concepts

Concepts

Données personnelles

L’un des concepts centraux du RGPD est celui de “données personnelles”. Ce concept détermine si le RGPD s’applique au traitement des données ou non. Seulement si des données personnelles sont impliquées, le traitement doit être effectué conformément au RGPD. Il est donc important de comprendre correctement ce concept.

Le RGPD définit les données personnelles comme “ toute information se rapportant à une personne physique identifiée ou identifiable, est réputée être une personne identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique”.

Cette définition a été délibérément rédigée de manière la plus large possible. Par conséquent, de nombreux traitements relèvent

 

du RGPD car on se rend compte assez rapidement qu’il s’agit de données personnelles. Toute forme d’information conduisant à une personne physique est une donnée personnelle. Il est donc inévitable que votre organisation traite des données personnelles, et vous devrez donc être en conformité avec le RGPD.

Il existe deux catégories distinctes de données personnelles, les données personnelles “ordinaires” et les données personnelles “sensibles”. Les données personnelles sensibles sont des données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques. Mais le traitement des données génétiques, biométriques et les données permettant de déduire le comportement sexuel d’une personne sont également couverts par cette disposition. Le traitement de ces données est en principe interdit. Le GDPR ne prévoit que quelques conditions strictes d’admissibilité telles que le consentement explicite de la personne concernée, le traitement nécessaire dans le cadre du droit du travail et de la sécurité sociale, la protection des intérêts vitaux de la personne concernée….

Si vous avez des doutes sur le fait que le traitement que votre

 

organisation souhaite effectuer est un traitement de données à caractère personnel, vous devez vérifier si vous pouvez remonter jusqu’à une personne physique. Si elle peut être tracée, le traitement est un traitement de données à caractère personnel et vous devez suivre les règles du RGPD.

Motifs de traitement

Selon le RGPD, un traitement n’est licite que s’il existe un motif de traitement. Celui-ci prévoit six motifs :

1. la personne concernée a donné son consentement au traitement de ses données personnelles pour un ou plusieurs objectifs spécifiques;

2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’accomplissement de démarches préalables à la conclusion d’un contrat, à la demande de la personne concernée;

3. le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

 

5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

6. le traitement est nécessaire à la sauvegarde des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel l’emportent sur ces intérêts, notamment lorsque la personne concernée est un enfant.

Lorsque le traitement des données à caractère personnel ne peut être fondé sur aucun des motifs susmentionnés, le traitement est illégal. Le cas échéant, les données à caractère personnel ne peuvent être traitées.

En fondant votre traitement uniquement sur le consentement, vous êtes, en tant que sous-traitant, à la merci des caprices de la personne concernée. Nous vous conseillons donc de fonder votre traitement sur l’un des autres motifs de traitement (éventuellement en plus du consentement). Dans la plupart des cas, un intérêt légitime ou l’exécution d’un accord sera le meilleur argument. Il est préférable de ne fonder le traitement

 

sur le consentement de la personne concernée que lorsqu’aucun autre motif de traitement n’est disponible.

Consentement

Le terme “consentement” a une interprétation large puisque le RGPD part du principe que la personne concernée doit être informée de manière transparente et simple, qu’elle choisit volontairement de voir ses données personnelles traitées. À cette fin, le consentement doit non seulement être (i) libre, (ii) spécifique, (iii) éclairé, mais aussi (iv) non équivoque et (v) donné au moyen d’une déclaration ou d’un acte actif non équivoque.

Pour que le consentement soit juridiquement valable, la personne doit avoir un véritable choix, il ne doit pas y avoir de tromperie, d’intimidation ou de coercition et la personne ne doit pas courir le risque de conséquences négatives importantes si elle ne consent pas. Si les conséquences du consentement limitent la liberté de choix de l’individu, il ne peut être question de consentement “libre”.

Ensuite, le consentement doit être spécifique. Un consentement général sans indication claire de la finalité exacte du traitement n’est pas acceptable selon l’esprit du RGPD. Donner son

 

consentement pour une finalité spécifique couvre toutes les activités de traitement associées à cette finalité spécifique, de sorte qu’un consentement distinct n’est pas nécessaire pour chaque activité de traitement. En d’autres termes, lorsque le consentement est demandé pour différentes finalités, le responsable du traitement des données doit donner la possibilité de consentir séparément pour chacune de ces finalités.

