Obligations en matière de protection des données personnelles (RGPD)

Toute entreprise qui réalise un traitement de données (gestion de la paie, recrutement, fichier clients ou fournisseurs...) doit respecter le . Il s'applique à , , dès lors qu'elle est établie sur le territoire de l’ ou que son activité cible directement des résidents européens. Règlement général sur la protection des données (RGPD) toute entreprise quelle que soit sa taille et son secteur d'activité Union européenne

Il est nécessaire de définir la notion de pour comprendre ce que recouvre le . donnée personnelle traitement de données personnelles

Une donnée personnelle ou « » est une (ex : nom, prénom, numéro de sécurité sociale, adresse, numéro de téléphone, adresse mail, photo, empreinte, donnée de géolocalisation, adresse IP ou identifiant en ligne). donnée à caractère personnel information se rapportant à une personne physique identifiée ou identifiable

Une personne est dite lorsque l'on connaît son identité. Une personne est lorsqu'elle peut être identifiée, quand bien même ses nom et prénom resteraient inconnus, à partir du (ex : une femme vivant à telle adresse, née tel jour et membre de telle association). identifiée identifiable croisement d'un ensemble de données

À noter

Peu importe que l'information soit et sur lequel se trouve l'information (formulaire papier, clé USB, disque dur, caméra, etc.). publique ou confidentielle peu importe le support

En revanche, une donnée n'est plus personnelle lorsqu'elle est , éliminant ainsi toute possibilité d'identifier la personne concernée. anonymisée

De même, une donnée n'est pas personnelle lorsqu'elle se rapporte à une (ex : une entreprise, une association). personne morale

Exemple

L'adresse postale, le numéro de téléphone du standard ou une adresse mail générique (ex : « ») d'une entreprise ne sont pas des données personnelles. compagnie1[@]email.fr

Un traitement de données personnelles consiste en , quel que soit le procédé utilisé (ex : la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données). toute opération portant sur des données personnelles

Autrement dit, on parle de traitement de données dès que les données d'une personne sont utilisées d'une manière ou d'une autre et peu importe à qui appartiennent ces données (un , un , un , un , un , etc.). client fournisseur prestataire employé candidat à l'embauche

Un traitement de données personnelles n’est pas nécessairement informatisé, et doivent être protégés dans les mêmes conditions. les fichiers papier sont également concernés

Exemple

  • Création d'un fichier clients ou fournisseurs (papier ou informatisé)

  • Consultation d’un tableau Excel contenant des données de ressources humaines (bulletins de paie, contrats de travail, CV et lettres de motivation...)

  • Prospection commerciale par courrier ou par e-mail

  • Livraison d'une commande

  • Conservation d’adresses IP

  • Enregistrement de vidéosurveillance dans un magasin

  • Destruction de documents papiers contenant des données personnelles.

À savoir

D’une manière générale, , les services des ressources humaines sont amenés à effectuer un traitement de données des employés (gestion de la paie, recrutement, contrats de travail...) et sont donc . dès qu'une entreprise emploie du personnel systématiquement concernés par le RGPD

Pour être conforme au RGPD, le traitement de données doit obéir aux : principes suivants

  • Le traitement doit être : il doit être fondé sur l'une des 6 bases légales fixées par le RGPD notamment le consentement de la personne concernée, l'exécution d'un contrat ou le respect d'une obligation légale. licite

  • Le traitement doit être : la personne dont les données sont collectées doit être informée de la collecte et de sa finalité, ainsi que des droits dont elle dispose sur ses données (accès, rectification, portabilité, effacement...). transparent

  • Le traitement doit avoir une : le responsable du traitement doit définir l'objectif poursuivi par la collecte des données (ex : prospection, suivi de relations clients, ressources humaines). Les données ne doivent pas être traitées d’une manière incompatible avec cette finalité. finalité

  • Le traitement doit être : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. On parle de « ». Par exemple, une société n'a pas à collecter le numéro de téléphone de ses clients lorsqu'elle adresse uniquement de la prospection par mail. proportionnel et pertinent principe de minimisation

  • Le traitement doit être : la durée de conservation des informations doit être définie dès la mise en place du dispositif qui collecte ces données. Une fois l’objectif atteint, les informations collectées ne sont plus nécessaires et doivent donc être supprimées. temporaire

  • Le traitement doit être : toutes les mesures nécessaires pour garantir la sécurité, et notamment la confidentialité des données personnelles doivent être mises en place (ex : mots de passe, https, sauvegarde). Ces mesures de sécurité sont proportionnelles aux risques encourus (ex : vol ou perte de données). sécurisé

Sauf exceptions, tout traitement portant sur des données dites est . Il s'agit d'une qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques). sensibles interdit catégorie de données éminemment personnelles

Le représentant légal de l'entreprise (chef d'entreprise, gérant, président...) est désigné « ». Le responsable du traitement est la personne , il détermine ses finalités et ses moyens. responsable du traitement à l'initiative du traitement de données

Le plus souvent, le responsable de traitement a recours à un chargé de traiter les données pour le compte du responsable du traitement (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale). sous-traitant

Le responsable du traitement et son sous-traitant doivent respecter de en matière de protection des données personnelles. nombreuses obligations

Le responsable du traitement doit dont les données sont collectées. informer toute personne

Cette obligation s'applique que la collecte soit (ex : données recueillies auprès de la personne dans un formulaire) ou (ex : données récupérées auprès de partenaires commerciaux, de ou de sources accessibles au public). directe indirecte data brokers

L'information doit être délivrée (en cas de collecte directe) ou dans un délai raisonnable après avoir obtenu les données, sans dépasser (en cas de collecte indirecte). au moment de la collecte 1 mois

Le responsable du traitement doit transmettre les : informations suivantes

  • Identité et coordonnées du responsable du traitement

  • Coordonnées du délégué à la protection des données (DPO), le cas échéant

  • Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées

  • Base légale justifiant le traitement : il peut s'agir du consentement de la personne, du respect d'une obligation prévue par un texte de loi, de l'exécution d'un contrat, etc.

