Foire aux questions

RGPD et protection des données

Qu'est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est un nouveau règlement historique de l'UE sur la protection de la vie privée qui s'applique depuis le 25 mai 2018. Étant donné qu'il s'agit d'un règlement, il est directement applicable dans tous les États membres de l'UE sans qu'il soit nécessaire de le mettre en œuvre dans la législation nationale.

Le RGPD est considéré comme la loi sur la protection des données la plus stricte au monde. Il vise à étendre et à unifier les droits des personnes en matière de protection des données dans l'UE et a une portée extraterritoriale sans précédent.

Qu'est-ce qu'une donnée personnelle ?

Les données personnelles au sens du RGPD ont une interprétation très large et comprennent toute information relative à une personne physique identifiée ou identifiable : nom, photos, adresses, numéros de téléphone, adresses électroniques, adresses IP (même dynamiques), numéros d'identification, données de localisation, âge, origines, pseudo, etc.

Qu'est-ce qu'une donnée sensible ?

Les données sensibles sont des données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques, les données biométriques permettant d'identifier une personne physique de manière unique, les données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Quelles sont les sanctions en cas de non-respect du RGPD ?

Les infractions au RGPD (même pour les entreprises non européennes) peuvent entraîner des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé, sans préjudice des demandes individuelles et collectives de dommages et intérêts qui peuvent être portées devant les tribunaux. Les autorités de protection des données ont également le pouvoir d'imposer des interdictions temporaires ou indéfinies de traitement et de suspendre les flux de données vers des destinataires dans des pays tiers.

Selon l'article 83 (4) (a) du RGPD, les sanctions pour non-désignation d'un représentant de l'UE peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. 

Cliquez ici si vous souhaitez en savoir plus sur les amendes et les sanctions relatives au RGPD .

L'obligation de désigner un représentant à la protection des données

(Article 27 du RGPD européen et britannique)

Cliquez ici pour en savoir plus sur le représentant dans l'UE

Cliquez ici pour en savoir plus sur le représentant au Royaume-Uni

Quand devez-vous désigner un représentant à la protection des données ?

Vous devrez peut-être désigner un représentant de la protection des données dans l'UE si :

  • vous êtes basé en dehors de l'UE/EEE et n'y avez pas d'établissement
  • vous proposez des biens ou des services à des particuliers dans l'UE (contre paiement ou gratuitement) et/ou vous surveillez leur comportement (suivi, profilage, etc.)

EDPO peut agir en tant que représentant dans l'UE pour la protection des données ! Contactez-nous pour obtenir un devis gratuit.

Vous devrez peut-être désigner un représentant de la protection des données au Royaume-Uni si :

  • vous êtes basé en dehors du Royaume-Uni et n'y avez pas d'établissement
  • vous offrez des biens ou des services à des particuliers au Royaume-Uni (contre paiement ou gratuitement) et/ou vous surveillez leur comportement (par exemple, le suivi ou le profilage)

La société sœur de EDPO, EDPO UK LTD, peut agir en tant que représentant pour la protection des données au Royaume-Uni ! Contactez-nous pour obtenir un devis gratuit.

 

Comment le représentant RGPD dans l'UE aide-t-il les entreprises non-européennes ?

La tâche principale du représentant pour la protection des données dans l'UE et au Royaume-Uni est d' agir en tant que point de contact pour les autorités de protection des données et les individus dans l'UE et au Royaume-Uni, dont les données personnelles sont traitées par des sociétés non européennes et non britanniques.

Le représentant agit au nom des entreprises non européennes et non britanniques, en accomplissant ses tâches conformément au mandat qu'il a reçu d'elles, y compris en coopérant avec les autorités de protection des données en ce qui concerne toute action entreprise pour assurer le respect de la loi RGPD et de la loi britannique RGPD.

Le représentant à la protection des données doit également tenir des registres des activités de traitement de ses clients.

Voir ci-dessous les questions sous "Le rôle du représentant à la protection des données" pour plus d'informations.

Où le représentant pour la protection des données doit-il être situé ?

Votre représentant RGPD dans l'UE doit être situé dans un (seul) pays de l'UE où se trouvent les personnes dont les données sont traitées. Si votre entreprise vise généralement l'ensemble de l'UE, elle peut alors choisir le pays où elle souhaite établir son représentant. Bruxelles étant la capitale de l'UE, c'est un lieu privilégié pour les entreprises non européennes qui souhaitent désigner leur représentant RGPD .

