Data protection guide for small business logo
Close menu
Back to EDPB

Questions fréquemment posées

Filter on
Filter on topic

Comment puis-je obtenir un consentement valide ?

Pour que le consentement soit considéré comme valide, il doit être :

  • libre ;
  • spécifique ;
  • informé ; et
  • univoque.

Cela signifie que les personnes doivent avoir un choix véritablement libre pour le traitement de leurs données personnelles. Elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et par quels moyens. Elles ont également besoin de pouvoir répondre de manière suffisamment spécifique dans les demandes de consentement.

En outre, il devrait y avoir une action positive claire de la part de l’individu (cases non pré-cochées et  séparées de l’acceptation des conditions générales applicables).

En outre, les individus doivent pouvoir retirer librement leur consentement (sans conséquences négatives) s’ils changent d’avis plus tard.

Plus d’informations :

Quand devriez-vous partager ces informations ?

Si votre organisation collecte les données personnelles directement auprès d’individus, elle doit fournir les informations nécessaires au moment de la collecte.

En cas de collecte indirecte de données personnelles, votre organisme doit fournir les informations au plus tard dans un délai d’un mois à compter de l’obtention initiale des données personnelles. Cette période maximale d’un mois peut être réduite :

  • si les données personnelles sont utilisées à des fins de communication avec la personne concernée. Dans ce cas, vous devez informer la personne concernée au plus tard au moment de la première communication à la personne concernée ;
  • si les données sont transmises à un autre destinataire, l’organisme en informe les personnes concernées au plus tard au moment du transfert des données personnelles. 

Plus d’informations :

Mon organisme doit-il se conformer au RGPD ?

Tout organisme, quelle que soit sa taille ou son secteur, établi dans l’Espace économique européen (EEE) ou offrant des produits ou des services à des particuliers dans l’EEE, traitant des données personnelles, de manière automatisée ou non, doit se conformer au RGPD. Même si le RGPD concerne principalement le traitement automatisé de données personnelles, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur. 

Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation, la modification et l’effacement de données personnelles.

Néanmoins, les règles applicables du RGPD dépendent de la nature, du contexte, des finalités et des risques des opérations de traitement effectuées. Pour les PME dont l’activité principale n’est pas le traitement de données personnelles, les obligations peuvent être moins strictes que pour une grande entreprise.

Plus d’informations :

Quelles sont les missions du délégué à la protection des données (DPD) ?

La tâche du DPD comprend, entre autres :

  • informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
  • contrôler la conformité à la protection des données;
  • fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
  • agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
  • agir comme point de contact pour les particuliers.

En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.

Plus d’informations :

Quelles sont mes responsabilités en vertu du RGPD ?

Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :

  • Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
  • Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
  • Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
  • Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
  • Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
  • Tenir un registre des opérations de traitement.

Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.

Plus d’informations:

Quels sont les principes de base du traitement en vertu du RGPD?

  • Tout traitement de données personnelles doit être licite, équitable et transparent.
  • Ne recueillent des données personnelles qu’à des fins spécifiées, explicites et légitimes. Le traitement des données d’une personne doit être strictement limité à la ou aux finalités initialement établies, et donc ne pas être traité à des fins ultérieures ou autres qui sont incompatibles avec les finalités initiales.
  • Ne traitent que les données personnelles nécessaires et proportionnées à la lumière de l’objectif envisagé.
  • Toutes les données personnelles que vous traitez doivent être exactes et mises à jour. Les données personnelles inexactes doivent être rectifiées ou effacées.
  • Le stockage des données personnelles des personnes physiques doit être limité dans le temps, compte tenu de la finalité pour laquelle ces données ont été collectées et traitées. En tant que telles, les données personnelles des personnes doivent être supprimées ou anonymisées une fois que ces données ne sont plus nécessaires.
  • Le traitement des données personnelles doit se faire de manière sécurisée. En ce sens, de solides contrôles de cybersécurité doivent être mis en place pour garantir une protection adéquate des données des individus.

Enfin, le responsable du traitement est responsable. Cela signifie qu’il est responsable et doit être en mesure de démontrer le respect des principes ci-dessus.

Plus d’informations:

Combien de temps puis-je conserver des données personnelles ?

Vous ne pouvez pas stocker des données personnelles pour toujours.

