Skip to main Content

FAQ RGPD

Qu’est-ce qu’une donnée à caractère personnel ? 

Selon l’article du règlement, une donnée personnelle concerne « toute information se rapportant à une personne qui est identifiable, qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un enseignement spécifique propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

D’une manière générale, le RGPD implique le critère de licéité, c’est-à-dire que les données personnelles doivent être gérées selon les finalités autorisées par le cadre réglementaire. Ainsi, les personnes dont les données sont gérées doivent être informées de l’existence de traitement de leurs données. Parallèlement, le critère de licéité est respecté lorsque le responsable du traitement a recueilli le consentement de la personne concernée, ou bien si le traitement se rattache à l’une des obligations suivantes :
les données sont gérées dans le cadre de l’exécution d’un contrat commercial,
les données sont gérées dans le cadre d’une obligation légale : par exemple la collecte des données pour accéder à des points d’accès wi-fi public
les données sont gérées dans le cadre de la sauvegarde des intérêts vitaux de la personne, comme le contexte médical
les données sont gérées dans le cadre de l’exécution d’une mission d’intérêt public : protection sociale, impôts, données régaliennes pour la gestion des permis de conduire
les données sont gérées dans le cadre d’intérêts légitimes de responsable du traitement ou d’un tiers, la prospection commerciale fournit un cas d’école), à mettre en balance avec les intérêts ou les libertés et les droits fondamentaux de la personne.

Est-ce qu'une affectation d'un poste de travail à un utilisateur constitue une donnée personnelle ?

Oui, mais elle ne relève pas forcément du RGPD. En effet, les informations concernant l’utilisateur sont nécessaires dans le cadre de l’exécution de son travail, et ce fichier fait l’objet d’une déclaration la CNIL. Les contrats de travail peut faire l’objet d’avenants concernant l’utilisation des systèmes d’information.

Pour les RH : les réponses aux candidats lors d'un recrutement sont-elles concernées par la RGPD ?

Chaque candidat est libre d’envoyer son CV à un cabinet de recrutement ou une direction des ressources humaines. Il donne ainsi son consentement. Toutefois, l’entreprise doit pouvoir offrir la possibilité aux candidats de rectifier, ou supprimer ces informations, et ne plus être contacté par le cabinet de recrutement ou le département des ressources humaines d’une entreprise.

Les informations DSN et le prélèvement à la source sont-elles concernées par la RGPD ?

Non, il s’agit de données régaliennes qui relèvent du ministère des finances.


J'ai un site internet où j'ai une page contact, est ce que je dois être en règle RGPD ?
Est-ce qu’une page Facebook pro est éligible ?

Non, car en vous connectant à une page Facebook, vous avez accepté les conditions d’utilisation et donné ainsi votre consentement, conformément aux critères de licéité du règlement. À moins que, votre page Facebook abrite des données personnelles autres que nominatives, comme l’ADN des utilisateurs.
Ex : Dès lors que vous avez une page contact sur un site web, et que vous récupérez des données via les réseaux sociaux, vous devez informer d’une part les internautes des traitements que vous ferez de leurs données. D’autre part, vous devez leur offrir la possibilité de modifier ou de supprimer leurs données gérées par votre entreprise.
Je fais de la sauvegarde des bases de données mais pas de traitements suis-je éligible ? Oui.
La sauvegarde et le stockage entrent également dans le champs du RGPD.

Je travaille dans une administration. Sommes-nous concernés ?
Je travaille à mon compte et récupère des données personnelles pour travailler, suis-je concerné ? Une association est-elle concernée ?

Cette question est très vaste. Ça dépend du type de données que vous traitez.
En ce qui concerne le ministère des impôts et les données financières des contribuables, ou le ministère de l’intérieur et le fichier des casiers judiciaires, ceux-ci n’ont aucun compte à rendre car il s’agit d’organisations régaliennes.
En revanche, un hôpital qui fait des sauvegardes des données médicales, doit répondre aux exigences du règlement et mettre en place des mesures organisationnelles et techniques appropriées. 

Vous évoquez les prospects dans la notion de consentement. Si c'est la personne qui a fait la démarche en remplissant par exemple un formulaire, le consentement est-il implicite ?

Le consentement N’EST JAMAIS implicite, on doit toujours le demander clairement. 
Dans le cadre d’un contrat, le consentement est intégré. Y compris pour les anciens contrats. (Ex : contrat fournisseur/ client, contrat de travail…)
Par contre quand on prospecte, donc que l’on travaille sur des données de personnes avec lesquelles on n’a jamais travaillé, il est obligatoire de leur demander leur consentement. 

