice ou la défense de droits en justice.
Lorsque les données personnelles à effacer ont déjà été transférées à d’autres organismes, vous devez informer ces destinataires que la personne a demandé l’effacement, sauf si cela s’avère impossible ou nécessiterait des efforts disproportionnés.
Plus d’informations :
Puis-je enregistrer les conversations téléphoniques avec les clients afin d’améliorer la qualité du service et ai-je besoin d’un consentement pour cela ?
Oui. Lors d’un appel téléphonique, vos clients doivent être informés, de l’objectif de l’enregistrement, des destinataires des enregistrements, de leur droit d’opposition et de leur droit d’accès aux enregistrements.
Plus d’informations :
Que dois-je faire lorsque quelqu’un demande comment je traite ses données ?
Les particuliers peuvent vous demander si vous traitez leurs données et, dans ce cas, ils ont le droit d’accéder à ces données. Ainsi, lorsque cela se produit et si vous traitez leurs données, vous devez, par exemple, fournir une copie de leurs données personnelles, gratuitement, ainsi que toute information supplémentaire nécessaire. Lorsqu’une demande est faite par voie électronique, votre organisme doit fournir les renseignements requis dans un format électronique couramment utilisé, ou un autre format demandé par la personne concernée.
Plus d’informations :
Qu’est-ce qu’une déclaration de confidentialité ?
Les organismes doivent, dans le cas d’une collecte directe de données personnelles auprès des personnes concernées, fournir des informations sur les opérations de traitement de manière concise et transparente, en utilisant un langage compréhensible, facile d’accès, clair et simple. Cela peut se faire par écrit (par exemple au verso d’une offre) ou par voie électronique (par exemple sur un site web). Si la personne concernée en fait la demande, vous pouvez également fournir ces informations oralement, mais vous devez être en mesure de le prouver par la suite.
Même lorsque les données ont été collectées indirectement, c’est-à-dire si vous ne collectez pas directement les données personnelles d’un individu vous-même (par exemple par l’intermédiaire d’un tiers), vous devez fournir les mêmes informations détaillées aux personnes physiques.