Questions fréquemment posées

Les organismes doivent, dans le cas d’une collecte directe de données personnelles auprès des personnes concernées, fournir des informations sur les opérations de traitement de manière concise et transparente, en utilisant un langage compréhensible, facile d’accès, clair et simple. Cela peut se faire par écrit (par exemple au verso d’une offre) ou par voie électronique (par exemple sur un site web). Si la personne concernée en fait la demande, vous pouvez également fournir ces informations oralement, mais vous devez être en mesure de le prouver par la suite.

Même lorsque les données ont été collectées indirectement, c’est-à-dire si vous ne collectez pas directement les données personnelles d’un individu vous-même (par exemple par l’intermédiaire d’un tiers), vous devez fournir les mêmes informations détaillées aux personnes physiques.
 

Les personnes physiques ont le droit de demander l’effacement des données personnelles les concernant : dans ce cas, le responsable du traitement a l’obligation de les effacer. Vous devez répondre dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour donner suite à la demande, à condition que la personne concernée en soit informée dans un délai d’un mois à compter de la réception de la demande.
Il est important de noter que le droit à l’effacement n’est pas absolu. Il ne s’applique pas lorsque les données en question sont nécessaires pour :

• l’exercice du droit à la liberté d’expression et d’information (par exemple à des fins journalistiques) ;
• le respect d’une obligation légale qui exige le traitement des données personnelles (par exemple, le traitement des dossiers sur les heures de travail des employés) ;
• des raisons d’intérêt public dans le domaine de la santé publique ;
• des fins d’archivage dans l’intérêt public ou pour la recherche scientifique ou historique, ou pour des fins statistiques ; et
• la constatation, l’exercice ou la défense de droits en justice.

Lorsque les données personnelles à effacer ont déjà été transférées à d’autres organismes, vous devez informer ces destinataires que la personne a demandé l’effacement, sauf si cela s’avère impossible ou nécessiterait des efforts disproportionnés.

Plus d’informations :

• Respecter les droits des individus

Oui. Lors d’un appel téléphonique, vos clients doivent être informés, de l’objectif de l’enregistrement, des destinataires des enregistrements, de leur droit d’opposition et de leur droit d’accès aux enregistrements.

Plus d’informations :

• Traiter les données personnelles de manière licite

Un traitement de données personnelles désigne tout type d’activité (opération de traitement) effectuée sur, ou avec, les données personnelles des personnes physiques. Cela inclut la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données personnelles.

Non, le traitement de données sensibles est généralement interdit, sauf dans des circonstances très spécifiques :

• La personne a donné son consentement explicite pour le traitement de ses données sensibles.
• Le traitement des données sensibles est nécessaire pour que le responsable du traitement puisse remplir ses obligations, notamment dans le contexte de l’emploi, de la sécurité sociale et de la protection sociale. Par exemple, le responsable du traitement peut avoir besoin de traiter les données sensibles d’une personne pour pouvoir déterminer si elle a droit à certaines prestations de sécurité sociale ou à des allocations d’emploi.
• Le traitement de données sensibles est nécessaire pour protéger les intérêts vitaux d’une personne lorsque l’individu est physiquement ou légalement incapable de donner son consentement. Par exemple, si une personne est inconsciente à la suite d’un accident et nécessite des soins médicaux immédiats, ses données de santé peuvent avoir besoin d’être traitées pour que les soins médicaux appropriés soient dispensés.
• Le traitement de données sensibles s’effectue dans le cadre des activités légitimes d’une fondation, d’une association ou d’une autre organisation à but non lucratif ayant un but politique, philosophique, religieux ou syndical, et uniquement pour le traitement des données personnelles de leurs membres, anciens membres ou personnes ayant des contacts réguliers avec eux.
• Les données sensibles ont été manifestement rendues publiques par les individus.
• Le traitement des données sensibles est nécessaire dans le cadre d’une procédure judiciaire.
• Le traitement des données sensibles est nécessaire pour des questions d’intérêt public substantiel.
• Le traitement de données sensibles est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail. Par exemple, l’évaluation des données sensibles d’une personne, telles que ses données médicales, peut être nécessaire pour déterminer sa capacité de travail en tant qu’employé.
• Le traitement de données sensibles est nécessaire pour des questions de santé publique sur la base du droit de l’Union ou du droit national. Par exemple, le traitement des données sensibles des personnes peut être nécessaire pour garantir une qualité élevée des soins de santé et une qualité élevée des produits médicaux, ou pour lutter contre les menaces graves pour la santé, telles que les virus.
• Le traitement de données sensibles est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Par exemple, le traitement de données sensibles peut être nécessaire pour fournir des statistiques précises sur la situation d’un pays dans un domaine particulier. 
   

Plus d’informations:

• Traiter les données personnelles de manière licite

Un contrat valide entre le responsable du traitement et le sous-traitant est obligatoire en vertu du RGPD. Une infraction peut faire l’objet d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel total d’une entreprise, le montant le plus élevé étant retenu.