  • Caractère obligatoire ou facultatif de la fourniture de données personnelles : les conséquences pour la personne en cas de non-fourniture des données

  • Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)

  • Durée de conservation des données personnelles

  • Droits de la personne sur ses données : droit de refuser la collecte, droit d'accéder, de rectifier et d'effacer ses données

  • Droit de la personne d'introduire une réclamation auprès de la Cnil

  • Source d’où proviennent les données personnelles, en cas de collecte indirecte

  • Existence d'un transfert des données personnelles vers un pays hors de l', le cas échéant. Union européenne

Les informations doivent être transmises de façon , en des termes clairs et simples. Autrement dit, l’information doit être présentée de manière efficace et succincte pour parmi d’autres contenus informatifs. concise, transparente, compréhensible et facilement accessible ne pas être noyée

Exemple

Une entreprise ne respecte pas l'exigence d’accessibilité de l’information lorsqu'elle multiplie les pages à consulter, les liens présents dans les différentes pages et la redondance des informations.

La forme de présentation doit sur lequel est communiquée l’information. Par exemple, pour éviter des mentions trop longues au niveau d’un formulaire en ligne, le responsable du traitement peut donner un premier niveau d'information en fin de formulaire et renvoyer vers une page dédiée sur son site internet. tenir compte du support

Le titre de la page doit être clair, par exemple : « », « » ou « ». Cette page fait partie des . politique de confidentialité page vie privée données personnelles mentions obligatoires sur un site internet

À noter

La Cnil met à disposition de nombreux , applicables selon la situation (ex : vente en ligne, prospection commerciale, vidéosurveillance sur le lieu de travail, accès aux locaux professionnels par badge). exemples de mentions d'information

Le fait de ne pas informer la personne auprès de laquelle sont recueillies des données est puni d'une de pour les entrepreneurs individuels et pour les sociétés. amende pénale 1 500 € 7 500 €

Le correspond à toute manifestation de volonté par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. consentement

Le plus souvent, le responsable du traitement doit de la personne avant de mettre en œuvre le traitement de ses données personnelles. recueillir le consentement

Le recueil du consentement est , à moins que le traitement soit justifié par (ex : contrat de travail, contrat de vente, de location). obligatoire l'exécution d'un contrat

De plus, le recueil de consentement est dans les cas suivants : toujours obligatoire

  • Collecte de . Il s'agit d'une catégorie de données éminemment personnelles qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques). données personnelles « sensibles »

  • Réutilisation des données pour . Par exemple, un magasin de sport organise un concours et collecte les données des participants pour pouvoir contacter le gagnant (finalité initiale). Si le magasin décide, par la suite, d'utiliser ces données pour constituer un fichier client (nouvelle finalité), il devra de nouveau recueillir le consentement des personnes. d'autres finalités

  • Utilisation de au fonctionnement du service (ex : ciblage publicitaire). La a constitué un dossier sur les . cookies non essentiels Cnil règles applicables à l’usage de cookies

  • Utilisation des données à des fins de par voie électronique (ex : newsletter, sms). L'obligation de consentement s'éteint si la personne prospectée est déjà cliente de l'entreprise et que la prospection concerne des produits ou services similaires. prospection commerciale

Pour être valable, le consentement obtenu doit remplir les : 4 conditions suivantes

  • Le consentement doit être : il ne doit être ni contraint ni influencé. La personne concernée doit avoir véritablement le choix d'accepter ou de refuser le traitement, sans avoir à subir de conséquences négatives en cas de refus (ex : inaccessibilité du site internet). La personne doit également avoir le droit de retirer son consentement à tout moment, et aussi facilement qu'elle l'a donné. libre

  • Le consentement doit être : avant de consentir, la personne concernée doit avoir reçu une information suffisante (identité du responsable du traitement, finalité du traitement, type de données collectées, droit de retirer le consentement et éventuel transfert des données hors UE) de manière à pouvoir décider en toute connaissance de cause. L'information doit être communiquée en des termes clairs et facilement compréhensibles. éclairé

  • Le consentement doit être : si le traitement comporte plusieurs finalités (ex : gestion de clientèle, enquête de satisfaction, opération de prospection), la personne concernée doit pouvoir donner son consentement de façon indépendante pour l’une ou l’autre de ces finalités. spécifique

  • Le consentement doit être : il doit être donné par un acte délibéré, sans aucune ambiguïté. Il peut être recueilli, par exemple, au moyen d'une déclaration écrite ou orale ou via le cochage d'une case par voie électronique (ex : « ». univoque J’accepte que mon adresse électronique soit réutilisée à des fins de prospection commerciale par courrier électronique

En revanche, l'utilisation de cases de consentement cochées par défaut est . De plus, le silence de la personne concernée (ex : la personne visite le site internet sans accepter ou refuser les cookies) . interdite ne vaut pas consentement

À noter

Le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement libre, éclairé, spécifique et univoque.

