IMAS ASSISTANCE

Menu
Facebook Youtube Instagram

Obligations en matière de protection des données personnelles RGPD

By /

CNIL : Guide pratique RGPD, sécurité des données personnelles Portail du CERT Santé

La CNIL vous informe sur les différents droits que vous pouvez exercer auprès des organismes qui utilisent vos données. Vous pouvez également utiliser l’outil de recherche de services d’assistance afin de trouver l’aide la plus appropriée. En janvier 2020, une loi sur la protection des données inspirée du RGPD, la Loi californienne sur https://expo-misterfreeze.com/ la protection de la vie privée des consommateurs80, est entrée en vigueur en Californie81.

Il peut s’agir de décisions de juridictions ou d’autorités administratives de pays tiers qui exigent d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel, et qui ne sont pas fondées sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre. L’application extraterritoriale de ces lois, règlements et autres actes juridiques peut être contraire au droit international et faire obstacle à la protection des personnes physiques garantie dans l’Union par le présent règlement. Les transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies.

Ignorer les droits des personnes concernées

  • Ces informations complémentaires doivent être conservées séparément et faire l’objet de mesures techniques et organisationnelles.
  • Contactez immédiatement le responsable de la sécurité informatique ou le service informatique de votre entreprise, en fournissant un maximum de détails sur l’incident.
  • Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.
  • Ses dispositions sont directement applicables dans l’ensemble des 27 États membres de l’Union européenne à compter du 25 mai 2018.
  • Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l’autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement.
  • À des fins de recherche scientifique ou historique ou à des fins statistiques, il y a lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances.

Les transferts qui peuvent être qualifiés de non répétitifs et qui ne touchent qu’un nombre limité de personnes concernées pourraient également être autorisés aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement, lorsque ces intérêts prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée et lorsque le responsable du traitement a évalué toutes les circonstances entourant le transfert de données. Le responsable du traitement devrait accorder une attention particulière à la nature des données à caractère personnel, à la finalité et à la durée de la ou des opérations de traitement envisagées ainsi qu’à la situation dans le pays d’origine, le pays tiers et le pays de destination finale, et devrait prévoir des garanties appropriées pour protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel. De tels transferts ne devraient être possibles que dans les cas résiduels dans lesquels aucun des autres motifs de transfert ne sont applicables. À des fins de recherche scientifique ou historique ou à des fins statistiques, il y a lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances. Le responsable du traitement devrait informer l’autorité de contrôle et la personne concernée du transfert. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à cette organisation internationale devrait être interdit, à moins que les exigences du présent règlement relatives aux transferts faisant l’objet de garanties appropriées, y compris des règles d’entreprise contraignantes et des dérogations pour des situations particulières, soient respectées. Dans ce cas, il y aurait lieu de prévoir des consultations entre la Commission et le pays tiers ou l’organisation internationale en question. La Commission devrait informer en temps utile le pays tiers ou l’organisation internationale des motifs de sa conclusion et engager des consultations avec ceux-ci en vue de remédier à la situation.

Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable du traitement et le sous-traitant, le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, la coopération et la cohérence, ainsi que les situations particulières de traitement des données. Lorsque ces exemptions ou dérogations diffèrent d’un État membre à l’autre, le droit de l’État membre dont relève le responsable du traitement devrait s’appliquer. Pour tenir compte de l’importance du droit à la liberté d’expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, telles que le journalisme. Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres.

Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales. Le droit des États membres devrait concilier les règles régissant la liberté d’expression et d’information, y compris l’expression journalistique, universitaire, artistique ou littéraire, et le droit à la protection des données à caractère personnel en vertu du présent règlement. Dans le cadre du traitement de données à caractère personnel uniquement à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, il y a lieu de prévoir des dérogations ou des exemptions à certaines dispositions du présent règlement si cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et le droit à la liberté d’expression et d’information, consacré par l’article11 de la Charte. Tel devrait notamment être le cas des traitements de données à caractère personnel dans le domaine de l’audiovisuel et dans les documents d’archives d’actualités et bibliothèques de la presse. En conséquence, les États membres devraient adopter des dispositions législatives qui fixent les exemptions et dérogations nécessaires aux fins d’assurer un équilibre entre ces droits fondamentaux.

Recenser les traitements de données

La DILA s’engage à ce que vos données soient conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cette fiche énumère plusieurs recommandations d’ordre technique et organisationnel permettant d’atteindre un premier niveau de sécurité. Il est nécessaire de prévoir les procédures pour gérer les incidents et réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité). Une mauvaise gestion des matériels et logiciels en fin de vie est une dimension de la protection des données rarement mise en avant, mais non moins essentielle. Cette fiche recommande des protocoles et logiciels à mettre en place pour limiter le risque d’infiltration de programme malveillant. Elle donne également quelques exemples de pratiques à privilégier et à éviter pour bien gérer ses mots de passe, par exemple pour vérifier la robustesse de ses mots de passe, utiliser des moyens mnémotechniques pour retrouver ses mots de passe, ou le fait d’utiliser des gestionnaires de mots de passe.

Ces sous-traitants sont soumis à une obligation de confidentialité et ne peuvent utiliser les données à caractère personnel que conformément à la législation applicable et aux dispositions contractuelles spécifiquement conclues avec la DILA. Les applications mobiles sont l’un des principaux moyens d’accès à des contenus et des services numériques et impliquent pour la plupart le traitement de données personnelles. Il est nécessaire pour les éditeurs de sécuriser ces traitements et d’offrir la meilleure transparence possible aux utilisateurs.

Deux tiers des cent plus importants sites d’information américains sont accessibles et se déclarent compatibles avec le RGPD

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top