Foire aux questions
Foire aux questions
Vous avez des questions sur RGPD ou sur les services de EDPO? Nous sommes là pour vous aider.
Le RGPD et les autres réglementations relatives à la protection des données
Qu'est-ce que le RGPD?
Le règlement général sur la protection des données (RGPD) est un règlement européen historique sur la protection de la vie privée qui s'applique depuis le 25 mai 2018. Étant donné qu'il s'agit d'un règlement, il est directement applicable dans tous les États membres de l'UE sans qu'il soit nécessaire de le mettre en œuvre dans la législation nationale.
Le RGPD est considéré comme la loi la plus stricte au monde en matière de protection des données personnelles. Elle vise à étendre et à unifier les droits des individus en matière de protection des données dans l'UE et a une portée extraterritoriale sans précédent.
Qu'est-ce qu'une donnée à caractère personnel ?
Les données personnelles en vertu du RGPD ont une interprétation très large et comprennent toute information relative à une personne physique identifiée ou identifiable : nom, photos, adresses, numéros de téléphone, adresses électroniques, adresses IP (même dynamiques), numéros d'identification, données de localisation, âge, origines, pseudo, etc.
Qu'est-ce qu'une donnée sensible ?
Les données sensibles sont des données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques, les données biométriques permettant d'identifier une personne physique de manière unique, les données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Quelles sont les sanctions en cas de non-respect du RGPD?
Les infractions au RGPD (même pour les entreprises non européennes) peuvent entraîner des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé, sans préjudice des demandes individuelles et collectives de dommages et intérêts qui peuvent être portées devant les tribunaux. Les autorités de protection des données ont également le pouvoir d'imposer des interdictions temporaires ou indéfinies de traitement et de suspendre les flux de données vers des destinataires dans des pays tiers.
Conformément à l'article 83 (4) (a) du RGPD , les sanctions pour non-désignation d'un représentant dans l'UE peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
Cliquez ici si vous souhaitez en savoir plus sur les amendes et les sanctions relatives au RGPD .
Qu'est-ce que le RGPD britannique?
Le RGPD britannique est le règlement sur la protection des données qui s'applique au Royaume-Uni depuis le Brexit (1er janvier 2021). Le Royaume-Uni a mis en œuvre le RGPD européen dans sa loi sur la protection des données de 2018. Les droits, principes et obligations restent pour la plupart identiques à ceux du RGPD européen, pour l'instant.
Qu'est-ce que la loi suisse sur la protection des données ?
La Suisse a récemment publié sa nouvelle loi sur la protection des données qui entrera en vigueur le 1er septembre 2023. Certaines obligations, certains droits et certains principes s'inspirent du RGPD. Par exemple, les entreprises non suisses devront désigner un représentant pour la protection des données en Suisse, tout comme les entreprises non européennes doivent désigner un représentant dans l'UE conformément au RGPD.
L'obligation de désigner un représentant à la protection des données
(Article 27 du RGPD européen et britannique)
Quand devez-vous désigner un représentant à la protection des données ?
Vous devrez peut-être désigner un représentant pour la protection des données dans l'UE si :
- Vous êtes basé en dehors de l'UE/EEE et n'y avez pas d'établissement
- Vous proposez des biens ou des services à des personnes situées dans l'UE (contre paiement ou gratuitement) et/ou vous surveillez leur comportement (suivi, profilage, etc.).
EDPO peut agir en tant que représentant pour la protection des données de l'UE ! Contactez-nous pour un devis gratuit.
Vous devrez peut-être désigner un représentant pour la protection des données au Royaume-Uni si :
- Vous êtes basé en dehors du Royaume-Uni et n'avez pas d'établissement dans ce pays.
- Vous proposez des biens ou des services à des particuliers au Royaume-Uni (à titre onéreux ou gratuit) et/ou vous surveillez leur comportement (suivi ou profilage, par exemple).
La société soeur d'EDPO, EDPO UK LTD, peut être votre représentant pour la protection des données au Royaume-Uni ! Contactez-nous pour un devis gratuit.
Y a-t-il des exceptions à l'application de l'article. 27 ?
L'article 27 du RGPD ne s'applique pas aux sociétés non européennes si elles sont une autorité ou un organisme public ou si les conditions cumulatives suivantes sont remplies :
(i) l'entreprise ne traite qu'occasionnellement les données à caractère personnel de personnes se trouvant dans l'UE et
(ii) le traitement ne comprend pas le traitement à grande échelle de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions et
(iii) la nature, le contexte, la portée et la finalité du traitement ne sont pas susceptibles d'engendrer un risque pour les droits et libertés.