La personne concernée doit également avoir le à tout moment, et aussi facilement qu'elle l'a donné. Par exemple, lorsque le consentement est obtenu par voie électronique uniquement par un clic, une frappe ou en balayant l’écran, la personne concernée doit pouvoir retirer ce consentement de la même manière. droit de retirer son consentement

Exemple

Le fait d'obliger la personne concernée à suivre un cheminement complexe via des liens vers des documents électroniques ou le fait de la contraindre à saisir un mot de passe ne respecte pas l'exigence de pouvoir retirer son consentement de manière aussi simple qu'on l'a donné.

Lorsqu'une personne concernée retire son consentement, le responsable du traitement doit cesser tous les traitements qui se fondent sur celui-ci. Toutefois, les opérations réalisées sur la base d'un consentement donné valablement avant le retrait restent valables.

Lorsque le recueil de consentement est obligatoire, le traitement de données personnelles obtenues de la personne concernée est puni pénalement de d'emprisonnement et d'amende pour les entrepreneurs individuels et pour les sociétés. sans le consentement 5 ans 300 000 € 1 500 000 €

Le responsable du traitement doit aux personnes dont les données sont collectées : droit d'accès, droit de rectification, droit d'effacement, droit à la portabilité des données ainsi que le droit d'opposition au traitement. garantir des droits

Le responsable du traitement doit permettre, à la personne qui en fait la demande, faisant l'objet d'un traitement. La personne concernée doit pouvoir exercer ce droit, par exemple, au moyen d'un formulaire en ligne, d'une messagerie ou d'un mail de contact. d'accéder à ses données

À cette occasion, le responsable doit lui fournir les : informations suivantes

  • Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées

  • Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)

  • Durée de conservation des données personnelles

  • Droits de la personne sur ses données : droit de refuser le traitement, droit de rectifier et d'effacer ses données

  • Droit de la personne d'introduire une réclamation auprès de la Cnil

  • Source d’où proviennent les données personnelles, en cas de collecte indirecte

  • Existence d'un transfert des données personnelles vers un pays hors de l', le cas échéant. Union européenne

La personne concernée doit pouvoir accéder aux informations sur lesquelles le responsable du traitement s’est fondé . Par exemple, les éléments qui auraient servi à un employeur pour ne pas lui accorder une promotion ou le score attribué par une banque et qui a conduit au rejet d'une demande de crédit. pour prendre une décision la concernant

Le responsable a à compter de la date de réception de la demande, y compris s'il ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès. 1 mois pour répondre

Les éléments doivent être communiqués et de manière . Les codes, sigles et abréviations utilisés doivent être expliqués (éventuellement par le biais d’un lexique). gratuitement facilement compréhensible

Exemple

Le code « » peut signifier que la personne concernée est considérée comme un client VIP. Segmentation : A+

Le responsable du traitement peut à condition de motiver sa décision. Dans ce cas, il doit informer le demandeur des voies et délais de recours permettant de la contester. refuser la demande d’accès

Il peut également notamment en raison de leur nombre et de leur caractère répétitif ou systématique (ex : demande d’une copie intégrale d’un enregistrement toutes les semaines). ne pas répondre aux demandes manifestement abusives

Le responsable du traitement doit permettre, à la personne qui en fait la demande, de dans les meilleurs délais. La personne concernée doit pouvoir compléter ses données incomplètes, y compris en fournissant une déclaration complémentaire. rectifier ses données inexactes

Le responsable du traitement doit permettre, à la personne qui en fait la demande, d'obtenir dans les meilleurs délais. l'effacement de ses données

Ce « droit à l'oubli » n'est pas général, il s'applique : uniquement dans les cas suivants

  • Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière.

  • La personne concernée retire le consentement sur lequel est fondé le traitement, et ce traitement n'est pas justifié par l'exécution d'un contrat (ex : contrat de vente, de location, de travail).

  • La personne concernée s’oppose au traitement et il n’existe pas de motif légitime pour le traitement.

  • Les données personnelles ont fait l’objet d’un traitement illicite (ex : le consentement de la personne n'a pas été reucueilli alors qu'il était obligatoire)

  • Les données personnelles doivent être effacées pour respecter une obligation légale prévue par le droit de l’ ou par le droit de l’État membre auquel le responsable du traitement est soumis. UE

Le responsable du traitement doit permettre, à la personne qui en fait la demande, , dans un délai raisonnable (entre 1 et 3 mois selon la complexité de la demande). de recevoir ses données et de les réutiliser

Le droit à la portabilité s'applique aux données personnelles (ex : adresse mail, nom, âge) ainsi qu'à celles lorsqu'elle utilise un service ou un appareil (ex : achats enregistrés sur une carte de fidélité). déclarées par la personne générées par son activité

En revanche, les données personnelles qui sont à partir des données fournies par la personne concernée (ex : profilage à des fins publicitaires) ne rentrent pas dans le périmètre de ce droit. dérivées, calculées ou déduites

À noter

Par ailleurs, ce droit concerne uniquement les données traitées à l'aide de procédés automatisés, ce qui exclut les données conservées sous format papier.

Le responsable doit communiquer les données dans un . Lorsque c’est techniquement possible, la personne peut demander à ce que ses données soient directement transmises à un autre responsable de traitement. gratuitement format structuré, couramment utilisé et lisible par ordinateur

Ce droit n’entraîne pas la suppression des données du service depuis lequel elles sont portées. De plus, il peut s’exercer à tout moment, y compris si la personne veut continuer à utiliser le service après avoir exercé ce droit.