Avant que le consentement de la personne concernée ne soit demandé, la personne concernée doit être informée du traitement. Cela signifie également que la personne concernée doit être informée du fait qu’elle peut toujours retirer ou refuser son consentement sans aucune conséquence négative. Pour que le consentement soit donné en toute connaissance de cause, la personne concernée doit au moins connaître l’identité du responsable du traitement et les finalités du traitement des données à caractère personnel. Il existe donc un lien évident entre les obligations de transparence en tant que principe de base et le consentement.

Le quatrième élément concerne la nature non ambiguë du consentement. L’expression du consentement par lequel la personne concernée signifie son accord au traitement des

 

données à caractère personnel doit être sans ambiguïté. S’il existe un doute raisonnable à ce sujet, il y a ambiguïté.

Enfin, le RGPD exige que le consentement passe par une déclaration ou un acte actif. Le consentement ne peut jamais être déduit de l’inaction ou du silence de la personne. Ce qui précède ne signifie pas que le consentement doit également être donné par écrit. En principe, une déclaration verbale ou un acte dont le consentement peut être déduit sans doute suffit également. Toutefois, comme la charge de la preuve incombe au responsable du traitement, il est fortement recommandé de donner le consentement par écrit.

En résumé, le consentement peut être considéré comme le motif de traitement le plus clair et le plus simple. Le revers de la médaille est qu’il s’agit également du motif de traitement le plus faible, puisque le consentement peut toujours être retiré par la personne concernée.

Contrôleur et processeur

Aux fins de la protection des données, la question de l’identité du responsable du traitement des données est essentielle. En effet, elle détermine l’entité qui sera chargée de respecter les

 

obligations découlant de la législation sur la protection des données et de veiller à ce que les personnes concernées puissent exercer leurs droits. Le responsable du traitement des données est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

Votre organisation peut agir en tant que responsable conjoint du traitement des données. C’est le cas si elle apporte des réponses conjointes avec une ou plusieurs organisations aux questions de savoir pourquoi et comment les données personnelles doivent être traitées. Ils doivent conclure un accord qui définit leurs responsabilités respectives en matière de conformité au RGPD.

Le RGPD fait référence à un sous-traitant comme une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement. En général, le soustraitant est un tiers extérieur à l’entreprise, mais il arrive aussi que le contrôleur et le sous-traitant soient identifiés par la même organisation. Les obligations spécifiques du sous-traitant envers le responsable du traitement sont définies dans un contrat de sous-traitance.

 

Registre de traitement

Si votre organisation traite des données personnelles, un registre doit être créé concernant ces activités de traitement. Toutefois, afin de tenir compte de la situation spécifique des petites, moyennes et micro-entreprises, le RGPD prévoit une dérogation pour les organisations comptant moins de 250 employés en ce qui concerne la tenue des registres. En principe, ils ne doivent créer un registre que si:

1. le traitement qu’ils effectuent est susceptible de présenter un risque pour les droits et libertés des personnes concernées;

2. le traitement n’est pas accessoire;

3. le traitement implique des catégories spéciales de données ou des données personnelles relatives à des condamnations pénales et des infractions.

Ce registre contient des données obligatoires imposées par le RGPD. La nature exacte des données à inclure ici dépend du rôle de votre organisation, à savoir contrôleur ou processeur de données.

 

Dans le cas où votre organisation est le contrôleur des données, les informations suivantes doivent être incluses:

1. le nom et les coordonnées du responsable du traitement des données et de tout responsable conjoint du traitement, et, le cas échéant, le représentant du responsable du traitement des données et le délégué à la protection des données;

2. 2. les finalités du traitement;

3. 3. une description des catégories de personnes concernées et des catégories de données à caractère personnel;

4. 4. les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales;

5. 5. le cas échéant, les transferts de données personnelles vers un pays tiers ou une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, si le RGPD l’exige, la documentation des garanties appropriées;

 

6. 6. si possible, les délais envisagés pour l’effacement des différentes catégories de données;

7. 7. si possible, une description générale des mesures de sécurité techniques et organisationnelles.

Dans le cas où votre organisation agit en tant que sous-traitant, les informations suivantes doivent être incluses dans le registre:

1. le nom et les coordonnées des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit, et, le cas échéant, le représentant du responsable du traitement ou du soustraitant et le délégué à la protection des données;

2. les catégories de traitement effectuées pour le compte de chaque responsable du traitement;

3. le cas échéant, les transferts de données personnelles vers un pays tiers ou une organisation internationale, en précisant ce pays tiers ou cette organisation internationale et, si le RGPD l’exige, la documentation des garanties appropriées;

 

4. si possible, une description générale des mesures de sécurité techniques et organisationnelles.