En règle générale, les données personnelles ne peuvent être conservées que le temps nécessaire pour atteindre les objectifs pour lesquels les données personnelles sont traitées.

Dans certains cas, la durée de conservation des données peut être déterminée par des lois spécifiques. Par exemple, la réglementation du travail détermine une durée de conservation pour les bulletins de salaire.

Les organismes devraient mettre en place des politiques de conservation des données pour s’assurer que les données personnelles ne sont pas conservées plus longtemps que nécessaire. Les données personnelles des personnes doivent être supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires pour atteindre les objectifs pour lesquelles elles ont été traitées. 
 

Plus d’informations :

Ai-je besoin d’un registre des activités de traitement ?

D’une manière générale, chaque organisation doit tenir un registre de ses activités de traitement. Il s’agit d’un inventaire de toutes les opérations de traitement et peut vous aider à déterminer correctement vos responsabilités au regard du RGPD et les risques possibles.
Chacune de ces opérations de traitement doit être décrite dans le registre avec les informations suivantes :

  • la finalité du traitement (par exemple, la fidélité du client) ;
  • les catégories de données traitées (par exemple, pour les bulletins de salaire : nom, prénom, date de naissance, salaire, etc.) ;
  • qui a accès aux données (ou destinataires, par exemple : le service en charge du recrutement, du service informatique, de la direction, ou des prestataires de services, des partenaires commerciaux...) ;
  • Si nécessaire, les informations relatives aux transferts de données personnelles en dehors de l’Espace économique européen (EEE),
  • dans la mesure du possible, la durée de conservation des données (c’est-à-dire la durée pendant laquelle les données sont utiles d’un point de vue opérationnel ou d’archivage).
  • dans la mesure du possible, une description générale des mesures de sécurité.

Le registre des activités de traitement relève de la responsabilité du responsable de votre organisme.
Cet enregistrement doit être mis à la disposition de l’autorité de protection des données du pays de l’EEE où vous exercez vos activités, à leur demande.

Les organisations employant moins de 250 personnes n’ont pas d’obligation à indiquer des activités purement occasionnelles dans leur dossier (par exemple, les données traitées pour des évènements ponctuels tels que l’ouverture d’un magasin).

Plus d’informations :

Qu’est-ce qu’un conflit d’intérêts pour un délégué à la protection des données (DPD) ?

Les DPD peuvent remplir d’autres missions au sein de l’organisation, mais cela ne peut pas entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement. Les fonctions contradictoires comprennent principalement des postes de direction (chef de la direction, chef des opérations, chef des finances, chef des ressources humaines, chef de l’informatique, directeur général), mais peuvent également concerner d’autres fonctions si elles conduisent à la détermination des finalités et des moyens de traitement.
Le DPD doit être en mesure d’exercer ses fonctions et missions de manière indépendante. Cela signifie que votre organisme :

  • ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
  • ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses missions.

Plus d’informations :

Que dois-je faire en cas de violation de données ?

Une violation de données personnelles est un incident de sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès à celles-ci.

  • Si la violation de données présente un risque pour les personnes concernées, vous devez la signaler à l’autorité compétente en matière de protection des données dans un délai de 72 heures.
  • Si la violation est susceptible d’entraîner un risque élevé pour les personnes, vous devrez également communiquer cette violation aux personnes concernées dans les meilleurs délais.

En tout état de cause, pour toutes les infractions – même celles qui ne sont pas notifiées à un autorité de protection des données – vous devez consigner au moins les détails de base de la violation, l’évaluation de celle-ci, ses effets et les mesures prises pour y répondre.

Plus d’informations :

Comment puis-je respecter les droits des individus en matière de protection des données ?

Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :

  • en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
  • en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.

Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.

Plus d’informations :

Comment puis-je suivre le travail du CEPD ?

Le CEPD publie régulièrement des communiqués de presse, des articles d’actualité, des billets de blog et d’autres contenus sur son site web et ses canaux de médias sociaux (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) pour informer la communauté de la protection des données et le grand public sur ses travaux.

Le site web du CEPD dispose également de deux flux RSS, auxquels vous pouvez vous abonner pour recevoir des mises à jour automatiques sur les actualités du CEPD et ses dernières publications.

Qu’est-ce que le RGPD ?

