# Aperçu des données personnelles (RGPD) Les données personnelles désignent toute information permettant d’identifier une personne privée (seule ou en combinaison avec d’autres données), comme un numéro de téléphone, un identifiant client, etc... Dans cet article, nous présentons un aperçu des domaines suivants liés aux données personnelles : * [Traitement des données personnelles](#personal-data-processing) * [Parties au traitement des données personnelles](#personal-data-processing-parties) * [Registre des traitements (RGPD)](#register-of-processing-gdpr) * [Obligation d’information (RGPD)](#information-obligation-gdpr) *** ### Traitement des données personnelles Le traitement des données personnelles désigne toute opération effectuée sur les données personnelles d’un utilisateur final, même lorsque ces données sont pseudonymisées. ### Parties au traitement des données personnelles ### Registre des traitements (RGPD) ### Obligation d’information (RGPD) * Quelle est la licéité du traitement des données personnelles ? * Quelle est l’obligation d’information du RGPD ? **Outils de traitement des données :** * Qu’est-ce qu’un registre des traitements ? **Acteurs du traitement des données :** * Qu’est-ce qu’un sous-traitant ? * Qu’est-ce qu’un représentant du responsable du traitement ? * Qu’est-ce qu’un tiers ? **Cookies :** * Comment savoir quels cookies ont une durée de vie supérieure à 13 mois ? *** *** #### **📕 Quelle est la licéité du traitement des données personnelles ?** Une entité ne peut traiter des données personnelles que dans certains cas, ce qui implique une condition (base légale du traitement) : * La nécessité d’exécuter un contrat auquel l’utilisateur concerné est partie ou de prendre des mesures précontractuelles à sa demande (par exemple : adresse de livraison ) * La nécessité de respecter une obligation légale (par exemple : numéro de sécurité sociale pour le bulletin de paie et les déclarations sociales obligatoires) ; * La nécessité de protéger les intérêts vitaux de la personne concernée ou d’une autre personne privée (par exemple : le nom pour une hospitalisation) ; * L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont relève le responsable du traitement (par exemple : situation fiscale par le centre des impôts) ; * La nécessité des intérêts légitimes du responsable du traitement ou d’un tiers, sauf si prévalent les intérêts ou les droits et libertés fondamentaux de la personne concernée (données de connexion à des fins statistiques). *** #### **📕 Quelle est l’obligation d’information du RGPD ?** Le responsable du traitement doit communiquer à l’utilisateur : * Son identité et ses coordonnées. * Les coordonnées du délégué à la protection des données (DPO). * Les finalités du traitement des données personnelles (pourquoi les données sont collectées) et la base légale du traitement. * Le cas échéant, les intérêts légitimes poursuivis par lui-même ou par un tiers * Les destinataires des données. * S’il a l’intention de transférer les données vers un pays étranger (un pays hors de l’Union européenne), un organisme international, et l’existence ou non d’une décision d’adéquation de la Commission ou la référence des garanties appropriées (telles que des clauses contractuelles ou un accord intra-groupe). * La durée de conservation des données personnelles - ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée de conservation. * Les droits dont il dispose en matière d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité. * Le droit de retirer son consentement lorsque le traitement est fondé sur le consentement. * Le droit d’introduire un recours auprès des autorités de contrôle. * Il doit savoir si la fourniture des données est réglementaire ou contractuelle (si elle repose sur la conclusion d’un contrat). * Il doit savoir si le traitement des données comprend une prise de décision automatisée, y compris le profilage, et, le cas échéant, il doit recevoir des informations sur la logique sous-jacente ainsi que sur l’importance et les conséquences envisagées du traitement pour l’utilisateur concerné. *** #### **📕 Qu’est-ce qu’un registre des traitements ?