Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :

• avec le consentement des personnes concernées;
• lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
• pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
• lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
• protéger les intérêts vitaux d’un individu;
• pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.

En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.

Plus d’informations :

• Traiter les données personnelles de manière licite

• Tout traitement de données personnelles doit être licite, équitable et transparent.
• Ne recueillent des données personnelles qu’à des fins spécifiées, explicites et légitimes. Le traitement des données d’une personne doit être strictement limité à la ou aux finalités initialement établies, et donc ne pas être traité à des fins ultérieures ou autres qui sont incompatibles avec les finalités initiales.
• Ne traitent que les données personnelles nécessaires et proportionnées à la lumière de l’objectif envisagé.
• Toutes les données personnelles que vous traitez doivent être exactes et mises à jour. Les données personnelles inexactes doivent être rectifiées ou effacées.
• Le stockage des données personnelles des personnes physiques doit être limité dans le temps, compte tenu de la finalité pour laquelle ces données ont été collectées et traitées. En tant que telles, les données personnelles des personnes doivent être supprimées ou anonymisées une fois que ces données ne sont plus nécessaires.
• Le traitement des données personnelles doit se faire de manière sécurisée. En ce sens, de solides contrôles de cybersécurité doivent être mis en place pour garantir une protection adéquate des données des individus.

Enfin, le responsable du traitement est responsable. Cela signifie qu’il est responsable et doit être en mesure de démontrer le respect des principes ci-dessus.

Plus d’informations:

• Les bases de la protection des données

Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :

• Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
• Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
• Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
• Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
• Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
• Tenir un registre des opérations de traitement.

Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.

Plus d’informations:

• Être conforme
• Responsable du traitement des données ou sous-traitant
• Bases de la protection des données

Les cookies sont de petits fichiers stockés sur un appareil, tels qu’un ordinateur, un appareil mobile ou tout autre appareil pouvant stocker des informations. Les cookies servent un certain nombre de fonctions importantes, y compris pour se souvenir des utilisateurs et de leurs interactions précédentes avec un site web. Ils peuvent être utilisés pour garder une trace des articles dans un panier d’achat en ligne ou pour garder une trace des informations lorsque les détails sont insérés dans un formulaire de demande en ligne.

Les cookies d’authentification sont également importants pour identifier les utilisateurs lorsqu’ils se connectent aux services bancaires et autres services en ligne. Les informations stockées dans les cookies peuvent inclure des données personnelles, telles qu’une adresse IP, un nom d’utilisateur, un identifiant unique ou une adresse e-mail.

La désignation d’un DPD est obligatoire dans les trois cas suivants :

• l’organisme est une autorité publique ;
• les activités de base de l’organisation consistent en un suivi régulier et systématique des individus à grande échelle, par exemple la géolocalisation via une application mobile, ou la surveillance des centres commerciaux et des espaces publics par le biais de la vidéosurveillance ;
• les activités principales de l’organisme consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et à des infractions.

Vous pouvez toujours désigner un DPD sur une base volontaire, même si cela n’est pas légalement requis. Veuillez noter que dans ce cas, vous devez vous conformer à toutes les dispositions du RGPD concernant les missions et la position du délégué à la protection des données dans l’organisme.

Plus d’informations :

• Le délégué à la protection des données

Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.

Plus d’informations :

• Le délégué à la protection des données

Non, le traitement de données sensibles est généralement interdit, sauf dans des circonstances très spécifiques :

• La personne a donné son consentement explicite pour le traitement de ses données sensibles.
• Le traitement des données sensibles est nécessaire pour que le responsable du traitement puisse remplir ses obligations, notamment dans le contexte de l’emploi, de la sécurité sociale et de la protection sociale. Par exemple, le responsable du traitement peut avoir besoin de traiter les données sensibles d’une personne pour pouvoir déterminer si elle a droit à certaines prestations de sécurité sociale ou à des allocations d’emploi.
• Le traitement de données sensibles est nécessaire pour protéger les intérêts vitaux d’une personne lorsque l’individu est physiquement ou légalement incapable de donner son consentement. Par exemple, si une personne est inconsciente à la suite d’un accident et nécessite des soins médicaux immédiats, ses données de santé peuvent avoir besoin d’être traitées pour que les soins médicaux appropriés soient dispensés.
• Le traitement de données sensibles s’effectue dans le cadre des activités légitimes d’une fondation, d’une association ou d’une autre organisation à but non lucratif ayant un but politique, philosophique, religieux ou syndical, et uniquement pour le traitement des données personnelles de leurs membres, anciens membres ou personnes ayant des contacts réguliers avec eux.
• Les données sensibles ont été manifestement rendues publiques par les individus.
• Le traitement des données sensibles est nécessaire dans le cadre d’une procédure judiciaire.
• Le traitement des données sensibles est nécessaire pour des questions d’intérêt public substantiel.
• Le traitement de données sensibles est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail. Par exemple, l’évaluation des données sensibles d’une personne, telles que ses données médicales, peut être nécessaire pour déterminer sa capacité de travail en tant qu’employé.
• Le traitement de données sensibles est nécessaire pour des questions de santé publique sur la base du droit de l’Union ou du droit national. Par exemple, le traitement des données sensibles des personnes peut être nécessaire pour garantir une qualité élevée des soins de santé et une qualité élevée des produits médicaux, ou pour lutter contre les menaces graves pour la santé, telles que les virus.
• Le traitement de données sensibles est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Par exemple, le traitement de données sensibles peut être nécessaire pour fournir des statistiques précises sur la situation d’un pays dans un domaine particulier. 
   

Plus d’informations:

• Traiter les données personnelles de manière licite

Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.

En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.

Plus d’informations :

• Traiter les données personnelles de manière licite

Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.

Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.

Plus d’informations :

• Traiter les données personnelles de manière licite

Vous devez répondre dans les meilleurs délais et, au plus tard, dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour y répondre, à condition que la personne en soit informée dans un délai d’un mois à compter de la réception de la demande.

Vous devez le faire gratuitement.

Plus d’informations :

• Respecter les droits des individus