Skip to main Content

FAQ RGPD

Qu’est-ce qu’une donnée à caractère personnel ? 

Selon l’article du règlement, une donnée personnelle concerne « toute information se rapportant à une personne qui est identifiable, qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un enseignement spécifique propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

D’une manière générale, le RGPD implique le critère de licéité, c’est-à-dire que les données personnelles doivent être gérées selon les finalités autorisées par le cadre réglementaire. Ainsi, les personnes dont les données sont gérées doivent être informées de l’existence de traitement de leurs données. Parallèlement, le critère de licéité est respecté lorsque le responsable du traitement a recueilli le consentement de la personne concernée, ou bien si le traitement se rattache à l’une des obligations suivantes :
les données sont gérées dans le cadre de l’exécution d’un contrat commercial,
les données sont gérées dans le cadre d’une obligation légale : par exemple la collecte des données pour accéder à des points d’accès wi-fi public
les données sont gérées dans le cadre de la sauvegarde des intérêts vitaux de la personne, comme le contexte médical
les données sont gérées dans le cadre de l’exécution d’une mission d’intérêt public : protection sociale, impôts, données régaliennes pour la gestion des permis de conduire
les données sont gérées dans le cadre d’intérêts légitimes de responsable du traitement ou d’un tiers, la prospection commerciale fournit un cas d’école), à mettre en balance avec les intérêts ou les libertés et les droits fondamentaux de la personne.

Est-ce qu'une affectation d'un poste de travail à un utilisateur constitue une donnée personnelle ?

Oui, mais elle ne relève pas forcément du RGPD. En effet, les informations concernant l’utilisateur sont nécessaires dans le cadre de l’exécution de son travail, et ce fichier fait l’objet d’une déclaration la CNIL. Les contrats de travail peut faire l’objet d’avenants concernant l’utilisation des systèmes d’information.

Pour les RH : les réponses aux candidats lors d'un recrutement sont-elles concernées par la RGPD ?

Chaque candidat est libre d’envoyer son CV à un cabinet de recrutement ou une direction des ressources humaines. Il donne ainsi son consentement. Toutefois, l’entreprise doit pouvoir offrir la possibilité aux candidats de rectifier, ou supprimer ces informations, et ne plus être contacté par le cabinet de recrutement ou le département des ressources humaines d’une entreprise.

Les informations DSN et le prélèvement à la source sont-elles concernées par la RGPD ?

Non, il s’agit de données régaliennes qui relèvent du ministère des finances.


J'ai un site internet où j'ai une page contact, est ce que je dois être en règle RGPD ?
Est-ce qu’une page Facebook pro est éligible ?

Non, car en vous connectant à une page Facebook, vous avez accepté les conditions d’utilisation et donné ainsi votre consentement, conformément aux critères de licéité du règlement. À moins que, votre page Facebook abrite des données personnelles autres que nominatives, comme l’ADN des utilisateurs.
Ex : Dès lors que vous avez une page contact sur un site web, et que vous récupérez des données via les réseaux sociaux, vous devez informer d’une part les internautes des traitements que vous ferez de leurs données. D’autre part, vous devez leur offrir la possibilité de modifier ou de supprimer leurs données gérées par votre entreprise.
Je fais de la sauvegarde des bases de données mais pas de traitements suis-je éligible ? Oui.
La sauvegarde et le stockage entrent également dans le champs du RGPD.

Je travaille dans une administration. Sommes-nous concernés ?
Je travaille à mon compte et récupère des données personnelles pour travailler, suis-je concerné ? Une association est-elle concernée ?

Cette question est très vaste. Ça dépend du type de données que vous traitez.
En ce qui concerne le ministère des impôts et les données financières des contribuables, ou le ministère de l’intérieur et le fichier des casiers judiciaires, ceux-ci n’ont aucun compte à rendre car il s’agit d’organisations régaliennes.
En revanche, un hôpital qui fait des sauvegardes des données médicales, doit répondre aux exigences du règlement et mettre en place des mesures organisationnelles et techniques appropriées. 

