FAQ CONFIDENTIALITÉ: QUESTIONS ET RÉPONSES
Contenu
Qui est concerné par le RGPD ?
Qu’est-ce qu’une donnée personnelle ?
Que sont les « catégories spéciales » de données personnelles ?
Qui doit désigner un délégué à la protection des données ?
Quels sont les avantages d’un délégué à la protection des données externe par rapport à un délégué à la protection des données nommé en interne ?
Combien coûte un délégué externe à la protection des données par rapport à un rendez-vous interne ?
Quelles sont les missions d’un délégué à la protection des données ?
Que faut-il prendre en compte lors de la nomination d’un délégué externe à la protection des données ?
Quand parle-t-on d’une violation de la protection des données ?
Quand signaler une violation de données ?
Quelles sont les conséquences d’une violation de données ?/a>
Qu’est-ce qu’une déclaration de confidentialité et pourquoi est-elle nécessaire ?
Quelles sont les obligations d’information des entreprises vis-à-vis des personnes concernées ?
Existe-t-il des exceptions aux obligations d’information sur la protection des données ?
Quelles obligations d’information doivent être respectées lors de l’envoi de la newsletter ?
Une politique de confidentialité est-elle requise pour une page Facebook ?
Qu’est-ce qu’un sous-traitement ?
Quand un contrat pour le sous-traitement doit-il être conclu ?
Quel est le registre de traitements ?
Généralités
Nos réponses aux questions générales sur la protection des données :
Qui est concerné par le RGPD ?
Le règlement général sur la protection des données (RGPD) s’applique à toutes les entreprises basées dans l’UE et traitent les données personnelles de manière automatique. Les entreprises en dehors de l’UE doivent également se conformer au RGPD si elles ont une succursale dans l’UE ou traitent des données de citoyens de l’UE.
Qu’est-ce qu’une donnée personnelle ?/h3>
Les données personnelles sont toutes les informations qui identifient une personne physique ou la rendent identifiable. En plus des données générales, telles que le nom, l’adresse, la date de naissance, l’e-mail, l’adresse, la profession et la nationalité, cela comprend également des données plus sensibles qui nécessitent une protection accrue et sont donc soumises à des réglementations plus strictes en matière de traitement des données. Ces données sont affectées aux « catégories spéciales » de données personnelles. L’adresse IP représente également des données personnelles.
Que sont les « catégories spéciales » de données personnelles ?
En plus des données personnelles générales, il existe également des données particulièrement sensibles qui entrent dans la catégorie des données personnelles spéciales (voir art. 9 DS-GVO) : cela comprend les données sur l’origine raciale et ethnique, l’opinion politique, la vision du monde religieuse, l’appartenance syndicale, des données de santé, des données biométriques, des données génétiques, des données sur la vie sexuelle ou des données sur l’orientation sexuelle. Ces catégories de données sont classées par le législateur comme particulièrement dignes de protection lors de leur traitement.
Délégué à la protection des données
Nos réponses aux questions sur les violations de la protection des données et l’obligation de rapport
Qui doit désigner un délégué à la protection des données ?
Un délégué à la protection des données doit être nommé si une entreprise emploie habituellement au moins 20 personnes pour traiter des données à caractère personnel. Sont comptabilisées toutes les personnes qui effectuent un traitement régulier et constant des données dans l’entreprise. Il peut s’agir de salariés, de stagiaires ou de bénévoles. Quel que soit le nombre de personnes dans une entreprise, un délégué à la protection des données doit également être nommé si le traitement est effectué et fait l’objet d’une analyse d’impact sur la protection des données conformément à l’article 35 DS-GVO ou si l’activité principale de l’entreprise est le traitement de données particulièrement sensibles ou une observation extensive ou systématique de personnes.
Quels sont les avantages d’un délégué à la protection des données externe par rapport à un délégué à la protection des données nommé en interne ?
Lors de la décision de nommer un délégué à la protection des données interne ou externe, des facteurs tels que les connaissances spécialisées, la responsabilité, la résiliation et les coûts doivent être pris en compte. Un délégué externe à la protection des données dispose de connaissances spécialisées certifiées et fondées. Il est toujours au courant des développements en matière de droit de la protection des données. Un responsable externe de la protection des données minimise le risque de responsabilité de l’entreprise. Il ne bénéficie d’aucune protection particulière contre le licenciement. Les délais de préavis pour le mandat sont réglementés contractuellement. Les coûts du service externe doivent être comparés aux coûts salariaux, ainsi qu’aux coûts de formation et de perfectionnement d’un délégué interne à la protection des données.
Combien coûte un délégué externe à la protection des données par rapport à une nomination interne ?
