FAQS

Données personnelles (RGPD)

Différentes obligations sont à la charge des organismes, privés ou public, traitant des données à caractère personnel.

Afin d’être en conformité avec le RGPD, les organismes doivent notamment :

  • Respecter le principe de protection des données personnelles

Le principe de protection des données à caractère personnel et de la vie privée doit être respecté dès la conception du traitement et par défaut (« privacy by default » / « privacy by design »).

Ce principe se décompose, outre le respect des droits des personnes, en quatre grands principes :

  • Le principe de finalité: les données personnelles ne peuvent être traitées que dans un but précis, légal et légitime.
  • Le principe de proportionnalité et de pertinence : les données personnelles traitées doivent être pertinentes, strictement nécessaires, adéquates et non excessives au regard de la finalité du traitement.
  • Le principe de conservation limitée : les données personnelles ne peuvent être conservées que pour une durée limitée qui doit être fixée en fonction du type d’information concernée et de la finalité du traitement.
  • Le principe de sécurité et de confidentialité : le responsable de traitement doit garantir la sécurité et la confidentialité des données personnelles traitées (accès restreint aux données, respect de l’intégrité des données, protection des données etc.)

 

  • Tenir un registre des traitements effectués

Le registre des traitements de données à caractère personnel effectués permet de recenser les traitements de données en identifiant avec précision les personnes intervenant dans le traitement, les données traitées, l’utilité des données, les destinataires des données, la durée de conservation des données et leur mode de sécurisation.

  • Documenter la conformité au RGPD

Il appartient aux organismes traitant des données personnelles de se constituer une documentation afin de prouver leur conformité au RGPD.

Le dossier de conformité devra notamment contenir :

  • Le registre des traitements effectués ;
  • Les analyses d’impact relatives à la protection des données pour les traitements concernés ;
  • L’encadrement des transferts de données hors Union européenne ;
  • Les mentions d’information des personnes concernées par les traitements effectués ;
  • Les modèles de recueil du consentement de ces personnes ;
  • Les procédures mises en place pour l’exercice de leurs droits ;
  • Les contrats conclus avec les sous-traitants ;
  • Les procédures internes mises en place en cas de violations de données personnelles.

 

  • Notifier la violation de données personnelles

Le RGPD impose désormais aux organismes traitant des données à caractère personnelles de traiter en interne les violations des données personnelles et de notifier celles présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, aux personnes concernées par le traitement.

La violation de données est caractérisée dès lors qu’un traitement de données à caractère personnel a été mis en place et que les données traitées ont fait l’objet d’une violation, accidentelle ou illicite, comme la perte d’intégrité ou de confidentialité de la donnée personnelle.

Il appartient aux organismes, en interne, de déterminer la nature de la violation, les données et personnes concernées par la violation, les conséquences de la violation et les mesures prises ou envisagées pour atténuer les conséquences et/ou éviter qu’une telle violation se reproduise.

L’ensemble de ces informations doit être consigné dans un document qui devra, si la violation présente un risque pour les droits et libertés des personnes, être remis à la CNIL dans les 72 heures suivant la constatation de la violation.

  • Réaliser une étude d’impact des traitements à risque

L’analyse d’impact relative à la protection des données est nécessaire lorsque le traitement envisagé est susceptible, compte tenu de sa nature, sa portée, son contexte et ses finalités, d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple une atteinte à la confidentialité, la disponibilité ou l’intégrité des données traitées).

L’analyse d’impact doit être effectuée avant la mise en œuvre du traitement et contient notamment :

  • Une description des opérations de traitement envisagées et les finalités du traitement ;
  • L’évaluation de la nécessité et proportionnalité des opérations de traitement par rapport aux finalités de celui-ci ;
  • L’évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques.
  • Désigner un DPO

Dans certains cas, le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données (DPO pour « Data Protection Officer »).

Tel est le cas lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Bien que pour les autres organismes la désignation ne soit pas obligatoire, elle est vivement encouragée par les autorités car elle permet de confier à une personne disposant d’une expertise technique les actions à mener par l’organisme en matière de données personnelles.

En effet, le DPO est chargé de mettre en œuvre la conformité du responsable de traitement ou du sous-traitant au RGPD et doit notamment :

  • Informer et conseiller l’organisme qui l’a désigné sur les actions à effectuer ;
  • Contrôler le respect du RGPD ;
  • Conseiller l’organisme qui l’a désigné sur l’analyse d’impact à réaliser ;
  • Coopérer avec la CNIL.

