Questions sur la loi RGPD




Protection des données en vertu du règlement général sur la protection des données ()

La RGPD définit les exigences détaillées pour les entreprises et les organisations en ce qui concerne la collecte, le stockage et la gestion des données personnelles. Elles s’appliquent à la fois aux organisations européennes qui traitent les données à caractère personnel des citoyens dans l’UE (en l’occurrence, tous les pays de l’UE plus l’Islande, le Liechtenstein et la Norvège) et aux organisations extérieures à l’UE qui ciblent les personnes vivant dans l’UE.

Quand le règlement général sur la protection des données (RGPD) s’applique-t-il ?

Que vous soyez propriétaire d’un site de voyance autant que d’un site de déménagement la RGPD s’applique lorsque :

  • la société traite des données personnelles et est basée dans l’UE, quel que soit le lieu où les données sont effectivement traitées
  • la société est basée en dehors de l’UE mais traite des données personnelles relatives à l’offre de biens et de services aux citoyens de l’UE ou suit le comportement des individus dans l’UE.

Les entreprises qui ne sont pas basées dans l’UE et qui traitent des données de citoyens de l’UE doivent désigner un représentant au sein de l’UE.

Quand le règlement général sur la protection des données (RGPD) ne s’applique-t-il pas ?

La RGPD ne s’applique pas quand :

la personne concernée est décédée
la personne concernée est une personne morale
le traitement des données est effectué par une personne agissant à des fins qui n’entrent pas dans le cadre de ses activités commerciales, entrepreneuriales ou professionnelles.

Qu’entend-on par données personnelles ?

Par données personnelles, on entend toute information concernant une personne identifiable ou non identifiable, également appelée personne concernée. Les données personnelles comprennent des informations telles que :

nom et prénom
adresse
numéro de carte d’identité/passeport
revenu
profil culturel
Adresse de protocole Internet (IP)
les données détenues par un médecin ou un hôpital (qui permettent d’identifier une personne de façon unique à des fins de santé).

Catégories spéciales de données

Il n’est pas possible de traiter les données personnelles vous concernant :

  • la race ou l’origine ethnique
  • préférence sexuelle
  • opinions politiques
  • les croyances religieuses ou philosophiques
  • adhésion au syndicat
  • les données génétiques, biométriques ou sanitaires, sauf dans des cas spécifiques (par exemple, lorsque le consentement explicite a été donné ou lorsque le traitement est nécessaire pour des raisons d’intérêt public relevant du droit national ou du droit de l’UE)
    les données à caractère personnel relatives aux condamnations pénales et aux infractions, sauf si le traitement est autorisé par le droit national ou communautaire.

Qui traite les données personnelles ?

Lors du traitement, les données personnelles peuvent être transmises entre différentes entreprises ou organisations. Dans ce processus, deux personnages principaux gèrent le traitement des données à caractère personnel :

  1. le responsable du traitement des données, qui décide de la finalité et des modalités du traitement des données à caractère personnel
  2. le responsable du traitement, qui détient et traite les données pour le compte d’un responsable du traitement.

Qui contrôle le traitement des données à caractère personnel au sein d’une entreprise ?

Le délégué à la protection des données (DPD), qui peut être désigné par l’entreprise, est chargé de surveiller la manière dont les données personnelles sont traitées et d’informer et de notifier les employés qui traitent les données de leurs obligations. Le DPD coopère également avec l’Autorité de protection des données (APD) et sert de point de contact entre l’APD et le public.
Quand faut-il désigner un délégué à la protection des données ?

Une société doit nommer un DPD si :
  • elle réglemente ou contrôle systématiquement les personnes ou traite des catégories particulières de données
  • le traitement des données est l’activité principale
  • elle effectue le traitement des données à grande échelle.

Par exemple, si des données personnelles sont traitées pour cibler la publicité sur les moteurs de recherche en fonction du comportement des gens en ligne, l’entreprise doit avoir un responsable de la protection des données (DPD). Si, par contre, l’entreprise envoie du matériel promotionnel à ses clients une fois par an, il n’est pas nécessaire d’avoir un DPD. De même, si un médecin recueille des données sur la santé de ses patients, il n’a probablement pas besoin d’une OPH. Mais si des données personnelles sur la génétique et la santé sont traitées pour un hôpital, alors elles sont nécessaires.