Ces documents doivent toujours pouvoir être consultés dans votre organisation. Ainsi, l’autorité compétente en matière de protection des données peut les demander lors d’un audit. Il est donc important que vous les rédigiez et les conserviez. La coopération du responsable du traitement des données ou du sous-traitant est obligatoire. Il est permis de le faire par voie électronique, mais envisagez la possibilité que vous ne puissiez plus accéder à ces documents en cas de problème avec le support électronique. Par conséquent, il peut être approprié de conserver ces documents de différentes manières, par exemple sur un disque dur, un serveur « Cloud », sur papier, …

Si vous avez besoin d’aide pour la création de ces registres, vous pouvez toujours nous contacter.

Accord du processeur

En général, votre organisation aura recours aux services d’autres entreprises dans le cadre de ses activités. Pensez à l’administration des salaires, à la gestion des sites web, à la comptabilité, etc. Dans le cadre de ces missions, il est possible que ces entreprises traitent

 

des données à caractère personnel en votre nom. Cela signifie que votre organisation est considérée comme le contrôleur des données et l’autre entreprise comme un processeur.

Conformément au RGPD, cette relation doit être entérinée dans un accord, également connu sous le nom d’accord de traitement. Ils peuvent choisir d’utiliser un accord individuel ou des clauses contractuelles types, qui sont adoptées soit directement par la Commission, soit par une autorité de surveillance dans le cadre du mécanisme de contrôle de la cohérence, puis par la Commission.

Cet accord est souvent annexé à l’accord principal en tant qu’addendum, mais il peut également faire partie de l’accord principal. Cet accord doit comprendre les éléments suivants:

1. l’objet et la durée du traitement;

2. la nature et la finalité du traitement;

3. le type de données personnelles et les catégories de personnes concernées;

 

4. les droits et obligations du responsable du traitement.

En outre, le RGPD requiert que l’accord doit prévoir que le sous-traitant:

1. traite les données à caractère personnel uniquement sur la base d’instructions écrites du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu’une disposition du droit de l’Union ou d’un État membre applicable au sous-traitant ne l’oblige à traiter. Dans ce cas, le sous-traitant notifie au responsable du traitement cette disposition légale avant le traitement, à moins que cette loi n’interdise cette notification pour des raisons impératives d’intérêt public;

2. s’assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont liées par une obligation légale de confidentialité appropriée;

3. prend toutes les mesures techniques et organisationnelles nécessaires;

4. peut ou non employer un autre processeur;

 

5. fournit une assistance dans l’accomplissement de l’obligation du responsable du traitement de répondre aux demandes concernant l’exercice des droits de la personne concernée;

6. fournit une assistance en ce qui concerne les mesures techniques et organisationnelles du responsable du traitement et de l’AIPD;

7. efface les données à caractère personnel ou les renvoie au responsable du traitement à la fin de l’accord;

8. fournit au responsable du traitement toute information nécessaire pour démontrer le respect des obligations précédentes et permet et contribue aux audits, y compris les inspections, par le responsable du traitement ou un auditeur autorisé par le responsable du traitement.

Si votre organisation conclut de nouveaux contrats, il est important que ces questions soient inclues dans l’accord. Pour les accords préexistants, il est préférable d’opter pour un addendum à l’accord existant afin de mettre votre organisation en conformité avec le RGPD.

Délégué à la protection des données (DPD)

 

Le RGPD exige la nomination d’un délégué à la protection des données, appelé “DPD”, dans un certain nombre de cas. Un DPD est un délégué à la protection des données qui supervise l’entreprise qui traite des données personnelles à grande échelle. Il joue un rôle important dans la simplification des règlements compliqués et parfois vagues. Il informera et conseillera le responsable du traitement des données et ses employés sur les obligations imposées par le RGPD. Le responsable du traitement et le sous-traitant veilleront à ce que le délégué à la protection des données soit associé de manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. En outre, il contrôlera le respect des dispositions légales ainsi que des politiques définies pour mettre en œuvre le RGPD. Dans l’exercice de ses fonctions, le DPD est tenu au secret ou à la confidentialité.

