Dans cet article vous trouverez des questions relatives aux données personnelles :
Questions générales :
- Qu'est-ce qu'une donnée à caractère personnel ?
- Qu'est-ce qu'un traitement de données à caractère personnel ?
- Qu'est-ce que la licéité d'un traitement de données à caractère personnel ?
- Qu'est-ce que l'obligation d'information du RGPD ?
Les outils pour traiter de la donnée personnelle :
- Qu'est-ce qu'un registre des traitements ?
Les acteurs du traitement des données :
- Qu'est-ce qu'un responsable de traitement?
- Qu'est-ce qu'un sous-traitant?
- Qu'est-ce qu'un tiers?
- Qu'est-ce qu'un destinataire ?
Cookies :
- Comment savoir quels cookies ont une durée de vie supérieure à 6 mois ?
📕 Qu'est-ce qu'une donnée à caractère personnel ?
Toute information permettant l’identification d’une personne physique, seule ou en combinaison avec d’autres (numéro de téléphone, numéro client, numéro de carte bancaire...) : elles peuvent porter sur les salariés, sur vos clients, sur des fournisseurs...
📕 Qu'est-ce qu'un traitement de données à caractère personnel ?
Un traitement de données à caractère personnel se définit comme toute opération portant sur des données à caractère personnel même pseudonymisées (collecte, utilisation, compilation, etc.), quel que soit le nombre de personnes concernées, de 1 à l’infini.
📕 Qu'est-ce que la licéité d'un traitement de données à caractère personnel ?
Une entité ne peut traiter des données personnelles que dans certaines hypothèses impliquant toutes une nécessité (base légale du traitement) :
- La nécessité à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures pré-contractuelles prises à la demande de celle-ci (exemple : l’adresse pour une livraison).
- La nécessité au respect d'une obligation légale (exemple : le numéro de sécurité sociale pour la fiche de paie et les déclarations sociales obligatoires)
- La nécessité à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique (exemple : le nom pour une hospitalisation)
- La nécessité à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement (exemple : situation fiscale par le service des impôts)
- La nécessité aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (exemple : données de connexion à des fins statistiques).
A défaut d’une telle nécessité, la personne concernée doit consentir de façon expresse (acte positif).
📕 Qu'est-ce que l'obligation d'information du RGPD ?
Les articles 12, 13 et 14 du RGPD concernent le droit à l’information de l’utilisateur dont les données sont collectées, que va devoir rendre effectif le responsable de traitement.
L’article 12 impose la transparence des informations que le responsable de traitement doit communiquer à l’utilisateur.
L’article 13 du RGPD énonce toutes les informations que le responsable de traitement doit communiquer aux utilisateurs dès qu’il collecte leurs données à caractère personnel directement auprès d’eux :
- Son identité et ses coordonnées.
- Les coordonnées du Data Protection officer (DPO).
- Les finalités du traitement auquel sont destinées les données à caractère personnel (pourquoi les données sont traitées) ainsi que la base juridique du traitement.
- Les intérêts légitimes poursuivis par lui ou par les tiers lorsque le traitement est fondé sur de tels intérêts.
- Les destinataires des données.
- Le fait qu’il ait l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers (pays n’appartenant pas à l’Union européenne), une organisation internationale et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées (Clauses contractuelles types (CCT) ou les accords intra entreprises (BCR) notamment).
Le responsable de traitement doit également informer la personne :
- De la durée de conservation des données à caractère personnel ou - quand ce n’est pas possible - les critères utilisés pour déterminer cette durée.
- De son droit d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition au traitement et son droit à la portabilité de ses données.
- De son droit de retirer son consentement lorsque le traitement est basé sur ce dernier.
- De son droit d’exercer un recours auprès de l’autorité de contrôle.
- Sur la question de savoir si l’exigence de fourniture des données a un caractère règlementaire ou contractuel, ou si elle conditionne la conclusion d’un contrat.
- Sur l’existence d’une prise de décision automatisée, y compris un profilage et au moins en pareils cas des informations utiles concernent la logique sous-jacente ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Le responsable de traitement doit lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données ont été collectées, fournir au préalable à la personne concernée des informations au sujet de cette autre finalité et -si le traitement était basé sur le consentement- le recueillir à nouveau.
L’ensemble de ces informations doit être fourni lors de la collecte auprès de la personne, par exemple par un lien vers le Privacy Center et un extrait pertinent de ce dernier situé sous le formulaire de collecte électronique.
Selon l’article 14 du RGPD, lorsque vous recueilliez des données à caractère personnel sans les avoir collectées directement auprès de la personne concernée, vous devez en tant que responsable de traitement fournir toutes les informations listées précédemment à la personne concernée ainsi que la source des données à caractère personnel et les catégories de données concernées.
Cette information doit être fournie lors de la première communication avec la personne ou au plus tard dans un délai d’un mois, par exemple par un lien vers le Privacy Center et un extrait pertinent de ce dernier situé dans un e-mail.
Il existe certaines exceptions notamment quand la personne concernée dispose déjà de ces informations, quand la fourniture de ces informations se révèle impossible ou exigerait des efforts disproportionnés (en particulier pour des traitements à des fins archivistes dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques), ou quand les données à caractère personnel doivent rester confidentielles en vertu d’une obligation légale de secret professionnel.
📕 Qu'est-ce qu'un registre des traitements ?
C’est un outil qui permet de recenser les traitements et d’avoir une vue d’ensemble sur la manière dont sont utilisées les données personnelles. Il doit être tenu sous forme écrite par les responsables de traitement et les sous-traitants. Il doit permettre d’identifier les parties prenantes, les catégories de données traitées et leur usage, le temps de conservation des données et leur sécurisation, l’identité des personnes accédant aux données.
📕 Qu'est-ce qu'un responsable de traitement ?
Le responsable de traitement est la personne qui décide des finalités et moyens du traitement (pourquoi et comment les données sont-elles utilisées ?). Il est possible d’avoir une responsabilité conjointe si les décisions sont partagées.
📕 Qu'est-ce qu'un sous-traitant ?
Un sous-traitant est une personne n’agissant que sur instructions d’une autre et sans prise d’initiative quant aux utilisations des données personnelles.
📕 Qu'est-ce qu'un tiers ?
Un tiers est toute personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant.
📕 Qu'est-ce qu'un destinataire ?
Un destinataire est toute personne qui reçoit communication de ou obtient un accès aux données à caractère personnel, qu'il s'agisse ou non d'un tiers. Il existe une exception lorsque certaines autorités publiques dans le cadre d'une mission d'enquête particulière reçoivent des données (douanes, administration fiscale, etc.) : n’étant pas considérés comme des destinataires, ils n’ont pas besoin d’apparaître dans le registre ou dans les mentions d’information.
⚙️ Comment savoir quels cookies ont une durée de vie supérieure à 13 mois ?
Dans votre rapport de conformité, cliquez sur "WEBSITE" pour en savoir plus sur les cookies installés sur votre site. Pour savoir quels cookies ont une durée de vie supérieure à 13 mois, il vous suffit de cliquer sur "Cookie lifetime" et vous aurez :
- une liste avec le nom du cookie
- sa durée de vie
- le nom de domaine auquel il est rattaché
- le vendor qui le dépose.