Le responsable de la protection des données peut être un membre du personnel de l’organisation ou peut être nommé à l’extérieur sur la base d’un contact de service. Un DPD peut être un individu ou une partie d’une organisation.
Traitement de données pour une autre entreprise

Le responsable du traitement peut désigner un sous-traitant qui donne des garanties suffisantes, qui doivent figurer dans un contrat écrit entre les parties concernées. Le contrat doit également contenir un certain nombre de clauses obligatoires, par exemple que le sous-traitant ne peut traiter des données à caractère personnel que lorsqu’il en reçoit l’instruction du responsable du traitement.
Le transfert de données en dehors de l’UE

Lorsque des données personnelles sont transférées en dehors de l’UE (dans ce cas, tous les pays de l’UE plus l’Islande, le Liechtenstein et la Norvège), la protection garantie par la DSGP suit les données.

Cela signifie que si les données sont exportées à l’étranger, l’entreprise doit s’assurer qu’elle respecte l’une des mesures suivantes :

  • les mesures de protection des pays tiers doivent être considérées comme adéquates par l’UE
  • la société prend les mesures nécessaires pour fournir des garanties adéquates, comme par exemple en incluant des clauses spécifiques dans le contrat conclu avec le pays tiers qui importe les données à caractère personnel
  • l’entreprise effectue le transfert sur la base de raisons spécifiques (dérogations), telles que le consentement de la personne.

Quand le traitement des données est-il autorisé ?

Les règles de l’UE en matière de protection des données prévoient que les données doivent être traitées loyalement et licitement, pour une finalité spécifique et légitime, et que seuls les éléments nécessaires à la réalisation de cette finalité doivent être traités. Pour le traitement des données personnelles, au moins une des conditions suivantes doit être remplie :

  • la personne concernée a donné son consentement
  • les données personnelles sont nécessaires pour remplir une obligation contractuelle envers l’individu
  • les données personnelles sont nécessaires pour remplir une obligation légale
  • les données personnelles sont nécessaires pour protéger les intérêts vitaux de l’individu
  • le traitement des données personnelles est effectué pour une activité d’intérêt public
  • les intérêts légitimes de l’entreprise sont servis, pour autant que le traitement des données d’une personne ne porte pas gravement atteinte à ses droits et libertés fondamentaux.
  • Le traitement des données personnelles n’est pas autorisé si les droits de l’individu l’emportent sur les intérêts de l’entreprise.

Acceptation du traitement des données – consentement

La RGPD applique des règles strictes pour le traitement des données sur la base du consentement. Le but de ces règles est de s’assurer que la personne comprend ce à quoi elle consent. Cela signifie que le consentement doit être donné de manière libre, spécifique, éclairée et sans équivoque par le biais d’une demande formulée dans un langage clair et simple. Le consentement s’exprime par un acte positif, comme cocher une case en ligne ou signer un formulaire.

Lorsque le consentement est donné, les données à caractère personnel ne peuvent être traitées qu’aux fins pour lesquelles le consentement a été donné. Vous devez également vous assurer que vous pouvez révoquer votre consentement.
Fournir des informations transparentes

Les personnes devraient recevoir des informations claires sur les personnes qui traitent leurs données personnelles et sur les raisons de ce traitement. Les informations minimales à inclure sont les suivantes

qui vous êtes
pourquoi traitez-vous des données personnelles
quelle est la base juridique
qui recevra les données (s’il y a lieu).

Dans certains cas, l’information fournie doit également comprendre :

les coordonnées du délégué à la protection des données (DPD), le cas échéant
quel est l’intérêt légitime poursuivi par l’entreprise si le traitement porte sur cette base juridique
les mesures prises pour le transfert de données vers un pays tiers
la période de stockage des données
les droits de l’individu à la protection des données (par exemple, droit d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, etc.)
comment retirer le consentement (si le consentement est la base juridique du traitement)
l’existence d’une obligation légale ou contractuelle de fournir des données
des informations sur la logique, la pertinence et les conséquences de la décision dans le cas de processus décisionnels automatisés.