Il doit disposer de compétences juridiques et techniques en matière de protection de données personnelles, avoir une bonne connaissance de l’activité de l’organisme et des traitements effectués par celui-ci et pouvoir exercer sa mission de DPO en toute indépendance

  • S’assurer du respect des droits des personnes concernées par les traitements effectués

Les personnes dont les données personnelles sont collectées et traitées disposent de différents droits que le responsable de traitement et le sous-traitant doivent respecter.

L’organisme traitant des données à caractère personnel doit donc s’assurer que des procédures permettant aux personnes concernées par les traitements effectués d’exercer leurs droits sont mises à leur disposition.

 

 

 

 

Le règlement général sur la protection des données (RGPD) est une règlementation européenne renforçant les droits et la protection des données à caractère personnel des personnes physiques.

Il est entré en vigueur le 25 mai 2018 et impose à toute organisation, publique ou privée, traitant des données personnelles pour son compte ou non, établie sur le territoire de l’Union européenne ou ayant une activité ciblant directement des résidents européens.

Le RGPD concerne également les sous-traitants qui traitent des données à caractère personnel pour le compte d’autres organismes.

Afin d’être en conformité avec le RGPD différentes mesures doivent être mise en place par les organismes concernés. En savoir plus sur le RGPD [insérer un lien renvoyant vers la page sur les données personnelles]

Si l’éditeur d’un site internet collecte et traite des données à caractère personnel à travers son site internet (formulaire de contact, création d’un compte client, questionnaire en ligne etc.) il doit en informer l’utilisateur.

La Charte Données personnelles (ou Politique de confidentialité) permet notamment d’indiquer à l’utilisateur :

  • Les données à caractère personnel collectées et traitées ;
  • La finalité des traitements effectués ;

La durée de conservation des données personnelles ;

  • Les droits de l’utilisateur (droit d’opposition, droit d’accès, droit de rectification, droit d’effacement, droit à la portabilité, droit d’information) ;
  • Le responsable de traitement ;
  • Les destinataires des traitements.

La Politique de confidentialité doit être librement accessible à tout utilisateur du site et peut être modifiée en fonction de l’évolution de votre activité.

 

Entré en vigueur le 25 mai 2018, le RGPD impose aux organismes traitant des données à caractère personnel un certain nombre d’obligations.
Afin de se mettre en conformité avec le RGPD, les organismes doivent notamment :
• Désigner un pilote
Dans certains cas, le RGPD impose la désignation d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).
• Constituer un registre des traitements effectués
Le registre des traitements effectués permet d’avoir une vue d’ensemble sur les traitements opérés. Selon la CNIL, cette cartographie doit permettre de répondre aux questions Qui ? Quoi ? Pourquoi ? Jusqu’à quand ? Comment ?
Elle permet de vérifier l’utilité des données traitées par l’organisme et le respect de ses obligations.
• Identifier les actions prioritaires
L’organisme doit déterminer s’il respecte ses obligations afin de déterminer les actions devant être menées pour se mettre en conformité avec le RGPD.
• Gérer les risques
Lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est nécessaire de réaliser une analyse d’impact et ce, avant la mise en œuvre du traitement.

Le Règlement général sur la protection des données (RGPD) s’applique à tout organisme, public ou privé, traitant des données à caractère personnel pour son compte ou non (sous-traitant) dès lors :
– Qu’il est établi sur le territoire de l’Union européenne ;
ou
– Que son activité cible directement de citoyens européens.

Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement.