Votre représentant RGPD au Royaume-Uni doit être situé au Royaume-Uni. 

Comment désigner un représentant à la protection des données ?

Le représentant à la protection des données doit être désigné par écrit. Un contrat écrit approprié doit donc être mis en place pour fournir un mandat clair et des instructions spécifiques.

Désignez EDPO ou EDPO UK et obtenez le certificat de conformité EDPO.

La désignation d'un représentant pour la protection des données libère-t-elle les entreprises non européennes ou non britanniques de toute responsabilité ?

NON. Le RGPD et RGPD UK indiquent clairement que la désignation d'un représentant pour la protection des données n'affecte pas la responsabilité des entreprises non européennes et non britanniques qui relèvent du RGPD et du RGPD UK. La désignation est sans préjudice des actions en justice qui pourraient être engagées contre les entreprises non européennes et non britanniques.

Y a-t-il des exceptions à l'application de l'article. 27 ?

Le RGPD UE ne s'applique pas aux entreprises non européennes si elles sont une autorité ou un organisme public ou si les conditions cumulatives suivantes sont remplies :

(i) la société ne traite qu'occasionnellement les données à caractère personnel de personnes dans l'UE

et

ii) le traitement ne comprend pas le traitement à grande échelle de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions

et

iii) la nature, le contexte, la portée et la finalité du traitement ne risquent pas de présenter un risque pour les droits et libertés.

Il en va de même pour les sociétés non britanniques conformément au RGPD UK.

Puis-je désigner EDPO comme représentant de la protection des données ?

Oui!

EDPO est une société privée belge à responsabilité limitée située à Bruxelles, la capitale européenne, et nous avons des bureaux de représentation à Paris, Berlin, Mardrid et Dublin. Notre seule activité est d'agir en tant que (RGPD Article 27) représentant de l'UE pour les sociétés non européennes qui entrent dans le champ d'application du RGPD, nous nous concentrons donc sur la fourniture de services de représentation de premier ordre.

Pour en savoir plus sur le représentant dans l'UE, cliquez ici !

Notre société sœur, EDPO UK Ltd, est située à Londres et agit en tant que représentant au Royaume-Uni (selon le RGPD UK Article 27) pour les sociétés non britanniques qui relèvent du champ d'application du RGPD UK. 

Pour en savoir plus sur le représentant au Royaume-Uni, cliquez ici !

Vous pouvez nous désigner en vous inscrivant ici ou en nous contactant ici.

Combien cela coûte-t-il de désigner EDPO et/ou EDPO UK comme représentant de votre entreprise pour la protection des données ?

Les honoraires de notre représentant pour la protection des données sont basés sur la taille de votre entreprise (en termes de nombre d'employés), le type de données (données régulières et/ou données sensibles) que votre entreprise traite, que les opérations de traitement de votre entreprise nécessitent ou non un contrôle régulier et systématique des personnes dans l'UE et que votre entreprise traite des données à caractère personnel sur une à grande échelle. Tous les forfaits peuvent être adaptés aux besoins spécifiques de votre entreprise.

Cliquez ici pour en savoir plus sur nos honoraires de représentation dans l'UE.

Cliquez ici pour en savoir plus sur nos honoraires de représentation au Royaume-Uni. 

Le champ d'application des exceptions à l'article 27 des RGPD et RGPD UK.

Que signifie "traiter occasionnellement" les données personnelles des personnes ?

Les termes "traitement occasionnel" ne sont pas définis dans le RGPD ou le RGPD UK, mais les lignes directrices les plus récentes indiquent qu'une activité de traitement ne peut être considérée comme "occasionnelle" que si elle n'est pas effectuée régulièrement, et a lieu en dehors du cours normal des affaires ou de l'activité du responsable du traitement ou du sous-traitant. Parmi les exemples de traitement "régulier", on peut citer la paie, la comptabilité, la gestion des données des clients, l'enregistrement des courriers électroniques, les notes scolaires, etc.

Qu'est-ce qui est considéré comme un traitement "à grande échelle" ?