L’information doit être présentée dans un langage clair et simple.
Règles spécifiques pour les mineurs

Afin de collecter des données personnelles sur les enfants qui sont basées sur le consentement, par exemple en ce qui concerne l’utilisation d’un compte de médias sociaux ou d’un compte de téléchargement, vous devez d’abord recevoir le consentement parental, par exemple en envoyant une notification à un parent ou à un tuteur. L’âge auquel une personne est considérée comme mineure varie selon l’endroit où elle vit, mais se situe entre 13 et 16 ans.
Le droit d’accès et la portabilité des données

Le droit d’accès gratuit aux données personnelles doit être garanti aux individus. Lorsqu’une telle demande est reçue, elle est nécessaire :

pour leur faire savoir s’ils traitent leurs données personnelles
fournir des informations sur le traitement (la finalité du traitement, les catégories de données à caractère personnel concernées, les destinataires des données, etc.)
fournir une copie des données à caractère personnel traitées (dans un format accessible).

Lorsque le traitement est fondé sur un consentement ou un contrat, la personne peut également demander la restitution de ses données personnelles ou leur transmission à une autre entreprise. C’est ce qu’on appelle la portabilité des données. Les données doivent être fournies dans un format électronique couramment utilisé.
Le droit de rectification et d’opposition

Si une personne estime que ses données personnelles sont incorrectes, incomplètes ou inexactes, elle a le droit de demander qu’elles soient corrigées ou complétées sans délai excessif.

Si les données personnelles partagées ont été modifiées ou supprimées, vous devez en informer tous les destinataires. Si les données personnelles partagées sont incorrectes, il peut être nécessaire d’informer toute personne ayant remarqué l’erreur (sauf si l’on estime que cela implique un effort disproportionné).

Une personne peut à tout moment s’opposer au traitement de ses données personnelles pour une utilisation particulière si l’entreprise les traite sur la base de son propre intérêt juridique ou pour une activité d’intérêt public. L’entreprise ne doit plus traiter de données personnelles à moins que l’intérêt légitime ne l’emporte sur l’intérêt de l’individu.

En même temps, une personne peut demander de limiter le traitement de ses données personnelles pendant qu’on détermine si l’intérêt juridique l’emporte sur l’intérêt de la personne. Toutefois, dans le cas de la publicité directe, il n’est plus possible de traiter les données personnelles si la personne concernée en fait la demande.
Droit de suppression (droit d’être oublié)

Dans certaines circonstances, une personne peut demander au responsable du traitement de supprimer ses données à caractère personnel, par exemple si elles ne sont plus nécessaires pour atteindre la finalité du traitement. Cependant, la société n’est pas obligée de le faire si :

le traitement sert à respecter la liberté d’expression et d’information
il est nécessaire de conserver les données personnelles afin de remplir une obligation légale
il existe d’autres raisons d’intérêt public pour la conservation des données, par exemple à des fins de santé publique ou de recherche scientifique ou historique
il est nécessaire de conserver les données personnelles afin de pouvoir engager des poursuites judiciaires.

Processus de décision automatisé et profilage

Les personnes ont le droit de ne pas être soumises à une décision fondée uniquement sur un traitement automatisé. Toutefois, il y a certaines exceptions à la règle, par exemple si les personnes ont donné leur consentement explicite à la décision automatisée. Sauf lorsque la décision automatisée est requise par la loi, l’entreprise doit :

informer la personne du processus de prise de décision automatisé
garantir à l’individu le droit de faire réviser la décision automatisée par une personne
s’assurer que la personne a la possibilité de contester la décision automatisée.

Par exemple, si une banque automatise la décision d’accorder ou non un prêt à une personne donnée, cette dernière doit être informée de la décision automatisée et doit avoir la possibilité de la contester et de demander une intervention humaine.
Violations de données : assurer une notification adéquate

Une violation de données se produit lorsque des données personnelles dont vous êtes responsable sont accidentellement ou illégalement divulguées à des destinataires non autorisés, ou sont rendues temporairement indisponibles ou modifiées.

En cas de violation des données présentant un risque pour les droits et libertés fondamentaux, vous devez en informer l’autorité de protection des données dans les 72 heures suivant la prise de connaissance de la violation.

Selon que la violation des données représente ou non un risque élevé pour les personnes concernées, l’entreprise peut également devoir informer toutes les personnes concernées.
Répondre aux demandes

Si la société reçoit une demande d’une personne qui souhaite exercer ses droits, elle doit y répondre sans délai et, en tout état de cause, dans le mois qui suit la réception de la demande. Le délai de réponse peut être porté à deux mois pour les demandes complexes ou multiples, à condition que le citoyen soit informé de la prolongation. Les demandes sont traitées gratuitement.