Exemple

Le droit à la portabilité peut être exercé dans de nombreuses situations, par exemple :

  • Services de musique ou de vidéo à la demande (ex : listes de lecture, contenus téléchargés)

  • Réseaux sociaux (ex : liste des messages et des interactions)

  • Sites de e-commerce (ex : adresse, numéro de téléphone)

  • Ouverture et gestion d’un compte bancaire (ex : numéro de téléphone, liste de transactions réalisées)

  • Services de messagerie en ligne (ex : numéro de téléphone, adresse courriel de récupération)

La recommande fortement de mettre en place une procédure interne pour répondre aux demandes qui pourraient être reçues. Par exemple, prévoir une fonctionnalité permettant à la personne concernée de télécharger ses données dans un format standard lisible par un ordinateur (CSV, XML, JSON, etc.) directement depuis son compte/espace authentifié. Cnil

Le responsable du traitement peut à condition de motiver sa décision. Il peut également notamment en raison de leur nombre et de leur caractère répétitif ou systématique. refuser la demande de portabilité ne pas répondre aux demandes manifestement abusives

Le responsable du traitement doit permettre à la personne concernée de à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. s'opposer à la réutilisation de ses données

Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante.

Le droit d'opposition peut être exercé par la personne le traitement est justifié par un (ex : traitement mis en œuvre à des fins de prévention de la fraude ou visant à garantir la sécurité du réseau et des informations). seulement si intérêt légitime

Au contraire, si le traitement est justifié parce que la personne concernée a donné son consentement, celle-ci devra exercer son droit au retrait du consentement et pas son droit d'opposition.

Le registre des activités de traitement permet de et d'avoir d’une vue d’ensemble des utlisations de ces données personnelles. recenser les traitements de données

L’obligation de tenir un registre des traitements ne s'applique pas à toutes les entreprises, il est nécessaire de se référer à leur taille.

La tenue du registre est lorsque l'entreprise procède à : obligatoire l'un des traitements suivants

  • Traitement (ex : gestion de la paie, gestion des clients/prospects et des fournisseurs) non occasionnel

  • Traitement susceptible de comporter un (ex : systèmes de géolocalisation, de vidéosurveillance) risque pour les droits et libertés des personnes

  • Traitement portant sur des ou des données relatives à des . condamnations pénales

En cas de doute, la recommande d'’intégrer le traitement dans le registre. Cnil

Lorsque l'entreprise emploie au moins 250 salariés, la tenue d'un registre des traitements est . obligatoire

À noter

Les doivent également tenir un registre de leurs activités impliquant le traitement de données. sous-traitants

Le registre doit mis en œuvre par l'entreprise. recenser l'ensemble des traitements

En pratique, une fiche de registre doit être établie pour chaque traitement. Chaque fiche de registre doit contenir les : éléments suivants

  • Identité du responsable de traitement, du délégué à la protection des données et des sous-traitants

  • Catégories de personnes concernées (ex : client, prospect, employé)

  • Catégories de données traitées (ex : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation)

  • Finalités du traitement, c'est-à-dire l’objectif en vue duquel ces données ont été collectées

  • Destinataires des données, c'est-à-dire ceux à qui les données ont été ou seront communiquées, y compris les sous-traitants

  • Durée de conservation des données, ou à défaut les critères permettant de la déterminer

  • Description générale des mesures de sécurité des données

  • Le cas échéant, transfert des données vers un pays hors de l'. UE

Le RGPD impose uniquement que . Le format du registre est libre et peut être constitué au format papier ou électronique. le registre se présente sous une forme écrite

La CNIL met à disposition des . modèles de registre de traitement

Toute entreprise doit qu'elle a collectées (données de clients, de fournisseurs, d'employés, etc.). Pour garantir un niveau de sécurité adapté au risque, de nombreuses sont nécessaires. assurer la sécurité des données personnelles mesures techniques et organisationnelles

À savoir

La Cnil met à disposition un sur la sécurisation des données. guide pratique

Le responsable du traitement doit de données personnelles (automatisés ou non) sur lesquels ces traitements reposent, c'est-à-dire : recenser les traitements et les supports

  • les matériels (ex. : serveurs, ordinateurs portables, disques durs)

  • les logiciels (ex. : systèmes d’exploitation, logiciels métier)

  • les canaux de communication logiques ou physiques (ex. : fibre optique, Wi-Fi, Internet, échanges verbaux, coursiers)

  • les supports papier (ex. : documents imprimés, photocopies)

  • les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).

Ce recensement permet d' engendrés par chaque traitement, notamment : apprécier les risques

  • (ex : usurpation d’identité consécutive à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) Accès illégitime à des données

  • (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) Modification non désirée de données

  • (ex : non-détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient). Disparition de données

Le responsable du traitement doit identifier les en prenant en compte des sources humaines (ex : administrateur informatique, utilisateur, attaquant externe, concurrent) et non humaines (ex : eau, épidémie, matériaux dangereux, virus informatique non ciblé). sources de risques

Il doit également (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale) pour ainsi à même de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation). estimer la gravité et la vraisemblance des risques déterminer les mesures

Le responsable du traitement doit les sur les enjeux en matière de sécurité et de vie privée. Pour ce faire, il peut organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les personnes selon leurs fonctions, faire des rappels par messagerie électronique, etc. sensibiliser utilisateurs

Le responsable doit les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données personnelles, qu’il s’agisse d’une opération d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer. documenter les procédures d’exploitation,

De plus, il doit , annexée au , comportant les informations suivantes : rédiger une charte informatique règlement intérieur

  • Règles de protection des données et sanctions encourues en cas de manquement

  • Champ d'application de la charte (ex : modalités d'intervention des équipes chargées de la gestion des données, moyens d'authentification, règles de sécurité)

  • Modalités d’utilisation des moyens informatiques mis à disposition (poste de travail, espace de stockage, accès à internet, messagerie électronique...)