Pour vous guider lors de la mise en place d’un accord responsable du traitement des données, les autorités danoises et slovènes chargées de la protection des données, ainsi que la Commission européenne, ont élaboré des modèles de contrat.

Plus d’informations :

• Responsable du traitement des données ou sous-traitant
   

Les particuliers peuvent vous demander si vous traitez leurs données et, dans ce cas, ils ont le droit d’accéder à ces données. Ainsi, lorsque cela se produit et si vous traitez leurs données, vous devez, par exemple, fournir une copie de leurs données personnelles, gratuitement, ainsi que toute information supplémentaire nécessaire. Lorsqu’une demande est faite par voie électronique, votre organisme doit fournir les renseignements requis dans un format électronique couramment utilisé, ou un autre format demandé par la personne concernée.

Plus d’informations :

• Respecter les droits des individus

Vous devez répondre dans les meilleurs délais et, au plus tard, dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour y répondre, à condition que la personne en soit informée dans un délai d’un mois à compter de la réception de la demande.

Vous devez le faire gratuitement.

Plus d’informations :

• Respecter les droits des individus

Le RGPD s’applique à l’utilisation de cookies lorsque ceux-ci sont utilisés pour traiter des données personnelles, mais il existe également des règles plus spécifiques pour les cookies, y compris la directive « vie privée et communications électroniques » (ePrivacy).

Le stockage d’un cookie, ou l’accès à un cookie déjà stocké, dans le terminal d’un utilisateur n’est autorisé qu’à condition que l’abonné ou l’utilisateur concerné ait été correctement informé (notamment des finalités du traitement) et ait donné son consentement.

La seule exception concerne les cookies techniquement nécessaires : les organismes n’ont pas besoin de demander le consentement lors de l’utilisation de ces cookies techniquement sur leurs sites web.

Plus d’informations :

• Traiter les données personnelles de manière licite
   

La pseudonymisation consiste à transformer des données personnelles afin qu’elles ne puissent plus être attribuées à une personne spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données ne sont pas attribuées à des personnes physiques. Dans la pratique, il peut s’agir de remplacer les données personnelles (nom, prénom, numéro personnel, numéro de téléphone, etc.) par des données d’identification indirecte (alias, numéro séquentiel, etc.) dans un ensemble de données. Les données pseudonymisées sont toujours des données personnelles et sont soumises au RGPD.

Les données anonymisées sont des données qui ont été rendues anonymes, de telle sorte que l’individu n’est pas ou plus identifiable par tout moyen raisonnablement susceptible d’être utilisé. Lorsque l’anonymisation est correctement mise en œuvre, le RGPD ne s’applique plus aux données anonymisées.

Plus d’informations :

• Sécuriser les données personnelles

Le RGPD distingue deux rôles principaux : le responsable du traitement et le sous-traitant. Cette distinction est cruciale, car le responsable du traitement porte plus de responsabilités et doit remplir plus d’obligations que le sous-traitant.
Les responsables du traitement et les sous-traitants peuvent être des personnes physiques ou morales, par exemple une PME, une autorité publique, une entreprise, une organisation, un organisme d’État, une association, etc.
Le responsable du traitement détermine les finalités et les moyens d’une opération de traitement. En d’autres termes, le responsable du traitement décide du comment et du pourquoi d’une opération de traitement. Les sous-traitants, quant à eux, traitent des données personnelles pour le compte du responsable du traitement. Le traitement effectué par les sous-traitants doit être régi par un contrat avec le responsable du traitement des données ou par un autre acte juridique.

Exemples de contrôleurs de données :

• les entreprises qui traitent les données personnelles de leurs clients pour finaliser une vente ;
• les institutions financières qui traitent les données personnelles de leurs clients ;
• les associations qui traitent les données de leurs membres ;
• les écoles ou universités qui traitent les données personnelles des étudiants et des enseignants ;
• les hôpitaux qui traitent les données personnelles de leurs patients ;
• les agences gouvernementales qui traitent les données personnelles des citoyens.

Exemples de sous-traitants :

• une PME embauche un service de comptabilité pour conserver ses livres de comptes : la PME est responsable du traitement des données et le service de comptabilité est un sous-traitant ;
• une société de gestion de paie traite les données personnelles d’une PME. La société de gestion de paie agira en tant que sous-traitant si elle traite uniquement les données personnelles pour le compte de la PME. La PME détermine les finalités et les moyens du traitement des données et est donc responsable du traitement des données.
• une PME demande à une société de marketing de collecter des adresses e-mail via des sites web tiers. La société de marketing se confirme aux instructions explicites de la PME et aux fins exclusives de celle-ci. La société de marketing agit comme sous-traitant pour cette collecte de données.
   