Si une demande est refusée, la personne doit être informée des raisons du refus et de son droit de déposer une plainte auprès de l’autorité de protection des données.
Analyses d’impact

Une évaluation d’impact sur la protection des données (DPIA) est obligatoire chaque fois qu’un traitement envisagé pourrait présenter un risque sérieux pour les droits et libertés des citoyens, par exemple lorsque de nouvelles technologies sont utilisées.

Le risque élevé est présent quand :

des mécanismes de traitement automatisé ou de profilage sont utilisés pour évaluer les personnes
un espace accessible au public est surveillé à grande échelle (par exemple, des systèmes de vidéosurveillance)
des catégories particulières de données (par exemple, les données relatives à la santé) ou des données à caractère personnel relatives aux condamnations pénales et aux infractions sont traitées à grande échelle.

Note : l’autorité de protection des données peut également considérer d’autres catégories de traitement de données comme étant à haut risque.

Si les mesures indiquées dans la LDPI n’éliminent pas tous les risques élevés identifiés, la LDPI doit être consultée avant le traitement de ces données.
Établissement d’un registre

La société doit démontrer qu’elle agit conformément au règlement général sur la protection des données et qu’elle respecte toutes les obligations applicables, en particulier sur demande ou lors d’une inspection de l’autorité chargée de la protection des données.

Une possibilité consiste à tenir des registres détaillés, par exemple de :

le nom et les coordonnées de l’entreprise participant au traitement des données
les raisons du traitement des données
une description des catégories de personnes fournissant des données à caractère personnel
les catégories d’organisations recevant des données à caractère personnel
le transfert de données à caractère personnel vers un autre pays ou une autre organisation
la durée de conservation des données personnelles
une description des mesures de sécurité utilisées dans le traitement des données à caractère personnel.

L’entreprise doit également avoir des procédures et des lignes directrices écrites qui doivent être mises à jour régulièrement et communiquées aux employés.

S’il s’agit d’une PME ou d’une petite entreprise, il n’est pas nécessaire de tenir des registres des activités de traitement des données, à condition que :

ils ne sont pas effectués fréquemment
ne portent pas atteinte aux droits et libertés des personnes concernées
ne concernent pas les données sensibles ou les informations sur les casiers judiciaires.

Protection des données par conception et par défaut

La protection des données dès la phase de conception exige que l’entreprise prenne en compte la protection des données dès les premières étapes de la planification d’une nouvelle méthode de traitement des données. Conformément à ce principe, le responsable du traitement doit prendre toutes les mesures techniques et organisationnelles nécessaires pour mettre en œuvre les principes de protection des données et protéger les droits des personnes. Les mesures pourraient inclure, par exemple, l’utilisation de la pseudonymisation.

La protection des données par défaut signifie que l’entreprise doit toujours adopter les paramètres qui protègent le mieux la vie privée par défaut. Par exemple, s’il y a deux paramètres de confidentialité possibles et que l’un d’eux empêche des tiers d’accéder aux données personnelles, c’est celui qui doit être utilisé par défaut.
Infractions aux règles et sanctions

Le non-respect de la réglementation générale sur la protection des données peut entraîner des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires global de l’entreprise pour certaines infractions. L’autorité chargée de la protection des données pourrait imposer des mesures correctives supplémentaires, comme par exemple l’obligation de cesser le traitement des données. Pas encore de Note.

Merci de Noter cet article.




Articles Connexes

Plus

    Fenêtre et Porte BG: manufacturier qui offre la meilleure garantie

    Pendant la saison estivale, c'est le moment approprié pour vérifier que les fenêtres et portes de votre maison sont prêtes pour affronter les intempéries de l'hiver. Cet article présente quelques trucs et astuces qui pourront vous permette d'avoir une maison plus confortable cet hiver et économiser.

    Les avantages d’une table ronde pliante

    La table ronde est très pratique, une fois à table, tout le monde se fait face et c’est beaucoup plus convivial. Visiblement moins massive,...

    Achetez Le Meilleur, tout sur le choix d’un robot tondeuse

    Beaucoup de choses peuvent être faites pour embellir une maison. Vous pouvez par exemple planter une pelouse et l’entretenir. Au fur et à mesure...