Vous évoquez les prospects dans la notion de consentement. Si c'est la personne qui a fait la démarche en remplissant par exemple un formulaire, le consentement est-il implicite ?

Le consentement N’EST JAMAIS implicite, on doit toujours le demander clairement. 
Dans le cadre d’un contrat, le consentement est intégré. Y compris pour les anciens contrats. (Ex : contrat fournisseur/ client, contrat de travail…)
Par contre quand on prospecte, donc que l’on travaille sur des données de personnes avec lesquelles on n’a jamais travaillé, il est obligatoire de leur demander leur consentement. 

Est-ce que seules les entreprises sur le territoire européen doivent être conforme à la RGPD ?

Toutes les entreprises qui collectent, stockent et traitent des données de ressortissants de l’union européenne se doivent d’être conformes au RGPD, peu importe le pays où se situe cette entreprise. 

Combien de temps doit-on garder les données collectées et traitées ?

Il s’agit du principe de limitation de la conservation. Lorsque les données personnelles ne sont plus utilisées pour la finalité déterminée, elles doivent être supprimées. Il n’est pas conforme au règlement de conserver des données « au cas où elle pourraient servir à nouveau ». Lorsqu’il est impossible de détruire des données qui ne sont plus utilisées, il est alors possible d’appliquer des techniques comme la pseudonymisation ou l’anonymisation.
Le règlement n’impose pas de durée de rétention des informations. C’est à l’entreprise de les déterminer et d’en informer les utilisateurs. 

Combien de temps avons-nous pour déclarer une violation des données à la CNIL ?

Vous avez 72 heures nominales à partir de la prise de connaissance de la faille pour en informer la CNIL. Nominal signifie que les week-ends et jours fériés ne constituent en aucun cas des justifications pour accorder un délai supplémentaire.


Le poste de DPO est-il obligatoire ? 

La nomination d’un DPO (ou délégué à la protection des données selon la CNIL) est obligatoire dans trois cas de figure :
les organismes et autorités publiques, à l’exception des juridictions, ou
le traitement des données exigeant un suivi régulier est à grande échelle des personnes concernées, ou
le traitement de catégories particulières de données : origines raciales ou ethniques, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, biométrie, vie sexuelle, condamnation pénale et infractions pénales.

Le poste de DPO peut-il être un poste à part entière ?

Oui dans le cadre des entreprises qui traitent des volumes importants de données personnelles, qui répondent aux exigences du règlement.
Toutefois, le règlement n’oblige pas les entreprises nommer un délégué dédié en interne. Il est tout à fait possible de recourir aux services de délégués partagés entre plusieurs entreprises, sous la forme de prestataire ad hoc (société d’avocats, société de conseil spécialisé, etc.).
Parallèlement, le règlement permet à un salarié de l’entreprise de remplir les fonctions de délégué en complément de ses missions existantes. Un recrutement n’est donc pas forcément nécessaire pour se mettre en conformité.

Le rôle de DPO peut-il être pris en charge par le manager du SI dans une PME ?

Il est très tentant d’assigner les fonctions de délégué à la protection des données à un membre de la direction générale, la direction informatique, la direction des risques et de la conformité, ou au RSSI.
Cette démarche est fortement déconseillée. D’une part, le règlement indique que l’entreprise doit veiller à l’absence de conflit d’intérêts entre la fonction de direction et celle de délégué à la protection des données. D’autre part, l’article 38 indique que l’entreprise doit attribuer les ressources nécessaires pour exercer les missions de délégués, et que ce dernier ne doit recevoir aucune instruction en ce qui concerne l’exercice des missions, et rapporte directement au niveau le plus élevé de la direction.
Le DPO est-il juridiquement responsable ?
Non, il n’est pas responsable en cas de non-respect du RGPD. Les textes établissent clairement que c’est le responsable du traitement qui doit s’assurer et être en mesure de prouver que le traitement est réalisé conformément à la réglementation. 