Le RGPD ou le règlement général sur la protection des données crée un ensemble harmonisé de règles applicables à tous les traitements de données personnelles effectués par des organisations (publiques ou privées, quelle que soit leur taille) établies dans l’Espace économique européen (EEE) ou ciblant des personnes physiques dans l’UE. L’objectif principal du RGPD est de veiller à ce que les données personnelles bénéficient du même niveau de protection élevé partout dans l’EEE, d’accroître la sécurité juridique tant pour les personnes physiques que pour les organisations qui traitent des données, et d’offrir un degré élevé de protection aux individus.

Le règlement est entré en vigueur le 24 mai 2016 et s’applique depuis le 25 mai 2018.

Le RGPD s’applique-t-il également aux enregistrements papier ?

Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.

Plus d’informations :

Qu’est-ce qu’un responsable conjoint de traitement ?

Lorsqu’il y a deux ou plusieurs responsables du traitement qui déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints du traitement. Ils décident ensemble de traiter les données personnelles à des fins communes. Cette responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables de traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives en ce qui concerne le respect du RGPD.

Il est important de noter qu’être responsable de traitement conjoint implique la responsabilité partagée d’une activité de traitement.

  • Exemple de responsabilité de traitement conjointe : Les entreprises A et B ont lancé un produit en collaboration et souhaitent organiser un évènement pour promouvoir ce produit. À cette fin, ils décident de partager les données de leurs bases de données client et prospects respectifs et décident de la liste des invités à l’événement sur cette base. Ils s’accordent également sur les modalités d’envoi des invitations à l’événement, sur la manière de recueillir des commentaires lors de l’événement et sur les actions marketing de suivi. Les entreprises A et B peuvent être considérées comme des responsables conjoints du traitement des données personnelles liées à l’organisation de l’événement promotionnel, car elles décident ensemble de la finalité définie conjointement et des moyens essentiels du traitement des données dans ce contexte.
     

Plus d’informations :

J’organise un évènement dans le cadre de mes activités commerciales, puis-je faire des photos et des vidéos de l’évènement et des personnes présentes ?

Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.

Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.

Plus d’informations :

Si je souhaite conserver les CV des candidats pour les futures procédures de recrutement, dois-je demander leur consentement ?

Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.

En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.

Plus d’informations :

Puis-je traiter des données personnelles uniquement lorsque j’ai le consentement de la personne ?

Le traitement des données personnelles est autorisé s’il repose sur une base légale. Outre le consentement libre, spécifique, éclairé et univoque, d’autres bases légales pour le traitement peuvent être utilisées.

En d’autres termes, le consentement est nécessaire lorsqu’aucune des autres bases légale ne s’applique.

Plus d’informations :

Dois-je être certifié pour devenir délégué à la protection des données (DPD) ?

Non, vous n’avez pas besoin d’être certifié pour devenir DPD.

Les DPD doivent toutefois être en mesure de démontrer qu’ils possèdent les qualifications requises par le RGPD, telles qu’une expertise en droit et pratiques sur la protection des données.

Plus d’informations :

Qu’est-ce qu’une analyse d’impact sur la protection des données et quand est-elle requise ?

Une analyse d’impact sur la protection des données ou AIPD est une évaluation écrite que votre organisme devrait effectuer pour évaluer l’impact d’une opération de traitement planifiée. Il vous aide à identifier les mesures appropriées pour faire face aux risques et à démontrer votre conformité.

S’il est toujours préférable d’anticiper l’impact des opérations de traitement planifiées de votre organisme en effectuant une AIPD, il est obligatoire d’effectuer une AIPD lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.

En particulier, c’est le cas lorsque le traitement envisagé implique :

  • le traitement – à grande échelle – de données personnelles sensibles ou de données relatives à des condamnations pénales ; 
  • l’évaluation systématique et approfondie des aspects personnels d’une personne fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques à l’égard de l’individu en question ou qui affectent les individus de manière significative ;
  • la surveillance systématique d’une zone accessible au public à grande échelle.

Le CEPD a élaboré des lignes directrices qui énumèrent les critères à prendre en compte pour évaluer si une AIPD est obligatoire ou non. Les autorités chargées de la protection des données ont également publié des listes d’opérations de traitement qui font l’objet d’une AIPD. De plus, plusieurs autorités ont développé des guides, des logiciels ou des outils d’autoévaluation pour vous aider dans votre évaluation (par exemple la CNIL en France).

Plus d’informations :