Foire aux questions

Vous avez des questions sur RGPD ou sur les services de EDPO? Nous sommes là pour vous aider.

Le RGPD et les autres réglementations relatives à la protection des données

Qu'est-ce que le RGPD?

Le règlement général sur la protection des données (RGPD) est un règlement européen historique sur la protection de la vie privée qui s'applique depuis le 25 mai 2018. Étant donné qu'il s'agit d'un règlement, il est directement applicable dans tous les États membres de l'UE sans qu'il soit nécessaire de le mettre en œuvre dans la législation nationale.

Le RGPD est considéré comme la loi la plus stricte au monde en matière de protection des données personnelles. Elle vise à étendre et à unifier les droits des individus en matière de protection des données dans l'UE et a une portée extraterritoriale sans précédent.

Qu'est-ce qu'une donnée à caractère personnel ?

Les données personnelles en vertu du RGPD ont une interprétation très large et comprennent toute information relative à une personne physique identifiée ou identifiable : nom, photos, adresses, numéros de téléphone, adresses électroniques, adresses IP (même dynamiques), numéros d'identification, données de localisation, âge, origines, pseudo, etc.

Qu'est-ce qu'une donnée sensible ?

Les données sensibles sont des données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques, les données biométriques permettant d'identifier une personne physique de manière unique, les données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Quelles sont les sanctions en cas de non-respect du RGPD?

Les infractions au RGPD (même pour les entreprises non européennes) peuvent entraîner des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé, sans préjudice des demandes individuelles et collectives de dommages et intérêts qui peuvent être portées devant les tribunaux. Les autorités de protection des données ont également le pouvoir d'imposer des interdictions temporaires ou indéfinies de traitement et de suspendre les flux de données vers des destinataires dans des pays tiers.

Conformément à l'article 83 (4) (a) du RGPD , les sanctions pour non-désignation d'un représentant dans l'UE peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Cliquez ici si vous souhaitez en savoir plus sur les amendes et les sanctions relatives au RGPD .

Qu'est-ce que le RGPD britannique?

Le RGPD britannique est le règlement sur la protection des données qui s'applique au Royaume-Uni depuis le Brexit (1er janvier 2021). Le Royaume-Uni a mis en œuvre le RGPD européen dans sa loi sur la protection des données de 2018. Les droits, principes et obligations restent pour la plupart identiques à ceux du RGPD européen, pour l'instant.

Qu'est-ce que la loi suisse sur la protection des données ?

La Suisse a récemment publié sa nouvelle loi sur la protection des données qui entrera en vigueur le 1er septembre 2023. Certaines obligations, certains droits et certains principes s'inspirent du RGPD. Par exemple, les entreprises non suisses devront désigner un représentant pour la protection des données en Suisse, tout comme les entreprises non européennes doivent désigner un représentant dans l'UE conformément au RGPD.

L'obligation de désigner un représentant à la protection des données

(Article 27 du RGPD européen et britannique)

Quand devez-vous désigner un représentant à la protection des données ?

 

Vous devrez peut-être désigner un représentant pour la protection des données dans l'UE si :

  • Vous êtes basé en dehors de l'UE/EEE et n'y avez pas d'établissement
  • Vous proposez des biens ou des services à des personnes situées dans l'UE (contre paiement ou gratuitement) et/ou vous surveillez leur comportement (suivi, profilage, etc.).

EDPO peut agir en tant que représentant pour la protection des données de l'UE ! Contactez-nous pour un devis gratuit.

Vous devrez peut-être désigner un représentant pour la protection des données au Royaume-Uni si :

  • Vous êtes basé en dehors du Royaume-Uni et n'avez pas d'établissement dans ce pays.
  • Vous proposez des biens ou des services à des particuliers au Royaume-Uni (à titre onéreux ou gratuit) et/ou vous surveillez leur comportement (suivi ou profilage, par exemple).

La société soeur d'EDPO, EDPO UK LTD, peut être votre représentant pour la protection des données au Royaume-Uni ! Contactez-nous pour un devis gratuit.

Y a-t-il des exceptions à l'application de l'article. 27 ?

L'article 27 du RGPD ne s'applique pas aux sociétés non européennes si elles sont une autorité ou un organisme public ou si les conditions cumulatives suivantes sont remplies :

(i) l'entreprise ne traite qu'occasionnellement les données à caractère personnel de personnes se trouvant dans l'UE et

(ii) le traitement ne comprend pas le traitement à grande échelle de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions et

(iii) la nature, le contexte, la portée et la finalité du traitement ne sont pas susceptibles d'engendrer un risque pour les droits et libertés.
La même règle s'applique aux entreprises non britanniques conformément au RGPD britannique.

Où le représentant pour la protection des données doit-il être situé ?