Le RGPD et RGPD UK ne définissent pas ce qui constitue un traitement "à grande échelle", mais les lignes directrices recommandent de tenir compte des facteurs suivants pour déterminer si le traitement est effectué à grande échelle :
  • Le nombre d'individus concernés - soit en nombre spécifique, soit en proportion de la population concernée
  • Le volume de données et/ou l'éventail des différentes données traitées
  • La durée, ou la permanence, de l'activité de traitement des données
  • L'étendue géographique de l'activité de transformation
Voici quelques exemples de traitement à grande échelle :
  • le traitement des données relatives aux patients dans le cadre de l'activité normale d'un hôpital
  • le traitement des données relatives aux déplacements des personnes utilisant le système de transport public d'une ville (par exemple, le suivi au moyen de cartes de voyage)
  • le traitement de données de géolocalisation en temps réel des clients d'une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services
  • le traitement des données relatives aux clients dans le cadre de l'activité normale d'une compagnie d'assurance ou d'une banque
  • traitement de données à caractère personnel à des fins de publicité comportementale par un moteur de recherche
  • le traitement des données (contenu, trafic, localisation) par les fournisseurs de services téléphoniques ou Internet
Parmi les exemples qui ne constituent pas un traitement à grande échelle, on peut citer
  • le traitement des données des patients par un médecin individuel
  • le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat individuel

Comment une entreprise peut-elle évaluer si un traitement "n'est pas susceptible d'entraîner un risque pour les droits et libertés des personnes" ?

Les RGPD et RGPD UK ne définissent pas la notion de "risque pour les droits et libertés des personnes", mais les considérants donnent des exemples des types de risques à prendre en considération :

  • les dommages physiques, matériels ou immatériels, notamment lorsque le traitement peut entraîner une discrimination, une usurpation ou une fraude d'identité, un préjudice financier, une atteinte à la réputation, une perte de confidentialité des données à caractère personnel protégées par le secret professionnel, une inversion non autorisée de la pseudonymisation ou tout autre désavantage économique ou social important
  • lorsque les personnes concernées risquent d'être privées de leurs droits et libertés ou d'être empêchées d'exercer un contrôle sur leurs données à caractère personnel
  • en cas de traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que le traitement des données génétiques, des données relatives à la santé ou des données relatives à la vie sexuelle ou aux condamnations et infractions pénales ou aux mesures de sûreté qui y sont liées
  • où les aspects personnels sont évalués, en particulier l'analyse ou la prévision des aspects concernant les performances au travail, la situation économique, la santé, les préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les déplacements, afin de créer ou d'utiliser des profils personnels
  • où sont traitées des données à caractère personnel de personnes physiques vulnérables, en particulier des enfants
  • lorsque le traitement implique un grand nombre de données à caractère personnel et touche un grand nombre de personnes concernées.

Que considèrent le RGPD et RGPD UK comme une "autorité ou un organisme public" ?

Le RGPD et RGPD UK ne définissent pas ce qui constitue une "autorité ou un organisme public", mais les directives d'interprétation considèrent que cette notion doit être déterminée en vertu du droit national. En conséquence, les autorités et organismes publics comprennent les autorités nationales, régionales et locales, mais la notion, en vertu des lois nationales applicables, comprend généralement aussi une série d'autres organismes de droit public.

 

Le rôle du représentant pour la protection des données

Que sont les demandes d'accès des personnes concernées ("DSAR") et comment le représentant à la protection des données les traite-t-il ?

Les DSAR sont des droits qui sont accordés par le RGPD et le RGPD UK aux personnes concernées pour demander l'accès à toutes informations personnelles qu'une organisation détient sur elles.

En tant que votre représentant pour la protection des données, EDPO gère un nombre illimité de DSAR dans toute l'UE/EEE et au Royaume-Uni. Nous effectuons également des contrôles d'identité (sur demande), transmettons les demandes à nos clients avec une traduction anglaise gratuite si nécessaire, répondons aux questions de nos clients sur les meilleures pratiques en matière de réponse et répondons aux personnes concernées sur leur lieu de travail. Nous ne sommes pas seulement une boîte aux lettres ou un service de transmission de messages.

Quel est le délai de réponse aux demandes d'information ?

Les demandes d'informations émanant de particuliers dans l'UE et/ou au Royaume-Uni doivent recevoir une réponse dans un délai d'un mois. Des prolongations de deux mois supplémentaires sont possibles en fonction de la complexité et du nombre de demandes.