La même règle s'applique aux entreprises non britanniques conformément au RGPD britannique.
Où le représentant pour la protection des données doit-il être situé ?
Votre représentant RGPD doit être établi dans un (seul) pays de l'UE où se trouvent les personnes dont les données sont traitées. Si votre entreprise vise généralement l'ensemble de l'UE, elle peut choisir le pays où elle souhaite établir son représentant. Bruxelles étant la capitale de l'UE, c'est le lieu de prédilection des entreprises non européennes pour désigner leur représentant RGPD .
Votre représentant RGPD britannique doit être établi au Royaume-Uni.
Comment désigner un représentant pour la protection des données ?
Le représentant pour la protection des données doit être désigné par écrit. Un contrat écrit en bonne et due forme doit donc être mis en place pour fournir un mandat clair et des instructions spécifiques.
Désignez EDPO ou EDPO UK et obtenez le certificat de conformité EDPO.
Si mon pays bénéficie d'une décision d'adéquation pour les transferts de données avec l'UE, cela libère-t-il mon entreprise de l'obligation de désigner un représentant ?
Les décisions d'adéquation prises par la Commission européenne ne concernent que les transferts de données de l'UE vers un pays tiers. Si votre pays bénéficie d'une décision d'adéquation, cela signifie que vous pouvez transférer en toute sécurité des données à caractère personnel de l'UE vers votre pays sans garanties supplémentaires. Vous devez toutefois désigner un représentant qui vous aidera à traiter les demandes des personnes et des autorités de l'UE.
La désignation d'un représentant pour la protection des données libère-t-elle les entreprises non européennes ou non britanniques de toute responsabilité ?
NON. Le RGPD européen et le RGPD britannique indiquent clairement que la désignation d'un représentant pour la protection des données n'affecte pas la responsabilité des entreprises non européennes et non britanniques qui entrent dans le champ d'application du RGPD européen et du RGPD britannique. La désignation est sans préjudice des actions en justice qui pourraient être engagées contre les entreprises non européennes et non britanniques.
Puis-je désigner EDPO comme représentant pour la protection des données ?
Oui !
EDPO est une société privée belge à responsabilité limitée située à Bruxelles, la capitale européenne, et nous avons des bureaux de représentation dans de nombreux pays de l'UE. Notre seule activité consiste à agir en tant que représentant (Article 27 RGPD) dans l'UE pour les sociétés non européennes qui entrent dans le champ d'application du RGPD, et nous nous concentrons donc sur la fourniture de services de représentation de premier ordre.
Pour en savoir plus sur le représentant dans l'UE, cliquez ici !
Notre société sœur, EDPO UK Ltd, est située à Londres et agit en tant que représentant au Royaume-Uni (selon l'article 27 du RGPD britannique) pour les sociétés non britanniques qui relèvent du champ d'application du RGPD britannique.
Pour en savoir plus sur le représentant au Royaume-Uni, cliquez ici !
Consultez la section "Comment nous nommer" ci-dessous pour plus d'informations !
Qu'est-ce qui est considéré comme un traitement "à grande échelle" ?
Le RGPD européen et le RGPD britannique ne définissent pas ce qui constitue un traitement "à grande échelle", mais les lignes directrices recommandent que les facteurs suivants soient pris en compte pour déterminer si le traitement est effectué à grande échelle :
- Le nombre de personnes concernées - soit un nombre spécifique, soit une proportion de la population concernée
- Le volume de données et/ou l'éventail des différentes données traitées
- La durée, ou la permanence, de l'activité de traitement des données
- L'étendue géographique de l'activité de traitement
Voici quelques exemples de traitement à grande échelle :
- traitement des données relatives aux patients dans le cadre de l'activité normale d'un hôpital
- traitement des données relatives aux déplacements des personnes utilisant le système de transport public d'une ville (par exemple, suivi au moyen de cartes de transport)
- traitement des données de géolocalisation en temps réel des clients d'une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services
- traitement des données relatives aux clients dans le cadre de l'activité normale d'une compagnie d'assurance ou d'une banque
- traitement des données à caractère personnel à des fins de publicité comportementale par un moteur de recherche
- traitement des données (contenu, trafic, localisation) par des fournisseurs de services téléphoniques ou de services Internet
Parmi les exemples qui ne constituent pas un traitement à grande échelle, on peut citer:
- traitement des données relatives aux patients par un médecin particulier
- traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat particulier
L'Autorité suisse définit la grande échelle : "Le terme "à grande échelle" se réfère à des cas où les données ne sont pas simplement traitées de manière isolée. Par exemple, un cabinet médical ou un hôpital peut traiter les données d'un patient. En revanche, le traitement isolé des données d'un employé absent pour cause de maladie par une entreprise ne constitue pas un traitement à grande échelle. Il y a traitement à grande échelle notamment lorsque le traitement de données sensibles constitue l'essentiel des activités de la personne ou de l'organisme en question").