Votre représentant RGPD doit être établi dans un (seul) pays de l'UE où se trouvent les personnes dont les données sont traitées. Si votre entreprise vise généralement l'ensemble de l'UE, elle peut choisir le pays où elle souhaite établir son représentant. Bruxelles étant la capitale de l'UE, c'est le lieu de prédilection des entreprises non européennes pour désigner leur représentant RGPD .

Votre représentant RGPD britannique doit être établi au Royaume-Uni.

Comment désigner un représentant pour la protection des données ?

Le représentant pour la protection des données doit être désigné par écrit. Un contrat écrit en bonne et due forme doit donc être mis en place pour fournir un mandat clair et des instructions spécifiques.

Désignez EDPO ou EDPO UK et obtenez le certificat de conformité EDPO.

Si mon pays bénéficie d'une décision d'adéquation pour les transferts de données avec l'UE, cela libère-t-il mon entreprise de l'obligation de désigner un représentant ?

Les décisions d'adéquation prises par la Commission européenne ne concernent que les transferts de données de l'UE vers un pays tiers. Si votre pays bénéficie d'une décision d'adéquation, cela signifie que vous pouvez transférer en toute sécurité des données à caractère personnel de l'UE vers votre pays sans garanties supplémentaires. Vous devez toutefois désigner un représentant qui vous aidera à traiter les demandes des personnes et des autorités de l'UE. 

La désignation d'un représentant pour la protection des données libère-t-elle les entreprises non européennes ou non britanniques de toute responsabilité ?

NON. Le RGPD européen et le RGPD britannique indiquent clairement que la désignation d'un représentant pour la protection des données n'affecte pas la responsabilité des entreprises non européennes et non britanniques qui entrent dans le champ d'application du RGPD européen et du RGPD britannique. La désignation est sans préjudice des actions en justice qui pourraient être engagées contre les entreprises non européennes et non britanniques.

Puis-je désigner EDPO comme représentant pour la protection des données ?

Oui !

EDPO est une société privée belge à responsabilité limitée située à Bruxelles, la capitale européenne, et nous avons des bureaux de représentation dans de nombreux pays de l'UE. Notre seule activité consiste à agir en tant que représentant (Article 27 RGPD) dans l'UE pour les sociétés non européennes qui entrent dans le champ d'application du RGPD, et nous nous concentrons donc sur la fourniture de services de représentation de premier ordre.

Pour en savoir plus sur le représentant dans l'UE, cliquez ici !

Notre société sœur, EDPO UK Ltd, est située à Londres et agit en tant que représentant au Royaume-Uni (selon l'article 27 du RGPD britannique) pour les sociétés non britanniques qui relèvent du champ d'application du RGPD britannique.

Pour en savoir plus sur le représentant au Royaume-Uni, cliquez ici !

Consultez la section "Comment nous nommer" ci-dessous pour plus d'informations !

Le rôle du représentant

Comment le représentant aide-t-il les entreprises ?

La tâche principale du représentant pour la protection des données dans l'UE et au Royaume-Uni est de servir de point de contact pour les autorités chargées de la protection des données et les personnes dans l'UE et au Royaume-Uni dont les données personnelles sont traitées par les entreprises non européennes et non britanniques.

Le représentant pour la protection des données doit également tenir les registres des activités de traitement de ses clients.

Le représentant agit au nom des entreprises non européennes et non britanniques, en accomplissant ses tâches conformément au mandat qu'il a reçu d'elles, y compris en coopérant avec les autorités de protection des données en ce qui concerne toute action entreprise pour assurer le respect du RGPD européen et du RGPD britannique.

Que sont les demandes d'accès des personnes concernées ("DSAR") et comment le représentant pour la protection des données les traite-t-il ?

 

 

Les DSARs sont des droits accordés par le RGPD européen et le RGPD britannique aux personnes concernées pour demander l'accès à toutes les informations personnelles qu'une organisation détient sur elles.

En tant que représentant pour la protection des données, EDPO traite un nombre illimité de DSARs dans l'ensemble de l'UE/EEE et au Royaume-Uni. Nous procédons également à des vérifications d'identité (si on nous le demande), nous transmettons les demandes à nos clients avec une traduction gratuite en anglais si nécessaire, nous répondons aux questions de nos clients sur les meilleures pratiques en matière de réponse, et nous répondons aux personnes concernées en leur nom. Nous ne sommes pas seulement une boîte aux lettres ou un service de transmission de messages.

Quel est le délai de réponse aux demandes d'information ?

Les demandes d'informations émanant de particuliers dans l'UE et/ou au Royaume-Uni doivent recevoir une réponse dans un délai d'un mois. Des prolongations de deux mois supplémentaires sont possibles en fonction de la complexité et du nombre de demandes.

Que se passe-t-il si je suis victime d'une violation de données ?

