# Aperçu des données personnelles (RGPD)

Les données personnelles désignent toute information permettant d’identifier une personne privée (que ce soit à elle seule ou combinée à d’autres données), comme un numéro de téléphone, un identifiant client, etc. Dans cet article, nous présentons un aperçu des domaines suivants liés aux données personnelles :

* [Traitement des données personnelles](#personal-data-processing)
* [Parties au traitement des données personnelles](#personal-data-processing-parties)
* [Registre des traitements (RGPD)](#register-of-processing-gdpr)
* [Obligation d’information (RGPD)](#information-obligation-gdpr)

***

### Traitement des données personnelles

Le traitement des données personnelles désigne toute opération effectuée sur les données personnelles d’un utilisateur final, même lorsque ces données sont pseudonymisées.

Une entité ne peut traiter des données personnelles que dans certains cas, ce qui implique l’existence d’une base juridique du traitement :

* La nécessité d’exécuter un contrat auquel l’utilisateur concerné est partie ou de prendre des mesures précontractuelles prises à sa demande (par exemple : adresse de livraison)
* La nécessité de respecter une obligation légale (par exemple : numéro de sécurité sociale pour le bulletin de paie et les déclarations sociales obligatoires) ;
* La nécessité de protéger les intérêts vitaux de la personne concernée ou d’une autre personne privée (par exemple : le nom pour une hospitalisation) ;
* Une mission effectuée dans l’intérêt public ou dans l’exercice de l’autorité officielle dont relève le responsable du traitement (par exemple : situation fiscale auprès du fisc) ;
* La nécessité liée aux intérêts légitimes du responsable du traitement ou d’un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (données de connexion à des fins statistiques).

### Parties au traitement des données personnelles

<table><thead><tr><th width="209">Partie</th><th>Description</th></tr></thead><tbody><tr><td>Sous-traitant</td><td>Le sous-traitant est la partie qui agit sur instruction du responsable du traitement concernant le traitement des données personnelles d’un utilisateur final. </td></tr><tr><td>Représentant du responsable du traitement</td><td>Un représentant du responsable du traitement est une personne agissant sous les instructions d’une autre. Il ne prend aucune décision concernant l’utilisation des données personnelles.</td></tr><tr><td>Tiers</td><td>Un tiers est toute personne physique ou morale, autorité publique, agence ou organisme autre que la personne concernée, le sous-traitant ou le représentant du responsable du traitement.</td></tr><tr><td>Destinataire</td><td>Un destinataire est toute personne qui reçoit ou obtient accès à des données personnelles, qu’il s’agisse ou non d’un tiers. Il existe une exception lorsque certaines autorités publiques (douanes, administration fiscale, etc.) reçoivent des données dans le cadre d’une mission d’enquête : dans ce cas, elles ne sont pas considérées comme des destinataires</td></tr></tbody></table>

### Registre des traitements (RGPD)

L’article 30 du RGPD impose à chaque responsable du traitement d’établir un registre des traitements sous sa responsabilité. Ce registre doit contenir toutes les informations suivantes (dont certaines sont les mêmes que celles devant être communiquées aux clients).

* Le nom et les coordonnées du sous-traitant et, le cas échéant, du co-responsable du traitement, du représentant du sous-traitant et du délégué à la protection des données : ces éléments sont inclus dans l’obligation d’information des articles 13 et 14 du RGPD.
* Les finalités du traitement : elles sont incluses dans l’obligation d’information des articles 13 et 14 du RGPD.
* Une description des personnes concernées et des données concernées.
* À quels types de destinataires les données ont été ou seront communiquées, y compris des destinataires de pays étrangers ou d’organisations internationales : ces éléments sont inclus dans l’obligation d’information des articles 13 et 14 du RGPD.
* Le cas échéant, le transfert de données personnelles vers un pays étranger ou une organisation internationale, y compris l’identification du pays ou de l’organisation internationale et, lorsqu’il s’agit d’un transfert visé à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant l’existence de garanties appropriées : ces éléments sont inclus dans l’obligation d’information des articles 13 et 14 du RGPD.
* Les délais fixés pour l’effacement des données : ils sont inclus dans l’obligation d’information des articles 13 et 14 du RGPD.
* Lorsque cela est possible, une description générale des mesures techniques et organisationnelles de sécurité visées à l’article 32 (par exemple la pseudonymisation et le chiffrement des données personnelles ; les mesures permettant de garantir la confidentialité, l’intégrité, la disponibilité des données personnelles et leur accessibilité dans des délais appropriés en cas d’incident physique ou technique ; la procédure de vérification, d’analyse et d’évaluation régulières de l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement.