  • Conditions d’administration du système d’information

  • Responsabilités et sanctions encourues en cas de non respect de la charte.

À noter

Il peut être judicieux de prévoir la signature d’un , ou de prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données personnelles. Un d'engagement de confidentialité est mis à disposition par la Cnil. engagement de confidentialité modèle

Modèle d'engagement de confidentialité sur les données

Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée « la Société »), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare

reconnaître la confidentialité desdites données.

Je m’engage par conséquent, conformément à l’article 32 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions

afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.

Je m’engage en particulier à :

  • ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;

  • ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;

  • ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;

  • prendre toutes les mesures conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;

  • prendre toutes précautions conformes à l’état de l’art et aux règles internes pour préserver la sécurité physique et logique de ces données ;

  • m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;

  • en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée, après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation

et la communication de données à caractère personnel.

J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la règlementation en vigueur, notamment au regard des articles 226-13 et 226-16 à 226-24 du code pénal.

Fait à _____, le jj/mm/aaaa, en X exemplaires

Nom :

Signature :

Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un et doit avant toute utilisation des moyens informatiques. identifiant qui lui est propre s’authentifier

Une précaution indispensable consiste à et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, il est nécessaire de mettre œuvre les mesures suviantes : définir un identifiant unique par utilisateur

  • Exiger une validation de la hiérarchie

  • Mettre en œuvre des moyens pour tracer les actions associées à ces identifiants

  • Renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.

À noter

En cas d'authentification des utilisateurs basée sur des mots de passe, il est conseillé de suivre les . recommandations de la Cnil

Le responsable du traitement doit afin de limiter leur accès aux seules données dont ils ont besoin pour l’accomplissement de leurs missions. gérer l'habilitation des utilisateurs

Le responsable est d'abord amené à dans les systèmes en séparant les tâches et les domaines de responsabilité et par un responsable (ex : supérieur hiérarchique, chef de projet). définir des profils d’habilitation faire valider toute demande d’habilitation

Il est impératif de des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique (ex : changement de mission ou de poste), ainsi qu’à la fin de leur contrat. supprimer les permissions d’accès

À noter

Il est recommandé de (au moins une fois par an) pour identifier et supprimer les comptes non utilisés et réaligner les droits accordés sur les fonctions de chaque utilisateur. réaliser une revue régulière des habilitations

Le responsable du traitement doit également afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité). tracer les opérations

Pour ce faire, il est nécessaire de mettre en place , c’est-à-dire un enregistrement des activités métier des utilisateurs, des interventions techniques (y compris par les administrateurs), des anomalies et des événements liés à la sécurité. un système de journalisation

Le responsable du traitement doit s’assurer que les gestionnaires de l'enregistrement des opérations lui notifient toute anomalie ou tout incident de sécurité, dans les plus brefs délais.

À noter

L' met à disposition un pour établir un système de journalisation efficace et sécurisé. Anssi guide des bonnes pratiques

Les risques d’intrusion dans les systèmes informatiques sont importants. Le responsable du traitement doit qui constituent un des principaux points d’entrée. protéger les postes de travail

Afin de prévenir les accès frauduleux, l’exécution de virus ou les prises de contrôle malveillantes à distance, le responsable du traitement doit prendre les : précautions suivantes

  • Prévoir un mécanisme de en cas de non-utilisation du poste pendant un temps donné verrouillage automatique de session

  • Installer un (« firewall ») logiciel sur le poste et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail « pare-feu »

  • Utiliser des et prévoir une politique de antivirus régulièrement mis à jour mise à jour régulière des logiciels

  • Effacer de façon sécurisée les données présentes sur un poste à une autre personne. avant sa réaffectation

À noter

Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) détaille les sur un système d’information. bons réflexes à adopter en cas d’intrusion

Les pratiques de travail hors des locaux (ex : déplacements, télétravail) comportent des risques spécifiques liés à l’usage d’ordinateurs portables, de clés USB ou encore de smartphones. Il est donc indispensable d'anticiper l’atteinte à la sécurité des données . à l'extérieur des locaux

Le responsable du traitement doit aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (ex : vol de matériel, risques liés à la connexion aux réseaux publics) et à authentification forte. sensibiliser les utilisateurs imposer l'utilisation d'un VPN

Il est également recommandé de des postes nomades et des supports de stockage mobiles (ex : ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW), tels que : prévoir des moyens de chiffrement

  • Le chiffrement du disque dur (de nombreux systèmes d'exploitation intègrent une telle fonctionnalité)

  • Le chiffrement fichier par fichier

  • La création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés.

À noter

La CNIL rappelle les (chiffrement, hachage, signature). grands principes de la cryptologie

Le responsable du traitement doit pour limiter l’impact d’une disparition ou d'une altération non désirée de données. Il est également recommandé de stocker au moins une et d'isoler une , déconnectée du réseau de l'entreprise. effectuer des sauvegardes régulières sauvegarde sur un site extérieur sauvegarde hors ligne

Par ailleurs, le responsable doit mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de litige. archiver les données qui ne sont plus utilisées au quotidien

Pour ce faire, il doit définir un processus de gestion des archives qui appelent plusieurs questions, notamment :

  • Quelles données doivent être archivées ?