Et pour la sous-traitance ? 
Qui est concerné ? 

Toutes les sociétés qui traitent des données personnelles pour le compte de leurs clients dans le cadre d’une prestation ou de services : 
Prestataires de services informatiques (hébergement, maintenance…)
Intégrateurs de logiciels
Sociétés de sécurité informatique
Les ESN (Entreprises de Service du Numérique) ou SSII (Société de Services et d’Ingénierie en informatique)
Les agences de communication ou les agences de marketing qui s’occupent de données pour le compte de leur client. 

Quelles sont les obligations des sous-traitants ? 
Le pays de destination a fait l'objet d'une décision d'adéquation
le transfert fait l'objet de garanties appropriées pour la protection des données personnelles
Elles doivent nommer un délégué à la protection des données européen.

 

Vous souhaitez en savoir plus, (re) visionnez notre webinar "Comment réussir votre mise en conformité RGPD"

Revoir le webinar

 

 

 

"Nous nous soucions de votre vie privée"

Nous utilisons des cookies pour vous offrir la meilleure expérience sur notre site. Les cookies sont des fichiers stockés dans votre navigateur et sont utilisés par la plupart des sites Web pour personnaliser votre expérience en ligne. En continuant à utiliser notre site sans modifier les paramètres, vous acceptez notre utilisation des cookies.

Veuillez utiliser uniquement des paragraphes et des liens dans ce champ de texte enrichi. Un lien vers la page avec informations sur les cookies

Concernant votre vie privée.

Nous traitons vos données à des fins telles que la livraison de contenu ou de publicités et la mesure de la livraison de ce contenu ou de ces publicités pour obtenir des informations sur notre site web. Nous pouvons partager ces informations avec nos partenaires. Les cookies définis par Global Knowledge sont étiquetés “première partie”; vous pouvez exercer vos préférences concernant les cookies de première partie en basculant l'interrupteur pour chaque catégorie de cookies de première partie ci-dessous. Les cookies restants sont des cookies tiers; vous pouvez exercer vos préférences concernant chaque objectif en basculant l'interrupteur correspondant ci-dessous ou par fournisseur en cliquant sur “Liste des fournisseurs de l'IAB”. Ces choix seront signalés globalement à d'autres sites web participants au Cadre de Transparence et de Consentement.
Déclaration de confidentialité

Cookies nécessaires

Il s'agit de cookies nécessaires au bon fonctionnement du site Web de Global Knowledge et qui ne peuvent pas être désactivés dans nos systèmes. Ils incluent, par exemple, des cookies qui vous permettent d'utiliser un panier d'achat ou de vous connecter à la zone de réservation de notre site Web.

Cookies d'analyse

Les cookies d'analyse sont une partie facultative mais importante de la fonctionnalité de notre site Web. Ils nous aident à comprendre comment vous interagissez avec notre site en collectant et en rapportant des informations de manière anonyme. Les données collectées par les cookies d'analyse sont utilisées pour améliorer les performances du site Web et améliorer l'expérience utilisateur. Il est important de noter que ces cookies ne collectent aucune information personnelle pouvant être utilisée pour vous identifier.

Cookies de préférences

Les cookies de préférence sont utilisés pour suivre les visiteurs à travers les sites web dans le but d'afficher des publicités pertinentes et engageantes pour vos centres d'intérêt.

Cookies de performance

Ces cookies nous permettent de reconnaître et de compter le nombre de visiteurs sur notre site web, les sources de trafic et de voir comment les visiteurs du site web se déplacent sur le site lorsqu'ils l'utilisent. Cela nous aide à améliorer le fonctionnement du site web et à améliorer votre expérience sur le site web. Toutes les informations collectées par ces cookies sont agrégées et donc anonymes.

Cookie Control toggle icon