** L’article 30 du RGPD impose à chaque responsable du traitement d’établir un registre des traitements sous sa responsabilité. Ce registre doit contenir toutes les informations suivantes (certaines sont les mêmes que celles qui doivent être communiquées aux clients). * Le nom et les coordonnées du sous-traitant et, le cas échéant, du responsable conjoint du traitement, du représentant du sous-traitant et du délégué à la protection des données (ces informations sont incluses dans l’obligation d’information des articles 13 et 14 du RGPD). * Les finalités du traitement (elles sont incluses dans l’obligation d’information des articles 13 et 14 du RGPD). * Une description des personnes concernées et des données concernées. * Le type de destinataires auxquels les données ont été ou seront communiquées, y compris les destinataires de pays étrangers ou d’organisations internationales (ces informations sont incluses dans l’obligation d’information des articles 13 et 14 du RGPD). * Le cas échéant, le transfert de données personnelles vers un pays étranger ou une organisation internationale, y compris l’identification du pays ou de l’organisation internationale et, lorsqu’il s’agit d’un transfert au titre de l’article 49, paragraphe 1, deuxième alinéa, les documents attestant l’existence des garanties appropriées (ces informations sont incluses dans l’obligation d’information des articles 13 et 14 du RGPD). * Les délais fixés pour la suppression des données (ils sont inclus dans l’obligation d’information des articles 13 et 14 du RGPD). * Lorsque cela est possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32 (par exemple la pseudonymisation et le chiffrement des données à caractère personnel ; les mesures permettant de garantir la confidentialité, l'intégrité, la disponibilité des données à caractère personnel et leur accessibilité dans des délais appropriés en cas d'incident physique ou technique, la procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement. Le représentant de chaque sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement, contenant : * Le nom et les coordonnées du sous-traitant et, le cas échéant, du responsable conjoint du traitement pour lequel il travaille, ainsi que les coordonnées du délégué à la protection des données. * Les finalités du traitement effectué pour chaque sous-traitant. * Le cas échéant, le transfert de données personnelles vers un pays étranger ou une organisation internationale, y compris l’identification du pays ou de l’organisation internationale et, lorsqu’il s’agit d’un transfert au titre de l’article 49, paragraphe 1, deuxième alinéa, les documents attestant l’existence des garanties appropriées. * Lorsque cela est possible, une description générale des mesures de sécurité techniques et organisationnelles. Il existe des exceptions aux obligations de ce registre, notamment pour une entreprise de moins de 250 salariés, sauf si ces traitements présentent un risque et ne sont pas occasionnels ou s’ils portent sur des catégories particulières de données personnelles (données sensibles). *** #### **📕 Qu’est-ce qu’un sous-traitant ?** Le sous-traitant est la personne qui décide des finalités et des moyens du traitement (comment et pourquoi les données sont utilisées ?). Il est possible d’avoir une coresponsabilité si la prise de décision est partagée. *** #### **📕 Qu’est-ce qu’un représentant du responsable du traitement ?** Un représentant du responsable du traitement est une personne agissant sous les instructions d’une autre. Elle ne prend aucune décision sur l’utilisation des données personnelles. *** #### **📕 Qu’est-ce qu’un tiers ?** Un tiers est toute personne physique ou morale, autorité publique, agence ou organisme autre que la personne concernée, le sous-traitant ou le représentant du responsable du traitement. *** #### **📕 Qu’est-ce qu’un destinataire ?** Un destinataire est toute personne qui reçoit ou obtient accès à des données personnelles, qu’il s’agisse ou non d’un tiers. Il existe une exception lorsque certaines autorités publiques (douanes, administration fiscale, etc.) reçoivent des données dans le cadre d’une enquête : comme elles ne sont pas considérées comme des destinataires, elles n’ont pas à être mentionnées dans le registre ni dans l’information fournie. *** #### **⚙️ Comment savoir quels cookies ont une durée de vie supérieure à 13 mois ?** Pour savoir quels cookies ont une durée de vie supérieure à 13 mois, il vous suffit de cliquer sur « Durée de vie des cookies » dans le rapport de conformité et vous obtiendrez. * une liste avec le nom du cookie. * sa durée de vie. * le nom du domaine auquel il est rattaché. * le nom du fournisseur qui a déposé le cookie.