Lors de la nomination d’un délégué externe à la protection des données, il y a initialement des coûts différents pour l’inventaire en ce qui concerne la protection des données. Chez OBSECOM GmbH, la première étape est généralement un audit approfondi, qui est facturé séparément. Un forfait mensuel est convenu pour la coopération en cours. Le montant de la somme forfaitaire dépend des besoins de conseil de l’entreprise. Étant donné qu’un délégué à la protection des données interne doit être formé et suivre une formation continue régulière, les coûts globaux pour un délégué à la protection des données externe sont susceptibles d’être inférieurs à long terme. Les délégués internes à la protection des données bénéficient également d’une protection particulière contre le licenciement. Ainsi, l’ordre interne peut devenir encore plus cher si l’entreprise veut se séparer du salarié.
Quelles sont les missions d’un délégué à la protection des données ?
Conformément à l’article 39 du RGPD, le délégué à la protection des données conseille et informe la direction et les employés de leurs obligations par rapport a l RGPD et d’autres réglementations sur la protection des données dans le cadre du traitement des données personnelles. Le délégué à la protection des données contrôle le respect de la réglementation et fait des propositions d’amélioration. Si une analyse d’impact relative à la protection des données est effectuée, le délégué à la protection des données peut être consulté. Le délégué à la protection des données est également le lien entre l’autorité de contrôle, les personnes concernées et l’entreprise.
Que faut-il prendre en compte lors de la nomination d’un délégué externe à la protection des données ?
Lors du choix d’un délégué externe à la protection des données, il convient de prêter attention à ses qualifications professionnelles et, en particulier, à ses connaissances spécialisées. Le délégué à la protection des données devrait être compétent dans le domaine de la législation et de la pratique en matière de protection des données et recevoir une formation régulière. Il est plus facile de sélectionner une personne appropriée si le délégué à la protection des données est membre d’ associations professionnelles et possède l’expertise appropriée en matière de droit informatique, de protection des données des employés ou d’autres questions de protection des données importantes pour l’entreprise.
Violation de la protection de données personnelles
Nos réponses aux questions sur les violations de la protection des données et les exigences de déclaration :
Quand parle-t-on d’une violation de la protection des données ?
Une violation de données se produit lorsque la sécurité ou la confidentialité des informations personnelles est violée. Peu importe que cela se produise involontairement ou illégalement. Une violation de données peut, par exemple, résulter de la perte ou de la destruction de données personnelles, ou si des données personnelles sont divulguées ou rendues accessibles à un tiers sans autorisation (par exemple attaque de pirate).
Quand signaler une violation de données ?
Une violation de données doit être signalée lorsque la violation de données à caractère personnel entraîne un risque pour les droits et libertés des personnes. En cas d’infraction, la notification doit être faite à l’autorité de contrôle compétente sans retard injustifié et, si possible, dans les 72 heures suivant la connaissance de l’infraction. Cependant, il n’y a pas d’obligation de signalement si la violation n’est pas susceptible d’entraîner un risque pour les droits et libertés des personnes concernées. Le risque doit être soigneusement pesé et les raisons de la décision doivent être documentées par écrit et de manière compréhensible.
Quelles sont les conséquences d’une violation de données ?
Selon la gravité de la violation de la protection des données, l’autorité de contrôle peut imposer une amende. Lors de la détermination du montant d’une amende, le cas individuel doit être pris en considération. Entre autres choses, la gravité et la durée de la violation, l’action intentionnelle ou négligente de la personne responsable et le type de données personnelles concernées par la violation doivent être pris en compte. Le RGPD permet d’infliger des amendes allant jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice écoulé.
Exigences en matière d’informations
Nos réponses aux questions sur les obligations d’information :
Qu’est-ce qu’une déclaration de confidentialité et pourquoi est-elle nécessaire ?
Chaque fois qu’une entreprise responsable collecte, traite, utilise ou transmet des données personnelles à des tiers, elle doit informer les personnes concernées du traitement de ces données au moment de la collecte. Ces informations sont fournies par la déclaration de confidentialité. En ce qui concerne le traitement des données par un site Internet, la déclaration de protection des données doit généralement être facilement accessible sur le site Internet. En fonction des autres finalités pour lesquelles l’entreprise traite les données personnelles, d’autres déclarations de protection des données doivent être fournies (par exemple pour les employés, les clients et les partenaires commerciaux).
Quelles sont les obligations d’information des entreprises vis-à-vis des personnes concernées ?