Plus d’informations :

• Responsable du traitement ou sous-traitant

Certains types de données personnelles appartiennent à des catégories particulières de données personnelles, ce qui signifie qu’elles méritent plus de protection : il s’agit des données dites sensibles. Les données sensibles comprennent des données qui révèlent des informations sur un individu 

• la santé ;
• l’orientation sexuelle ;
• l’origine raciale ou ethnique ;
• les opinions politiques, les croyances religieuses ou philosophiques ;
• l’appartenance syndicale ;
• les données biométriques et génétiques.

Le traitement des données sensibles d’une personne est généralement interdit, sauf dans des circonstances spécifiques qui justifient son traitement.
 

Plus d’informations:

• Bases de la protection des données

Le DPD peut être un employé existant ayant une connaissance suffisante du RGPD (si les tâches professionnelles du salarié sont compatibles avec celles du DPD et que cela ne conduit pas à des conflits d’intérêts) ou une personne externe. Le DPD devrait être en mesure d’exécuter des missions de manière indépendante et de rendre compte directement au plus haut niveau de direction.

Plus d’informations :

• Le délégué à la protection des données

Les données personnelles désignent toute information relative à une personne identifiée ou identifiable. Une personne identifiable est toute personne qui peut être identifiée directement ou indirectement. Différents éléments d’information qui pourraient conduire, ensemble, à l’identification d’une personne en particulier constituent également des données personnelles.
Voici des exemples de données personnelles :

• nom et prénom ;
• une adresse postale ;
• une adresse courriel ;
• un numéro de carte d’identité ;
• les données de localisation ;
• une adresse IP ;
• un identifiant de cookie ;
• les comptes bancaires ;
• les déclarations fiscales ;
• les données biométriques (comme les empreintes digitales) ;un numéro de sécurité sociale ;
• le numéro de passeport ;
• des résultats d’évaluation ;
• les notes scolaires ;
• l’historique de navigation ;
• un photo d’identité ;
• le numéro d’immatriculation du véhicule, etc.
   

Plus d’informations:

• Les bases de la protection des données
   

1. Assurez-vous que les données que vous avez reçues ont été collectées légitimement et que les personnes concernées ont été informées du traitement de leurs données personnelles.
2. Dans le cas où un tiers traite des données personnelles en votre nom, assurez-vous de mettre en place un contrat avec le sous-traitant, qui détaille les opérations de traitement et les moyens de traiter les données personnelles.

Et, bien entendu, respectez toutes vos obligations de responsable de traitement.

Plus d’informations :

• Responsable de traitement ou sous-traitant

Les mesures de sécurité nécessaires peuvent varier en fonction de la nature des données personnelles que vous traitez et des risques associés pour les individus. Dans tous les cas, il y a quelques mesures minimales que vous devriez mettre en place :

• sécuriser l’accès aux locaux ;
• utiliser un logiciel antivirus régulièrement mis à jour ;
• choisir soigneusement vos mots de passe;
• authentifier les utilisateurs avant d’utiliser les installations informatiques;
• disposer d’une politique de sauvegarde et de récupération des données en cas d’incident.

En outre, certaines mesures de base telles que verrouiller votre écran pendant votre absence et votre bureau à la fin de la journée sont toujours pertinentes.

Plus d’informations :

• Sécuriser les données personnelles
   

La publication des noms des gagnants d’un concours sur votre site web pourrait être considérée comme un intérêt légitime, si vous pouvez le prouver en effectuant un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur le droit des personnes concernées.

Une bonne pratique consisterait à mettre en place une procédure interne au sein de laquelle les règles relatives à la publication des données personnelles des lauréats sont expliquées.

En outre, le traitement des données personnelles à ces fins devrait faire partie de la politique de confidentialité du concours, de sorte que les participants soient informés à l’avance de la manière dont leurs données seront traitées.

Plus d’informations :

• Traiter les données personnelles de manière licite

Oui, vous pouvez, mais le RGPD impose certaines obligations aux entreprises qui partagent des données personnelles. Votre organisme doit informer les personnes que vous partagerez leurs données avec un tiers. Vous devez également les informer de des finalités poursuivies ainsi que des mesures de sécurité, d’accès et de conservation qui s’appliqueront.

La désignation d’un DPD est obligatoire dans les trois cas suivants :

• l’organisme est une autorité publique ;
• les activités de base de l’organisation consistent en un suivi régulier et systématique des individus à grande échelle, par exemple la géolocalisation via une application mobile, ou la surveillance des centres commerciaux et des espaces publics par le biais de la vidéosurveillance ;
• les activités principales de l’organisme consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et à des infractions.

Vous pouvez toujours désigner un DPD sur une base volontaire, même si cela n’est pas légalement requis. Veuillez noter que dans ce cas, vous devez vous conformer à toutes les dispositions du RGPD concernant les missions et la position du délégué à la protection des données dans l’organisme.

Plus d’informations :

• Le délégué à la protection des données

Non, il n’est pas nécessaire de rendre public votre registre des activités de traitement. Vous devez toutefois être en mesure de mettre le registre à la disposition de l’autorité de protection des données, à sa  demande.

Plus d’informations :

• Se mettre en conformité