Une violation de données n'est pas amusante, mais parfois, ça arrive. Étant donné que chaque autorité de protection des données (APD) a des exigences différentes en matière de notification des violations de données (y compris le dépôt dans la langue officielle du pays), l'ensemble du processus peut être très difficile - surtout si l'on tient compte du délai serré de 72 heures pour notifier une violation de données aux APD. EDPO utilise une plateforme unique de notification des violations de données qui regroupe toutes les questions de tous les formulaires de notification des violations de données dans l'ensemble de l'UE/EEE en anglais, puis traduit les réponses dans la langue d'origine des pays respectifs de l'UE/EEE. Nous pouvons donc vous donner une énorme longueur d'avance dans vos notifications de violations de données en réduisant le temps et les ressources - et le stress ! - nécessaires pour remplir vos notifications de violation de données.

En outre, notre contrat avec vous ne sera pas automatiquement résilié en cas de violation de données. Nous vous soutenons tout au long du processus.

Comment les informations doivent-elles être communiquées aux particuliers ?

Les informations doivent être fournies sous une forme concise, transparente, intelligible et facilement accessible. Une attention particulière doit être accordée aux informations qui s'adressent aux enfants. Les informations doivent être fournies par écrit ou par des moyens électroniques et peuvent également être fournies oralement si l'identité de la personne qui fait la demande est prouvée.

Qu'est-ce qu'un registre des activités de traitement et qu'en fait le Représentant pour la protection des données ?

Votre représentant pour la protection des données a l'obligation légale de conserver une copie de votre registre des activités de traitement au titre de l'article 30 : c'est-à-dire toutes les informations pertinentes et actualisées concernant les données à caractère personnel dans l'UE et/ou au Royaume-Uni que vous traitez.

Votre registre des activités de traitement au titre de l'article 30 est conservé par EDPO sur une plateforme hautement sécurisée qui est hébergée dans un centre de données présentant les niveaux de sécurité les plus élevés en Europe, garantis par des normes et des certifications internationales. EDPO peut également vous recommander des modèles et/ou des experts qui peuvent vous aider à en mettre un en place.

Pour plus d'informations, regardez notre vidéo sur la façon de créer un registre des activités de traitement !

Comment nommer EDPO?

Comment prendre contact ?

Il y a trois façons de nous contacter :

  • Vous souhaitez discuter de l'obligation de désigner un représentant et vous ne savez pas encore comment elle s'applique à votre entreprise ? Utilisez notre test d'évaluation, il vous aidera à déterminer si vous avez besoin ou non d'un représentant. Vous avez la possibilité de nous demander de vous contacter à la fin du test.
  • Vous savez déjà que l'obligation s'applique à vous et vous souhaitez recevoir un devis personnalisé ? Utilisez notre formulaire d'inscription et fournissez les informations demandées sur votre entreprise. Ces informations nous aideront à déterminer le montant de nos honoraires. Nous vous enverrons un devis personnalisé et nous vous appellerons brièvement pour discuter des aspects pratiques.
  • Vous ne voulez pas remplir nos formulaires et souhaitez prendre rendez-vous pour discuter de nos services en face à face ? Utilisez notre bouton "Réserver un appel" au bas de la page. Choisissez un créneau horaire qui vous convient et indiquez votre adresse électronique. Au plaisir de vous rencontrer !
Combien cela coûte-t-il ?

Nos honoraires de représentant pour la protection des données sont basés sur la taille de votre entreprise (en termes de nombre d'employés), le type de données (données ordinaires et/ou données sensibles) que votre entreprise traite, le fait que les opérations de traitement de votre entreprise nécessitent ou non un suivi régulier et systématique des personnes dans l'UE et le fait que votre entreprise traite des données à caractère personnel à grande échelle. Tous les forfaits peuvent être adaptés aux besoins spécifiques de votre entreprise.

Cliquez ici pour en savoir plus sur nos honoraires de représentant dans l'UE.

Cliquez ici pour en savoir plus sur nos honoraires de représentation au Royaume-Uni.

Que se passe-t-il si EDPO n'est pas situé dans le pays de l'UE où je dois désigner un représentant ?

Ne vous inquiétez pas. Contactez-nous : nous avons la solution.

Nous avons déjà des bureaux dans plusieurs pays de l'UE (consultez notre page bureaux pour les voir tous). Si nous n'avons pas de bureau dans le pays où vous devez nommer votre représentant, nous nous ferons un plaisir d'ouvrir un nouveau bureau pour vous. Cette démarche n'entraîne aucun coût supplémentaire pour votre entreprise et peut être effectuée en 72 heures !

EDPO propose-t-il d'autres services dans le cadre du RGPD ?

Non. EDPO se concentre sur la fourniture de services de représentation en matière de protection des données dans plusieurs juridictions. Nous ne sommes pas un cabinet d'avocats et nous ne fournissons pas de conseils juridiques. Il n'y a pas de conflit d'intérêts avec d'autres rôles du RGPD (tels que le DPD ou l'avocat spécialisé dans la protection de la vie privée).