  • Comment et où sont-elles stockées ?

  • Quelles sont les modalités d’accès spécifiques aux données archivées ? (l’utilisation d’une archive doit intervenir de manière ponctuelle et exceptionnelle)

  • S’agissant de la destruction des archives, quel mode opératoire faut-il choisir pour garantir que l’intégralité d’une archive a été détruite ?

À noter

La CNIL a établi une concernant les modalités d'archivage électronique. liste de recommandations

Les traitements de données réalisés par un sous-traitant pour le compte du responsable de traitement doivent bénéficier de garanties suffisantes, notamment en matière de sécurité.

Il est impératif de faire appel uniquement à des , notamment en termes de connaissances spécialisées, de fiabilité et de ressources. Le responsable doit exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information et de ses éventuelles certifications. sous-traitants présentant des garanties suffisantes

Un contrat de sous-traitance doit définir l’objet, la durée, la finalité du traitement ainsi que les obligations des parties, notamment en termes de sécurité des traitements. Il doit contenir des dispositions fixant les éléments suivants :

  • Répartition des responsabilités et des obligations en matière de confiées confidentialité des données personnelles

  • des utilisateurs Contraintes minimales en matière d’authentification

  • en fin du contrat Conditions de restitution et de destruction des données

  • . Celles-ci doit comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité. Règles de gestion et de notification des incidents

À noter

La CNIL a publié un dans la mise en oeuvre concrète de leurs obligations. guide pour accompagner les sous-traitants

Les mesures permettant de garantir la sécurité des données étant nombreuses, il est opportun d' de l'entreprise. La CNIL met à disposition une . évaluer le niveau de sécurité des données personnelles grille d'évaluation

Les mesures techniques et organisationnelles mises en œuvre par le responsable de traitement doivent être , compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (dont le degré de probabilité et de gravité varie) pour les droits et libertés des personnes. appropriées

En cas de violation de données (ex : divulgation non autorisée, accès irrégulier), le responsable de traitement doit être qu'il a pris les mesures de sécurité adéquates. en mesure de prouver

Le responsable de traitement peut chargé de traiter les données personnelles pour son compte. recourir à un sous-traitant

Il peut s'agir d'un prestataire de service informatique (ex : hébergement, maintenance), d'une entreprise de sécurité informatique voire d'une agence de marketing ou de communication traitant les données personnelles pour le compte du responsable de traitement.

Pour encadrer leur relation, le responsable de traitement et son sous-traitant doivent conclure un . contrat de sous-traitance

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant les : mentions obligatoires suivantes

  • Objet du contrat, c'est-à-dire l'activité du sous-traitant (ex : hébergement de données, routage d'emails, maintenance)

  • Nature, finalité et durée du traitement

  • Type de données personnelles collectées et catégories de personnes concernées

  • Obligations et droits du responsable du traitement

  • Obligations et droits du sous-traitant.

Pour faciliter la rédaction de ce contrat, les parties peuvent y insérer certaines rédigées par la Commission européenne. Elles fournissent un support utile pour encadrer la sous-traitance conformément aux exigences du RGPD. clauses contractuelles types (CCT)

À noter

Toute opération de traitement non prévue dans le contrat doit, en principe, faire l’objet d’une renégociation préalable entre les parties ou au moins d’instructions écrites du responsable de traitement.

Le sous-traitant doit respecter les : obligations suivantes

  • Assurer un niveau de sécurité suffisant au regard de la nature des données traitées

  • Conseiller le responsable de traitement (ex : l'alerter s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable)

  • Aider le responsable de traitement à garantir les droits des personnes (accès, rectification, effacement, portabilité)

  • Formaliser à l'écrit les instructions délivrées par le responsable de traitement

  • Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement

  • Tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits

  • Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité.

Registre tenu par le sous-traitant

Le sous-traitant doit , recensant toutes les catégories d'activité de traitement effectuées pour le compte de ses clients (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale). tenir son propre registre

En pratique, une fiche de registre doit être établie pour chacune de ces catégories d’activités. Chaque fiche de registre doit contenir les : éléments suivants

  • Identité du sous-traitant, de son représentant en cas d'établissement hors UE, de son délégué à la protection de données ainsi que les sous-traitants auxquels il a lui-même recours

  • Catégories de traitements effectués pour le compte de chacun de ses clients, c’est-à-dire les opérations effectivement réalisées pour leur compte. Par exemple, pour la catégorie « », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.) service d’envoi de messages de prospection

  • Description générale des mesures de sécurité des données

  • Le cas échéant, transfert des données vers un pays hors de l'. UE

À noter

La CNIL met à disposition un à destination des sous-traitants. guide pratique

Le sous-traitant doit du responsable de traitement avant de recruter un autre sous-traitant. Cette autorisation peut être donnée au sous-traitant pour chaque nouveau sous-traitant, ou avoir une . obtenir l'autorisation écrite au cas par cas portée générale

La CNIL recommande de préciser dans le contrat laquelle de ces 2 modalités d’autorisation est choisie par les parties.

Si l’autorisation a une portée générale, le sous-traitant doit communiquer au responsable de traitement de la , ainsi que tout ajout ou remplacement dans cette liste pour lui permettre de s'y opposer s’il le souhaite. Dans ce cas, la Cnil recommande de formaliser les modalités d’information du responsable de traitement et, éventuellement, les critères du choix de ces sous-traitants. liste de ses sous-traitants ultérieurs

À noter

Le sous-traitant doit tenir à jour, dans son registre, une liste des sous-traitants auxquels il recourt.

