Quelles sont les obligations des entreprises ?
1. Nommer un responsable du traitement (ou le cas échéant un délégué à la protection des données) et tenir un registre des activités
2. Obligation d’information
3. Obligations par rapport aux sous-traitants
4. Respecter les droits des personnes concernées par le traitement des donnes personnelles
5. Assurer la sécurité des données personnelles
Toutes les entreprises ont l’obligation de tenir un registre des activités de traitement qui doit contenir les informations suivantes :
– le nom et les coordonnées du responsable du traitement
– les finalités du traitement
– la catégorie des personnes concernées
– la catégorie des données à caractère personnel
– les destinataires
– le transfert des données hors l’UE
– la durée de conservation
– les mesures de sécurité
Sont toutefois dispensées de tenir un registre des activités de traitement les entreprises suivantes :
1. Une entreprise de moins de 250 salariés si:
– un traitement est occasionnel
– un traitement n’est pas susceptible de comporter un risque pour les droits et des libertés des personnes concernées
Ou
– le traitement porte notamment sur des données sensibles
– le traitement porte sur des données relatives à des condamnations pénales.
En cas de collecte des données personnelles, il convient de fournir aux personnes concernées les informations suivantes :
– L’identité et les coordonnées du responsable du traitement (le cas échéant du délégué à la protection des données)
– Les finalités du traitement auquel sont destinées les données à caractère personnel
– La base juridique du traitement
– Les destinataires des données à caractère personnel
– La durée de conservation des données à caractère personnel
– Le droit d’accès, de rectification, d’effacement, d’opposition
– Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Quelle est la base juridique du traitement ?
1. Consentement exprès de la personne concernée (il convient de démontrer que la personne concernée a donné son consentement au traitement des données à caractère personnel la concernant).
Chaque personne concernée a le droit de retirer son consentement à tout moment (ce retrait ne compromet pas la licéité du traitement fondé sur le consentement effectué avant le retrait).
2. Contrat
3. Obligation légale
4. Intérêt général
5. Intérêt vital d’une personne
6. Intérêt légitime du responsable du traitement
Quelle est la durée de conservation des données personnelles?
Lors de la collecte des données personnelles il convient de préciser soit la durée exacte de conservation desdites données soit ou une méthode de calcul de cette durée.
Dans le cadre de la durée de conservation, il faut tenir compte de:
– utilisation de la donnée en temps réel tant que l’on est en lien avec la personne
– durées de prescription.
Après l’expiration de la durée de conservation, les données doivent être supprimées ou anonymisées.