Qu'est-ce qu'une donnée sensible ?
Les données sensibles sont des données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques, les données biométriques permettant d'identifier une personne physique de manière unique, les données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Qu'est-ce qu'une donnée personnelle (ordinaire) ?
Les données personnelles en vertu du RGPD ont une interprétation très large et comprennent toute information relative à une personne physique identifiée ou identifiable : nom, photos, adresses, numéros de téléphone, adresses électroniques, adresses IP (même dynamiques), numéros d'identification, données de localisation, âge, origines, pseudo, etc.
Comment une entreprise non européenne peut-elle évaluer si le traitement est "peu susceptible d'entraîner un risque pour les droits et libertés des personnes" ?
Le RGPD ne définit pas la notion de "risque pour les droits et libertés des personnes" mais les considérants comprennent des exemples des types de risques qui doivent être pris en compte :
- les dommages physiques, matériels ou immatériels, notamment lorsque le traitement peut entraîner une discrimination, une usurpation ou une fraude d'identité, un préjudice financier, une atteinte à la réputation, une perte de confidentialité des données à caractère personnel protégées par le secret professionnel, une inversion non autorisée de la pseudonymisation ou tout autre désavantage économique ou social important.
- lorsque les personnes concernées risquent d'être privées de leurs droits et libertés ou d'être empêchées d'exercer un contrôle sur leurs données à caractère personnel
- en cas de traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que le traitement des données génétiques, des données relatives à la santé ou des données relatives à la vie sexuelle ou aux condamnations et infractions pénales ou aux mesures de sûreté qui y sont liées
- où les aspects personnels sont évalués, en particulier l'analyse ou la prévision des aspects concernant les performances au travail, la situation économique, la santé, les préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les déplacements, afin de créer ou d'utiliser des profils personnels
- où sont traitées des données à caractère personnel de personnes physiques vulnérables, en particulier des enfants
- lorsque le traitement implique un grand nombre de données à caractère personnel et touche un grand nombre de personnes concernées.
Parmi les exemples de traitement régulier, on peut citer la paie, la comptabilité, la gestion des données des clients, l'enregistrement des courriers électroniques, les notes scolaires, etc.
Que signifie "traiter occasionnellement" les données personnelles des personnes ?
Les termes "traiter occasionnellement" ne sont pas définis dans le RGPD européen ou dans le RGPD britannique, mais les lignes directrices les plus récentes indiquent qu'une activité de traitement ne peut être considérée comme "occasionnelle" que si elle n'est pas effectuée régulièrement et qu'elle se produit en dehors du cours normal des affaires ou de l'activité du responsable du traitement ou du sous-traitant. Parmi les exemples de traitement "régulier", on peut citer la paie, la comptabilité, la gestion des données des clients, l'enregistrement des courriers électroniques, les notes scolaires, etc.
Autorité ou organisme public :
Le RGPD européen et le RGPD britannique ne définissent pas ce qui constitue une "autorité ou un organisme public", mais les lignes directrices considèrent que cette notion doit être déterminée en vertu du droit national. En conséquence, les autorités et organismes publics comprennent les autorités nationales, régionales et locales, mais la notion, en vertu des lois nationales applicables, comprend généralement aussi une série d'autres organismes de droit public.
Traitement occasionnel
Les termes "traiter occasionnellement" ne sont pas définis dans le RGPD européen ou dans le RGPD britannique, mais les lignes directrices les plus récentes indiquent qu'une activité de traitement ne peut être considérée comme "occasionnelle" que si elle n'est pas effectuée régulièrement et qu'elle se produit en dehors du cours normal des affaires ou de l'activité du responsable du traitement ou du sous-traitant. Parmi les exemples de traitement "régulier", on peut citer la paie, la comptabilité, la gestion des données des clients, l'enregistrement des courriers électroniques, les notes scolaires, etc.