Est-ce que seules les entreprises sur le territoire européen doivent être conforme à la RGPD ?

Toutes les entreprises qui collectent, stockent et traitent des données de ressortissants de l’union européenne se doivent d’être conformes au RGPD, peu importe le pays où se situe cette entreprise. 

Combien de temps doit-on garder les données collectées et traitées ?

Il s’agit du principe de limitation de la conservation. Lorsque les données personnelles ne sont plus utilisées pour la finalité déterminée, elles doivent être supprimées. Il n’est pas conforme au règlement de conserver des données « au cas où elle pourraient servir à nouveau ». Lorsqu’il est impossible de détruire des données qui ne sont plus utilisées, il est alors possible d’appliquer des techniques comme la pseudonymisation ou l’anonymisation.
Le règlement n’impose pas de durée de rétention des informations. C’est à l’entreprise de les déterminer et d’en informer les utilisateurs. 

Combien de temps avons-nous pour déclarer une violation des données à la CNIL ?

Vous avez 72 heures nominales à partir de la prise de connaissance de la faille pour en informer la CNIL. Nominal signifie que les week-ends et jours fériés ne constituent en aucun cas des justifications pour accorder un délai supplémentaire.


Le poste de DPO est-il obligatoire ? 

La nomination d’un DPO (ou délégué à la protection des données selon la CNIL) est obligatoire dans trois cas de figure :
les organismes et autorités publiques, à l’exception des juridictions, ou
le traitement des données exigeant un suivi régulier est à grande échelle des personnes concernées, ou
le traitement de catégories particulières de données : origines raciales ou ethniques, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, biométrie, vie sexuelle, condamnation pénale et infractions pénales.

Le poste de DPO peut-il être un poste à part entière ?

Oui dans le cadre des entreprises qui traitent des volumes importants de données personnelles, qui répondent aux exigences du règlement.
Toutefois, le règlement n’oblige pas les entreprises nommer un délégué dédié en interne. Il est tout à fait possible de recourir aux services de délégués partagés entre plusieurs entreprises, sous la forme de prestataire ad hoc (société d’avocats, société de conseil spécialisé, etc.).
Parallèlement, le règlement permet à un salarié de l’entreprise de remplir les fonctions de délégué en complément de ses missions existantes. Un recrutement n’est donc pas forcément nécessaire pour se mettre en conformité.

Le rôle de DPO peut-il être pris en charge par le manager du SI dans une PME ?

Il est très tentant d’assigner les fonctions de délégué à la protection des données à un membre de la direction générale, la direction informatique, la direction des risques et de la conformité, ou au RSSI.
Cette démarche est fortement déconseillée. D’une part, le règlement indique que l’entreprise doit veiller à l’absence de conflit d’intérêts entre la fonction de direction et celle de délégué à la protection des données. D’autre part, l’article 38 indique que l’entreprise doit attribuer les ressources nécessaires pour exercer les missions de délégués, et que ce dernier ne doit recevoir aucune instruction en ce qui concerne l’exercice des missions, et rapporte directement au niveau le plus élevé de la direction.
Le DPO est-il juridiquement responsable ?
Non, il n’est pas responsable en cas de non-respect du RGPD. Les textes établissent clairement que c’est le responsable du traitement qui doit s’assurer et être en mesure de prouver que le traitement est réalisé conformément à la réglementation. 


Et pour la sous-traitance ? 
Qui est concerné ? 

Toutes les sociétés qui traitent des données personnelles pour le compte de leurs clients dans le cadre d’une prestation ou de services : 
Prestataires de services informatiques (hébergement, maintenance…)
Intégrateurs de logiciels
Sociétés de sécurité informatique
Les ESN (Entreprises de Service du Numérique) ou SSII (Société de Services et d’Ingénierie en informatique)
Les agences de communication ou les agences de marketing qui s’occupent de données pour le compte de leur client. 

Quelles sont les obligations des sous-traitants ? 
Le pays de destination a fait l'objet d'une décision d'adéquation
le transfert fait l'objet de garanties appropriées pour la protection des données personnelles
Elles doivent nommer un délégué à la protection des données européen.

 

Vous souhaitez en savoir plus, (re) visionnez notre webinar "Comment réussir votre mise en conformité RGPD"