Les personnes dont les données sont utilisées par des organismes disposent de différents droits sur leurs données à caractère personnel dont les organismes doivent permettre la mise en œuvre.
• Le droit d’information
L’organisme traitant des données personnelles doit fournir aux personnes concernées par les traitements effectués une information claire sur la finalité des traitements, l’utilisation faite de leurs données et sur l’exercice de leurs droits.
Il convient notamment d’indiquer aux personnes concernées :
– Les coordonnées du délégué à la protection des données de l’organisme ;
– L’utilisation faites des données
– Les destinataires des traitements
– La durée de conservation des données
– Les droits dont la personne dispose
– L’utilisation des données hors UE
• Le droit d’opposition
Les personnes peuvent s’opposer à tout moment à l’utilisation de ses données à caractère personnel.
La personne concernée doit mettre en avant les « raisons tenant à sa situation particulière » justifiant sa demande sauf en cas de prospection commerciale à laquelle il est possible de s’opposer sans motif.
L’organisme traitant des données personnelles peut s’opposer à cette demande et continuer à traiter les données s’il dispose de motifs légitimes et impérieux ou s’il justifie que les données en cause sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.
• Le droit d’accès
Toute personne peut solliciter de l’organisme traitant ses données à caractère personnel qu’il lui communique les données qu’il contient sur elle afin qu’elle puisse en vérifier le contenu, l’exactitude afin, si cela est nécessaire, de les faire rectifier ou effacer.
L’organisme auprès duquel le droit d’accès est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.
Dans certains cas, ce droit peut être limité (fichiers de police, gendarmerie ou renseignement, secret des affaires, droits de propriété intellectuelle etc.)
Attention, seules les données relatives à la personne qui en fait la demande peuvent lui être communiquées, aucune données de tiers ne peut lui être transmise.
• Le droit de rectification
Les personnes concernées par un traitement de données à caractère personnel peuvent demander la rectification des informations inexactes ou incomplètes.
L’organisme auprès duquel le droit de rectification est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.
Pour certains fichiers (notamment ceux de police, gendarmerie, renseignement) l’exercice du droit de rectification sera soumis à une procédure différente.
• Le droit à l’effacement
Toute personne concernée par un traitement de données personnelles peut demander à l’organisme qu’il procède à l’effacement des données à caractère personnel le concernant et ce notamment si :
– Les données sont utilisées à des fins de prospection ;
– Les données ne sont plus nécessaires au regard des objectifs pour lesquels elles avaient été collectées ou traitées ;
– Le consentement sur l’utilisation faite des données est retiré ;
– Les données ont été collectées alors que la personne était mineure ;
– L’effacement est justifié par le respect d’une obligation légale.
L’organisme auprès duquel le droit à l’effacement est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.
Dans certains cas, ce droit peut être limité (exercice de la liberté d’expression, respect d’une obligation légale, constatations, exercice ou défense de droits en justice etc.)
• Le droit au déréférencement
Il est possible de solliciter d’un moteur de recherche (par exemple Google), qu’il supprime certains résultats de recherches associés à vos noms et prénoms.
Attention, cette suppression de résultat ne signifie pas l’effacement du contenu sur internet mais seulement des résultats de recherches pour ces mots clés. Il sera donc possible d’accéder au contenu en utilisant d’autres mots clés de recherches ou en allant directement sur le site.
• Le droit à la portabilité
Le droit à la portabilité permet à toute personne concernée par un traitement de données personnelles de récupérer une partie de ses données dans un format lisible, pour un usage personnel ou les transmettre à un tiers de son choix.

Toute opération effectuée sur des données à caractère personnel, de quelque manière que ce soit (automatique ou manuelle) constitue un traitement de données à caractère personnel.
Ainsi, constituent des traitements de données personnelles la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’utilisation ou la communication par transmission ou diffusion d’une donnée à caractère personnel.
A titre d’exemple, le fait de tenir un fichier clients, de collecter les coordonnées de clients potentiels à travers un questionnaire ou de mettre à jour un fichier de prestataires est un traitement.
Le traitement de données à caractère personnel n’a pas à être informatisé, les fichiers papiers constituent également des traitements.
Le traitement de données doit avoir une finalité, avoir un but légal et légitime au regard de l’activité professionnelle de la personne l’effectuant.
Le responsable de traitement est la personne, physique ou morale, qui détermine, seule ou conjointement, la finalité et les moyens du traitement.
Le sous-traitant est la personne, physique ou morale, qui traite des données à caractère personnel pour le compte du responsable de traitement.
Le destinataire du traitement est la personne qui reçoit la communication des données à caractère personnel.

« Toute information se rapportant à une personne physique identifiée ou identifiable » constitue une donnée à caractère personnel.
Une personne peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, numéro client, photographie) à partir d’une seule donnée (numéro de sécurité social) ou par recoupement de données.
Les données suivantes peuvent notamment constituer des données à caractère personnel :
 Nom, prénom
 Numéro de téléphone
 Adresse postale
 Adresse email
 Numéro de sécurité sociale
 Numéro de carte d’identité nationale
 Adresse IP
 Eléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale d’une personne (sexe, profession, loisirs, âge etc.)
Les données relatives à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuse, l’appartenance syndicale, la santé ou la vie d’une personne sont dites « données sensibles » et ne peuvent être recueillies et exploitées qu’avec le consentement explicite de la personne concernée.

Load More