Grande échelle
Le RGPD européen et le RGPD britannique ne définissent pas ce qui constitue un traitement "à grande échelle", mais les lignes directrices recommandent que les facteurs suivants soient pris en compte pour déterminer si le traitement est effectué à grande échelle :
- 5- Le nombre d'individus concernés - soit en tant que nombre spécifique, soit en tant que proportion de la population concernée
- 5- Le volume de données et/ou l'éventail des différents éléments de données traités
- 5- La durée ou la permanence de l'activité de traitement des données
- 5- L'étendue géographique de l'activité de traitement
- 5- Le nombre d'individus concernés - soit en tant que nombre spécifique, soit en tant que proportion de la population concernée
- 5- traitement des données relatives aux patients dans le cadre de l'activité normale d'un hôpital
- 5- traitement des données relatives aux déplacements des personnes qui utilisent le système de transport public d'une ville (par exemple, suivi au moyen de cartes de transport)
- 5- traitement des données de géolocalisation en temps réel des clients d'une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services
- 5- traitement des données relatives aux clients dans le cadre de l'activité normale d'une compagnie d'assurance ou d'une banque
- 5- traitement des données personnelles pour la publicité comportementale par un moteur de recherche
- 5- le traitement des données (contenu, trafic, localisation) par les fournisseurs de services téléphoniques ou internet
- 5- traitement des données des patients par un médecin individuel
- 5- traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions par un avocat individuel
- &- des dommages physiques, matériels ou immatériels, notamment lorsque le traitement peut donner lieu à une discrimination, à une usurpation d'identité ou à une fraude, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données à caractère personnel protégées par le secret professionnel, à une inversion non autorisée de la pseudonymisation, ou à tout autre désavantage économique ou social important.
- &- lorsque les personnes concernées risquent d'être privées de leurs droits et libertés ou d'être empêchées d'exercer un contrôle sur leurs données à caractère personnel
- &- lorsque sont traitées des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que le traitement de données génétiques, de données relatives à la santé ou de données relatives à la vie sexuelle, les condamnations pénales et les infractions, ou les mesures de sûreté correspondantes
- &- lorsque des aspects personnels sont évalués, en particulier l'analyse ou la prévision d'aspects concernant le rendement au travail, la situation économique, la santé, les préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les déplacements, afin de créer ou d'utiliser des profils personnels
- &- lorsque des données à caractère personnel concernant des personnes physiques vulnérables, en particulier des enfants, sont traitées
- &- lorsque le traitement porte sur un grand nombre de données à caractère personnel et affecte un grand nombre de personnes concernées.
Le rôle du représentant
Comment le représentant aide-t-il les entreprises ?
La tâche principale du représentant pour la protection des données dans l'UE et au Royaume-Uni est de servir de point de contact pour les autorités chargées de la protection des données et les personnes dans l'UE et au Royaume-Uni dont les données personnelles sont traitées par les entreprises non européennes et non britanniques.
Le représentant pour la protection des données doit également tenir les registres des activités de traitement de ses clients.
Le représentant agit au nom des entreprises non européennes et non britanniques, en accomplissant ses tâches conformément au mandat qu'il a reçu d'elles, y compris en coopérant avec les autorités de protection des données en ce qui concerne toute action entreprise pour assurer le respect du RGPD européen et du RGPD britannique.
Que sont les demandes d'accès des personnes concernées ("DSAR") et comment le représentant pour la protection des données les traite-t-il ?
Les DSARs sont des droits accordés par le RGPD européen et le RGPD britannique aux personnes concernées pour demander l'accès à toutes les informations personnelles qu'une organisation détient sur elles.
En tant que représentant pour la protection des données, EDPO traite un nombre illimité de DSARs dans l'ensemble de l'UE/EEE et au Royaume-Uni. Nous procédons également à des vérifications d'identité (si on nous le demande), nous transmettons les demandes à nos clients avec une traduction gratuite en anglais si nécessaire, nous répondons aux questions de nos clients sur les meilleures pratiques en matière de réponse, et nous répondons aux personnes concernées en leur nom. Nous ne sommes pas seulement une boîte aux lettres ou un service de transmission de messages.
Quel est le délai de réponse aux demandes d'information ?
Les demandes d'informations émanant de particuliers dans l'UE et/ou au Royaume-Uni doivent recevoir une réponse dans un délai d'un mois. Des prolongations de deux mois supplémentaires sont possibles en fonction de la complexité et du nombre de demandes.
Que se passe-t-il si je suis victime d'une violation de données ?
Une violation de données n'est pas amusante, mais parfois, ça arrive. Étant donné que chaque autorité de protection des données (APD) a des exigences différentes en matière de notification des violations de données (y compris le dépôt dans la langue officielle du pays), l'ensemble du processus peut être très difficile - surtout si l'on tient compte du délai serré de 72 heures pour notifier une violation de données aux APD. EDPO utilise une plateforme unique de notification des violations de données qui regroupe toutes les questions de tous les formulaires de notification des violations de données dans l'ensemble de l'UE/EEE en anglais, puis traduit les réponses dans la langue d'origine des pays respectifs de l'UE/EEE. Nous pouvons donc vous donner une énorme longueur d'avance dans vos notifications de violations de données en réduisant le temps et les ressources - et le stress ! - nécessaires pour remplir vos notifications de violation de données.