Comment les informations doivent-elles être communiquées aux particuliers ?

Les informations doivent être fournies sous une forme concise, transparente, intelligible et facilement accessible. Une attention particulière doit être accordée aux informations qui s'adressent aux enfants. Les informations doivent être fournies par écrit ou par des moyens électroniques et peuvent également être fournies oralement si l'identité de la personne qui fait la demande est prouvée.

Que se passe-t-il si je suis victime d'une fuite de données ?

Une fuite de données n'est pas amusante, mais parfois, ça arrive. Étant donné que chaque autorité de protection des données (APD) a des exigences différentes en matière de notification des fuites de données (y compris le dépôt dans la langue officielle du pays), l'ensemble du processus peut être très difficile - surtout si l'on tient compte du délai serré de 72 heures pour notifier une violation de données aux APD. EDPO utilise une plateforme unique de notification des violations de données qui regroupe toutes les questions de tous les formulaires de notification des violations de données dans l'ensemble de l'UE/EEE en anglais, puis traduit les réponses dans la langue d'origine des pays respectifs de l'UE/EEE. Nous pouvons donc vous donner une énorme longueur d'avance dans vos notifications de violations de données en réduisant le temps et les ressources - et le stress ! - nécessaires pour remplir vos notifications de fuite de données.

En outre, notre contrat avec vous ne sera pas automatiquement résilié en cas de fuite de données. Nous vous soutenons tout au long du processus.

Qu'est-ce qu'un relevé des activités de traitement et qu'en fait le délégué à la protection des données ?

Votre représentant pour la protection des données a l'obligation légale de conserver une copie de votre registre des activités de traitement au titre de l'article 30 : c'est-à-dire toutes les informations pertinentes et actualisées concernant les données à caractère personnel dans l'UE et/ou au Royaume-Uni que vous traitez.

Votre registre des activités de traitement au titre de l'article 30 est conservé par EDPO sur une plateforme hautement sécurisée qui est hébergée dans un centre de données ayant les plus hauts niveaux de sécurité en Europe, garantis par des normes et certifications internationales. EDPO peut également vous fournir des références de modèles et/ou d'experts qui peuvent vous aider à en mettre un en place.

Pour plus d'informations, regardez notre vidéo sur la façon de créer un registre des activités de traitement !

Brexit

Découvrez tout ce que vous devez savoir sur le Brexit et le représentant pour la protection des données sur notre page Brexit ici !

Pour en savoir plus à ce sujet et sur l'impact que cela peut avoir sur votre entreprise, consultez nos articles ici.

 

Qu'est-il arrivé aux entreprises non européennes avec Brexit ?

Depuis le 1er janvier 2021, le Royaume-Uni est un pays tiers à l'UE. Si vous êtes une société non européenne et que vous traitez également des données de personnes au Royaume-Uni, vous devrez peut-être désigner un représentant britannique.

Lisez nos articles pour tout savoir sur ce que vous et votre entreprise devez faire à partir du 1er janvier 2021 (c'est-à-dire la fin de la période de transition de Brexit).

Pour en savoir plus sur ce que votre entreprise doit faire, cliquez ici.

Les entreprises non européennes ont-elles besoin d'un représentant de l'UE si elles ne traitent que des données provenant du Royaume-Uni ?

Les entreprises non européennes qui traitent des données à caractère personnel provenant du Royaume-Uni doivent désormais désigner un représentant britannique. Si elles traitent à la fois des données provenant du Royaume-Uni et de l'UE, elles auront besoin de ces deux représentants, l'un dans l'UE et l'autre au Royaume-Uni.

EDPO offre des services de représentation de l'UE et du Royaume-Uni. Pour en savoir plus, cliquez ici ou contactez-nous.

Les entreprises européennes ont-elles besoin d'un représentant britannique si elles traitent des données provenant du Royaume-Uni ?

À partir du 1er janvier 2021, les entreprises européennes doivent désigner un représentant au Royaume-Uni si elles traitent des données personnelles de personnes se trouvant au Royaume-Uni.

EDPO UK à Londres fournit des services de représentation au Royaume-Uni pour permettre aux entreprises de l'UE de rester en conformité avec la réglementation RGPD et la réglementation britannique en matière de protection des données.

Pour en savoir plus, cliquez ici !

Contactez-nous pour en savoir plus sur nos services de représentation au Royaume-Uni.