Les entreprises réalisant des traitement de données à grande échelle doivent désigner un , appelé le plus souvent « en anglais. Le DPO est chargé d' collectées et traitées par l'entreprise qui l'emploie. délégué à la protection des données data protection officer (DPO) » assurer la protection des données personnelles

À noter

La CNIL met à disposition un . guide pratique du DPO

La désignation d’un DPO par l'entreprise est dans : obligatoire les 2 cas suivants

  • Les activités principales de l'entreprise ou du sous-traitant impliquent un des personnes concernées par les opérations de traitement (ex : géolocalisation, vidéosurveillance, traitement des échanges bancaires). suivi régulier et systématique à grande échelle

  • Les activités principales de l'entreprise ou du sous-traitant impliquent un ou relatives à des condamnations pénales. traitement à grande échelle de

La notion de traitement « » s'analyse au cas par cas, en fonction du nombre de personnes concernées, du volume et de l'éventail des différentes données collectées, de la durée de l'activité de traitement et de la répartition géographique de l'activité de traitement. à grande échelle

Exemple

Quelques exemples de traitements à grande échelle :

À l'inverse, des exemples de traitements qui ne sont pas considérés comme des traitements à grande échelle :

  • le traitement à des fins statistiques de données de localisation actuelles de clients d'une chaîne de restauration rapide internationale par un sous-traitant spécialisé dans ces services

  • le traitement de données de clients dans le cadre des activités courantes d'une compagnie d'assurance ou d'une banque

  • le traitement de données personnelles par un moteur de recherche en vue de l'affichage de publicités sur la base du comportement de navigation

  • le traitement de données personnelles (contenu, flux des données, localisation) par des fournisseurs de services de téléphonie et d'Internet.

  • le traitement de données de patients par un médecin indépendant

  • le traitement de données personnelles relatives à des condamnations par un avocat.

À noter

En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est . encouragée

Les missions du délégué à la protection des données sont les suivantes :

  • le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent Informer et conseiller

  • le respect du RGPD et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement Contrôler

  • , sur demande, sur un sujet précis en lien avec le traitement des données personnelles Dispenser des conseils et recommandations

  • et faire office de point de contact sur les questions relatives au traitement. Coopérer avec la

À noter

Le délégué à la protection des données est soumis à une en ce qui concerne l'exercice de ses missions. obligation de confidentialité

Le responsable de traitement peut désigner un DPO ou un proposant ses services de DPO. Il doit s’assurer que le DPO dispose de du droit et des pratiques en matière de protection des données. Il doit prendre en compte les formations suivies par la personne pressentie, ainsi que son et sa connaissance du secteur. en interne prestataire externe connaissances spécialisées expérience

La a mis en place une des compétences du DPO. La procédure n'est mais permet au DPO l'ayant suivie de justifier qu'il répond aux exigences de compétences. Les certifications sont délivrées par des organismes certificateurs agréés par la CNIL. Cnil procédure de certification pas obligatoire

À noter

Pour vérifier qu’un DPO est véritablement certifié, le responsable de traitement peut contacter l’organisme ayant attribué la certification. La CNIL publie une . liste des organismes de certification agréés

Lorsqu'il a choisi le DPO de l'entreprise, le responsable de traitement doit remplir le pour en informer la CNIL. formulaire de désignation en ligne

Services en ligne et formulaires

Le responsable du traitement doit permettre au DPO d’exercer ses missions de contrôle, de conseil et de point de contact . L'indépendance doit être garantie de la manière suivante : en toute indépendance

  • Le DPO ne doit pas être en situation de conflit d’intérêts en cas de cumul de sa fonction de DPO avec une autre fonction. Par exemple, il y a conflit d'intérêts lorsque le DPO se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.

  • Le DPO doit pouvoir rendre compte de son action au plus haut niveau de la direction de l'entreprise

  • Le DPO ne pas être sanctionné pour l'exercice de ses missions de DPO

  • Le DPO ne doit pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.

De plus, le DPO doit disposer du temps suffisant ainsi que des pour exercer sa mission. Il doit bénéficier du soutien actif de la direction et être impliquant des données personnelles. moyens matériels et humains adéquats associé en amont à tous les projets

À noter

Le DPO peut exercer sa fonction de délégué , en complément d’autres activités pour l’organisme (en interne) ou pour d’autres clients (en externe). à temps partiel

Une entreprise qui ne désigne pas DPO lorsque cette désignation est obligatoire s’expose aux : sanctions de la Cnil

  • Rappel à l’ordre

  • Injonction à se mettre en conformité

  • Amende administrative pouvant s’élever jusqu’à ou mondial de l’exercice précédent, le montant le plus élevé étant retenu. 10 millions d’euros 2 % du chiffre d’affaires annuel

Pour s’assurer de la conformité de son traitement au RGPD, l'entreprise peut être amenée à réaliser une . Cette procédure permet d’évaluer à la fois les risques encourus et la manière dont ils peuvent être maîtrisés. analyse d'impact relative à la protection des données (AIPD)

La réalisation d'une analyse d'impact est lorsque le traitement de données présente un des personnes concernées, c'est-à-dire : obligatoire risque élevé pour les droits et libertés

  • Soit le traitement figure dans la pour lesquels la CNIL a estimé obligatoire de réaliser une analyse d’impact. liste des traitements

  • Soit le traitement remplit au moins : 2 des critères suivants

    • évaluation/scoring (y compris le profilage)

    • décision automatique avec effet légal ou similaire

    • surveillance systématique

    • collecte de données sensibles

    • collecte de données personnelles à large échelle

    • croisement de données

    • personnes vulnérables (patients, personnes âgées, enfants, etc.)