La présence d’un DPD n’est certainement pas obligatoire pour tous. Le RGPD ne l’exige que pour trois catégories:

1. le traitement est effectué par une autorité publique ou un organisme public, à l’exception des tribunaux dans l’exercice de leurs fonctions judiciaires;

 

2. le sous-traitant ou le responsable du traitement sont principalement chargés du traitement à grande échelle des catégories spéciales de données et du traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions;

3. le sous-traitant ou le responsable du traitement est principalement chargé des opérations de traitement qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle.

Des exemples de traitement systématique à grande échelle sont le traitement des données des patients par les hôpitaux, la collecte des données de voyage des citoyens dans les bus, le traitement des données des clients par les assureurs ou les banques, le traitement des données par les réseaux de télécommunications et le suivi des données de localisation. Il s’agit du nombre de personnes concernées, du volume de données, de la durée du traitement des données et de la zone géographique du traitement.

Le RGPD n’impose pas de certifications spécifiques pour être un DPD, mais il exige qu’il possède l’expertise et les connaissances nécessaires en matière de protection des données. Le DPD

 

doit pouvoir démontrer qu’il est bien informé des protections requises pour le type de données traitées et faire preuve d’un haut degré de professionnalisme. Pour cette raison, il est fortement recommandé que le DPD suive une formation appropriée si l’on choisit de nommer une personne au sein de l’entreprise ou de désigner un DPD formé à l’extérieur.

En outre, le DPD fait office de premier point de contact avec l’APD et est censé coopérer avec l’autorité. Les personnes concernées peuvent toujours contacter le DPD pour toute question relative au traitement de leurs données et à l’exercice de leurs droits.

Bien que la désignation d’un DPD ne soit pas obligatoire dans tous les cas, il est toujours conseillé aux grandes entreprises (> 50 employés) de faire appel à un délégué à la protection des données. La complexité de la législation et sa mise en œuvre dans l’entreprise demandent beaucoup de temps et d’énergie. Il est donc plus rassurant pour de nombreuses entreprises d’être assistées à cet égard. Après tout, les amendes pour nonconformité au RGPD ne sont pas minuscules. Les organisations qui ne se conforment pas au RGPD risquent une amende pouvant atteindre 4 % du chiffre d’affaire mondial, avec un

 

maximum de 20 millions d’euros.

Si vous le souhaitez, nous pouvons vous aider dans cette démarche. Nous avons des DPD certifiés qui peuvent toujours conseiller et aider votre organisation en ce qui concerne le RGPD.

Analyse d’impact relative à la protection des données.

Une analyse d’impact relative à la protection des données (AIPD), ou évaluation d’impact sur la protection des données, est requise par le RGPD dans certains cas. Cette obligation s’applique lorsqu’il s’agit d’un traitement de données à haut risque impliquant l’utilisation de nouvelles technologies.

Le RGPD lui-même donne trois cas dans lesquels ces conditions sont remplies:

1. il s’agit d’une évaluation systématique et complète des aspects personnels des personnes physiques, qui se fonde sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques pour la personne physique ou l’affectant substantiellement de manière similaire ;

 

2. le traitement à grande échelle de catégories spéciales de données à caractère personnel ou de données relatives à des condamnations pénales et à des infractions ;

3. il existe une surveillance systématique et à grande échelle des zones accessibles au public.

Ces conditions ne seront remplies que dans un nombre très limité de situations, ce qui signifie qu’une évaluation des risques avant traitement n’est pas obligatoire pour la plupart des opérations de traitement.

Toutefois, cela ne signifie pas que ce n’est pas une bonne idée d’effectuer une évaluation des risques avant la prise de décision. Chaque fois que votre organisation traite, ou est sur le point de traiter, des données à caractère personnel, il est intéressant d’avoir une bonne vue d’ensemble du traitement. Votre organisation doit toujours traiter les données personnelles traitées de manière responsable.

Voici quelques-unes des choses que vous devez savoir pour traiter les données personnelles de manière responsable:

 

1. l’endroit où les données sont stockées ;

2. ce qu’il advient des données ;

3. sur quelle base juridique les données sont traitées ;

4. et les mesures techniques et organisationnelles que votre organisation prendra (devra prendre) pour protéger les données.

Ce sont les éléments qui sont examinés dans une AIPD.

Si votre organisation souhaite traiter les données personnelles de manière responsable, vous devrez réaliser une sorte d’analyse d’impact concernant le traitement. Si vous remplissez les conditions fixées par le RGPD, il s’agit d’une AIPD formalisée. Si vous ne remplissez pas les conditions, cette évaluation sera très similaire à une AIPD, bien que moins formalisée.