En outre, notre contrat avec vous ne sera pas automatiquement résilié en cas de violation de données. Nous vous soutenons tout au long du processus.
Comment les informations doivent-elles être communiquées aux particuliers ?
Les informations doivent être fournies sous une forme concise, transparente, intelligible et facilement accessible. Une attention particulière doit être accordée aux informations qui s'adressent aux enfants. Les informations doivent être fournies par écrit ou par des moyens électroniques et peuvent également être fournies oralement si l'identité de la personne qui fait la demande est prouvée.
Qu'est-ce qu'un registre des activités de traitement et qu'en fait le Représentant pour la protection des données ?
Votre représentant pour la protection des données a l'obligation légale de conserver une copie de votre registre des activités de traitement au titre de l'article 30 : c'est-à-dire toutes les informations pertinentes et actualisées concernant les données à caractère personnel dans l'UE et/ou au Royaume-Uni que vous traitez.
Votre registre des activités de traitement au titre de l'article 30 est conservé par EDPO sur une plateforme hautement sécurisée qui est hébergée dans un centre de données présentant les niveaux de sécurité les plus élevés en Europe, garantis par des normes et des certifications internationales. EDPO peut également vous recommander des modèles et/ou des experts qui peuvent vous aider à en mettre un en place.
Pour plus d'informations, regardez notre vidéo sur la façon de créer un registre des activités de traitement !
Comment nommer EDPO?
Comment prendre contact ?
Il y a trois façons de nous contacter :
- Vous souhaitez discuter de l'obligation de désigner un représentant et vous ne savez pas encore comment elle s'applique à votre entreprise ? Utilisez notre test d'évaluation, il vous aidera à déterminer si vous avez besoin ou non d'un représentant. Vous avez la possibilité de nous demander de vous contacter à la fin du test.
- Vous savez déjà que l'obligation s'applique à vous et vous souhaitez recevoir un devis personnalisé ? Utilisez notre formulaire d'inscription et fournissez les informations demandées sur votre entreprise. Ces informations nous aideront à déterminer le montant de nos honoraires. Nous vous enverrons un devis personnalisé et nous vous appellerons brièvement pour discuter des aspects pratiques.
- Vous ne voulez pas remplir nos formulaires et souhaitez prendre rendez-vous pour discuter de nos services en face à face ? Utilisez notre bouton "Réserver un appel" au bas de la page. Choisissez un créneau horaire qui vous convient et indiquez votre adresse électronique. Au plaisir de vous rencontrer !
Combien cela coûte-t-il ?
Nos honoraires de représentant pour la protection des données sont basés sur la taille de votre entreprise (en termes de nombre d'employés), le type de données (données ordinaires et/ou données sensibles) que votre entreprise traite, le fait que les opérations de traitement de votre entreprise nécessitent ou non un suivi régulier et systématique des personnes dans l'UE et le fait que votre entreprise traite des données à caractère personnel à grande échelle. Tous les forfaits peuvent être adaptés aux besoins spécifiques de votre entreprise.
Cliquez ici pour en savoir plus sur nos honoraires de représentant dans l'UE.
Cliquez ici pour en savoir plus sur nos honoraires de représentation au Royaume-Uni.
Que se passe-t-il si EDPO n'est pas situé dans le pays de l'UE où je dois désigner un représentant ?
Ne vous inquiétez pas. Contactez-nous : nous avons la solution.
Nous avons déjà des bureaux dans plusieurs pays de l'UE (consultez notre page bureaux pour les voir tous). Si nous n'avons pas de bureau dans le pays où vous devez nommer votre représentant, nous nous ferons un plaisir d'ouvrir un nouveau bureau pour vous. Cette démarche n'entraîne aucun coût supplémentaire pour votre entreprise et peut être effectuée en 72 heures !
EDPO propose-t-il d'autres services dans le cadre du RGPD ?
Non. EDPO se concentre sur la fourniture de services de représentation en matière de protection des données dans plusieurs juridictions. Nous ne sommes pas un cabinet d'avocats et nous ne fournissons pas de conseils juridiques. Il n'y a pas de conflit d'intérêts avec d'autres rôles du RGPD (tels que le DPD ou l'avocat spécialisé dans la protection de la vie privée).