Les entreprises responsables doivent informer les personnes concernées de l’étendue et de la finalité du traitement des données au moment où les données personnelles sont collectées. Les personnes concernées peuvent être des clients, des employés et des candidats, mais aussi des parties intéressées. L’étendue de la fourniture d’informations est régie par les articles 13 et 14 du RGPD. Ceci comprend:
- Nom et coordonnées du responsable et, le cas échéant, coordonnées du délégué à la protection des données.
- Finalité et base juridique du traitement des données personnelles.
- Si le traitement est fondé sur un intérêt légitime au sens de l’article 6, paragraphe 1, point f) du RGPD, le responsable doit énumérer ces intérêts individuellement.
- Les destinataires ou catégories de destinataires des données personnelles : Les destinataires peuvent également être des services internes, des sous-traitants ou des tiers.
- L’intention du responsable du traitement de transférer les données vers un pays tiers en dehors de l’UE.
- Informations sur la durée de conservation des données personnelles
- Clarification des droits des personnes concernées : information, rectification, suppression, limitation du traitement, transférabilité des données, opposition et droit de recours.
- Existence d’un droit de recours auprès d’une autorité de contrôle
Existe-t-il des exceptions aux obligations d’information sur la protection des données ?
Oui, les informations conformément à l’article 13 DS-GVO ne doivent pas être fournies à nouveau si la personne concernée dispose déjà des informations. Les informations sur le traitement des données par des tiers conformément à l’article 14 du RGPD ne doivent pas être fournies si la fourniture des informations s’avère impossible ou nécessiterait un effort disproportionné.
Quelles obligations d’information doivent être respectées lors de l’envoi de la newsletter ?
Étant donné que les données personnelles sont traitées lors de l’envoi d’une newsletter, les exigences d’information du RGPD doivent également être respectées ici. Le destinataire d’une newsletter doit être informé de manière exhaustive du traitement des données personnelles qu’il a fournies. Étant donné que l’inscription à la newsletter est généralement basée sur le consentement du destinataire, les informations doivent contenir toutes les informations pertinentes pour permettre au destinataire de prendre une décision libre. Idéalement, la déclaration de protection des données décrit comment les données des utilisateurs sont traitées dans le cadre de l’envoi de la newsletter et par quels prestataires de services externes le traitement est effectué. La déclaration de protection des données doit être visible au moment de la collecte des données (inscription à la newsletter) et peut ensuite être rendue accessible à chaque envoi de la newsletter grâce à un lien intégré dans l’e-mail.
Une politique de confidentialité est-elle requise pour une Page Facebook ?
Si une page de fans Facebook accessible au public (page d’entreprise Facebook) est exploitée, une déclaration de protection des données doit y être publiée. Soit via un élément de menu, un onglet ou une entrée dans la zone d’application. Le texte intégral ou un lien vers un document externe (par exemple sur le site Web de l’entreprise) peut être intégré. L’exploitant d’une page fan et Facebook sont conjointement responsables du traitement des données sur la plate-forme. Les deux organismes doivent fournir des informations sur le traitement des données dont ils sont responsables. En particulier, la déclaration de protection des données devrait contenir des informations sur les personnes auxquelles les personnes concernées peuvent s’adresser si elles souhaitent exercer leurs droits.
Autres obligations
Nos réponses aux questions sur les autres obligations en matière de protection des données :
Qu’est-ce qu’un sous-traitant ?
Un sous-traitant est une personne physique ou morale (une entreprise), une autorité publique ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable. Le sous-traitant ne peut traiter les données personnelles transmises pour traitement que sur les instructions du responsable et sur la base d’un contrat. Le sous-traitant doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données. Des exemples de sous-traitants sont les fournisseurs de services informatiques, les fournisseurs de cloud ou les entreprises de destruction de documents. Cependant, les conseillers fiscaux ou les avocats ne sont pas des sous-traitants, car ils travaillent de manière indépendante.
Quand un contrat pour le traitement des commandes doit-il être conclu ?
Un contrat de traitement des commandes doit toujours être conclu lorsqu’un prestataire de services externe accède aux données personnelles et les traite conformément aux instructions au nom du responsable.
Quel est le registre des activités de traitement ?
Selon le GDPR, tout organisme qui traite des données personnelles est tenu de répertorier et de documenter les opérations de traitement dans un répertoire. L’article 30 du RGPD régit les informations que la liste doit contenir. Le répertoire contient, entre autres, les informations suivantes : Finalités du traitement, description des catégories de personnes concernées, catégories de destinataires, transfert de données vers des pays tiers, délais de suppression et une description générale des mesures techniques et organisationnelles. Une liste incomplète ou même manquante peut être punie d’amendes conformément à l’article 83, paragraphe 4, DS-GVO.