Politique de confidentialité

La transparence étant l’un des principes de base du RGPD, il est important d’informer les personnes concernées. Ces informations doivent être données de manière claire, compréhensible et facilement accessible. La chose la plus

 

simple que vous puissiez faire est de publier une “politique de confidentialité” sur votre site web et de la mettre à disposition dans vos bureaux, de sorte que les personnes concernées aient toujours la possibilité de consulter cette politique.

La politique de confidentialité doit répondre aux éventuelles questions d’une personne concernée. Ces questions comprennent:

1. qui traite les données personnelles?

2. pourquoi sont-elles traitées?

3. quel est le motif du traitement?

4. quelles sont les données personnelles stockées?

5. combien de temps sont-elles conservées?

6. quelles sont les mesures de sécurité prises?

7. qui peut être contacté en cas de questions/plaintes?

 

Il ne suffit pas de proposer une réponse à ces questions, il faut aussi que ces réponses soient compréhensibles pour les personnes concernées. Par conséquent, évitez le jargon, les concepts complexes et le langage trop technique. Si ces termes sont inévitables, essayez de les expliquer pour que la personne concernée puisse les comprendre.

Il est également important de savoir à qui s’adresse votre politique de confidentialité. Si vous proposez des services aux médecins, vous pouvez utiliser des termes qui leur sont communs, car ce sont des termes qu’ils peuvent comprendre. Toutefois, lorsque vous proposez des services aux mineurs, votre politique de confidentialité doit être très simple. Votre politique de confidentialité doit donc être aussi facile à comprendre que possible, en tenant compte du groupe cible pour lequel elle a été élaborée.

Vous éprouvez des difficultés à rédiger une politique de confidentialité ? Vous n’êtes pas sûr que votre politique de confidentialité soit conforme au RGPD ? Grâce à notre connaissance approfondie de la législation sur la protection de la vie privée, nous sommes certains de pouvoir vous proposer une déclaration de confidentialité sur mesure. Contactez-nous et nous examinerons ensemble les possibilités d’une politique

 

de confidentialité conforme au RGPD.

Test d’intrusion

Le RGPD exige que les données personnelles qu’une organisation traite soient sécurisées de manière adéquate. Cette sécurité est extrêmement importante. Pour vérifier si vos systèmes sont (encore) suffisamment sécurisés, il est préférable de faire effectuer régulièrement des tests d’intrusion.

Les tests d’intrusion sont essentiellement une forme contrôlée de piratage informatique où un testeur professionnel, travaillant pour le compte d’une organisation, utilise les mêmes techniques qu’un pirate criminel pour rechercher des vulnérabilités dans les réseaux ou les applications de l’entreprise. Les tests d’intrusion peuvent être effectués soit sur un système fini, soit à l’une des étapes du développement d’un nouveau système.

La réalisation de ces tests vous permettra de prendre plus facilement les mesures techniques requises par le RGPD pour protéger les données traitées. En effet, vous découvrirez les faiblesses de votre infrastructure, ce qui vous permettra de mener des actions ciblées contre ces faiblesses. Ces tests peuvent s’avérer très importants par la suite. Par exemple, en cas de fuite de données, l’autorité de protection des données (APD)

 

vérifiera si vous avez pris des mesures suffisantes pour empêcher cette fuite. L’un des éléments qui peut jouer un rôle dans cette évaluation est la réalisation ou non de tests d’intrusion. Les tests d’intrusion font donc partie intégrante d’une organisation qui souhaite agir en conformité avec le RGPD.

Si vous souhaitez soumettre votre organisation à de tels tests d’intrusion, vous pouvez faire appel à nos services. Nous proposons des tests au niveau du réseau, des serveurs et des applications. Pour plus d’informations concernant ces tests et un devis gratuit, n’hésitez pas à nous contacter.

Hoofdwebsite Contact
make appointment upload






      GDPR proof area
      Téléchargez vos documents





      glissez vos documents jusqu’ici ou choisissez un fichier


      glissez vos documents jusqu’ici ou choisissez un fichier











        Benelux (€... )EU (€... )International (prix sur demande)

        En soumettant la demande, vous acceptez expressément nos conditions générales et confirmez que vous avez lu attentivement notre déclaration de confidentialité. L’envoi de cette demande fera office de confirmation de commande.
        error: Helaas, deze content is beschermd!