Le représentant de chaque sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte d’un responsable du traitement, contenant :

* Le nom et les coordonnées du sous-traitant et, le cas échéant, du co-responsable du traitement pour lequel il travaille, ainsi que les coordonnées du délégué à la protection des données.
* Les finalités du traitement effectué pour chaque sous-traitant.
* Le cas échéant, le transfert de données personnelles vers un pays étranger ou une organisation internationale, y compris l’identification du pays ou de l’organisation internationale et, lorsqu’il s’agit d’un transfert visé à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant l’existence de garanties appropriées.
* Lorsque cela est possible, une description générale des mesures techniques et organisationnelles de sécurité.

Il existe des exceptions aux obligations relatives à ces registres, en particulier pour une entreprise comptant moins de 250 salariés, sauf si ces traitements présentent des risques et ne sont pas occasionnels, ou s’ils portent sur des catégories particulières de données personnelles (données sensibles).

### Obligation d’information (RGPD)

Le responsable du traitement doit communiquer à l’utilisateur :&#x20;

* Son identité et ses coordonnées.
* Les coordonnées du délégué à la protection des données (DPO).
* Les finalités du traitement des données personnelles (pourquoi les données sont collectées) et la base juridique du traitement.
* Le cas échéant, les intérêts légitimes poursuivis par lui-même ou par un tiers.
* Les destinataires des données.
* S’il entend transférer les données vers un pays étranger (un pays hors de l’Union européenne), une organisation internationale, et l’existence ou non d’une décision d’adéquation de la Commission ou la référence aux garanties appropriées (telles que des clauses contractuelles ou un accord intra-groupe).
* La durée de conservation des données personnelles — ou, à défaut, les critères utilisés pour déterminer cette durée de conservation.
* Les droits dont il dispose en matière d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité.
* Le droit de retirer son consentement lorsque le traitement est fondé sur le consentement.
* Le droit d’introduire un recours auprès des autorités de contrôle.
* Il doit savoir si la fourniture des données est réglementaire ou contractuelle (si elle repose sur la conclusion d’un contrat).
* Il doit savoir si le traitement des données inclut une prise de décision automatisée, y compris le profilage, et, le cas échéant, il doit recevoir des informations sur la logique sous-jacente ainsi que sur l’importance et les conséquences prévues du traitement pour l’utilisateur concerné.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.didomi.io/fr/plateforme-de-gestion-du-consentement-cmp/cadres-reglementations/reglement-general-sur-la-protection-des-donnees-rgpd/apercu-des-donnees-personnelles-rgpd.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
Partie	Description
Sous-traitant	Le sous-traitant est la partie qui agit sur instruction du responsable du traitement concernant le traitement des données personnelles d’un utilisateur final.
Représentant du responsable du traitement	Un représentant du responsable du traitement est une personne agissant sous les instructions d’une autre. Il ne prend aucune décision concernant l’utilisation des données personnelles.
Tiers	Un tiers est toute personne physique ou morale, autorité publique, agence ou organisme autre que la personne concernée, le sous-traitant ou le représentant du responsable du traitement.
Destinataire	Un destinataire est toute personne qui reçoit ou obtient accès à des données personnelles, qu’il s’agisse ou non d’un tiers. Il existe une exception lorsque certaines autorités publiques (douanes, administration fiscale, etc.) reçoivent des données dans le cadre d’une mission d’enquête : dans ce cas, elles ne sont pas considérées comme des destinataires