    • usage innovant (utilisation d’une nouvelle technologie)

    • exclusion du bénéfice d’un droit/contrat.

Exemple

Une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements.

Ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation). Ainsi, la réalisation d’une AIPD sera nécessaire.

L'AIPD doit être menée . Elle doit être démarrée le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement. avant la mise en œuvre du traitement

L'analyse d'impact doit contenir au minimum les : informations suivantes

  • systématique des envisagées et les du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement Description opérations de traitement finalités

  • et de la des opérations de traitement au regard des finalités Évaluation de la nécessité proportionnalité

  • sur les droits et libertés des personnes concernées Évaluation des risques

  • pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données personnelles et à apporter la preuve du respect du règlement. Mesures envisagées

À noter

La Cnil met à disposition des ainsi qu'un pour faciliter la réalisation d'une analyse d'impact. guides de bonnes pratiques logiciel gratuit

Le responsable du traitement doit ensuite au moyen du service en ligne suivant : transmettre l'analyse d'impact à la Cnil

Services en ligne et formulaires

Une entreprise qui ne réalise pas d'analyse d'impact s’expose aux : sanctions de la Cnil

  • Rappel à l’ordre

  • Injonction à se mettre en conformité

  • Amende administrative pouvant s’élever jusqu’à ou mondial de l’exercice précédent, le montant le plus élevé étant retenu. 10 millions d’euros 2 % du chiffre d’affaires annuel

Le transfert de données hors de l'UE consiste pour une entreprise à envoyer des données personnelles qu'elle a collectées . vers un pays non membre de l'

Le plus souvent, un transfert de données hors UE a lieu dans les : 2 cas suivants

  • (ex : un hébergeur de données établi aux États-Unis) L'entreprise a recours à un sous-traitant établi hors de l'UE

  • (ex : la filiale française envoie les données personnelles de ses salariés au siège du groupe situé au Japon). Les entreprises d'un même groupe échangent des données

Pour qu'un transfert de données hors de l'UE soit autorisé, le pays recevant les données doit faire l'objet d'une . décision d'adéquation

Il s'agit d'une décision adoptée par la Commission européenne qui établit qu’un pays tier présente un des données personnelles. La Commission évalue ce niveau de protection à partir d'éléments fixés par le RGPD (ex : la législation interne du pays, l’existence d’une autorité de contrôle indépendante en matière de protection des données et les engagements internationaux pris par le pays). niveau de protection adéquat

La décision d’adéquation a pour effet de permettre le transfert de données vers le pays concerné, . sans exigences supplémentaires

À noter

Le transfert de données est , par exemple, vers le Royaume-Uni, le Japon, l'Argentine, la Corée du Sud ou les États-Unis (vers les entités américaines certifiées). La est accessible sur le site de la CNIL. libre liste des pays adéquats

En l’absence de décision d'adéquation, le responsable de traitement doit mettre en place des « » avant de transférer les données hors de l'UE. Il peut s'agir des garanties suivantes : garanties appropriées

  • Conclure un contrat incluant des de la Commission européenne. Ces clauses fournissent un support utile pour encadrer le transfert hors UE, conformément aux exigences du RGPD. clauses contractuelles types (CCT)

  • Établir des ( en anglais). Pour les multinationales effectuant de nombreux transfert de données, ces règles désignent une politique de protection des données intra-groupe permettant d’unifier les garanties concernant les traitements de données personnelles offertes par leurs filiales dans le monde entier. règles d'entreprise contraignantes Binding Corporate Rules (BCR)

  • Adhérer à un . Le code est un outil mis en place par une organisation représentative d’un secteur d’activité. Il met en lumière les bonnes pratiques du secteur avec, par exemple, des mentions d’information type, des modèles de clauses contractuelles ou des préconisations en matière de mesures de sécurité, dans un vocabulaire adapté au secteur. Le code est juridiquement contraignant pour ses adhérents. code de conduite

À noter

S’il existe un risque que ces garanties ne soient pas effectives, l’exportateur de données doit mettre en place des mesures supplémentaires afin d’assurer l’effectivité des garanties.

En l’absence de décision d'adéquation ou de garanties appropriées, le transfert peut être réalisé , dans des situations particulières : par dérogation

  • La personne concernée a donné son au transfert envisagé, consentement explicite après avoir été informée des risques que ce transfert pouvait comporter pour elle

  • Le transfert est entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande nécessaire à l'exécution d'un contrat

  • Le transfert est entre le responsable du traitement et une autre personne physique ou morale nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée

  • Le transfert est nécessaire pour des motifs importants d'intérêt public

  • Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice

  • Le transfert est , lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes

  • Le transfert a lieu qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime. au départ d'un registre

Transfert hors UE lorsqu'aucune situation particulière n'est applicable

Lorsqu'aucune de ces situations n'est applicable, un transfert vers un pays tier est tout de même autorisé : si les conditions suivantes sont respectées

  • Le transfert n'a pas un caractère répétitif et ne touche qu'un nombre limité de personnes concernées

  • Le transfert est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée

  • Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données personnelles.

Où s'informer ?

Services en ligne et formulaires

Pour en savoir plus