Le règlement s’applique à :
une société ou une entité qui traite des données à caractère personnel dans le cadre des activités d’une de ses filiales établie dans l’UE, quel que soit le lieu où les données sont traitées ;
une entreprise établie en dehors de l’UE qui offre des biens/services (à titre onéreux ou gratuit) ou qui surveille le comportement des personnes dans l’UE.
Si votre entreprise est une petite ou moyenne entreprise (PME) qui traite des données à caractère personnel comme décrit ci-dessus, vous devrez vous assurer que vous respectez le règlement. Cependant, si le traitement des données personnelles n’est pas une partie essentielle de votre entreprise et que cette activité ne crée pas de risques pour les individus, certaines obligations de GDPR ne s’appliqueront pas à votre entreprise (par exemple la nomination d’un responsable de la protection des données). N’oubliez pas que les “activités principales” comprennent les activités où le traitement des données est une partie essentielle de l’activité du contrôleur des données ou de l’entreprise du contrôleur des données.
Exemples
Lorsque le règlement s’applique
Exemple A qui est une petite entreprise d’enseignement supérieur qui opère en ligne avec un établissement situé en dehors de l’UE et s’adresse principalement aux universités hispanophones et lusophones de l’UE. Votre entreprise offre des conseils gratuits sur certains cours universitaires et les étudiants doivent avoir un nom d’utilisateur et un mot de passe pour accéder au matériel en ligne. Votre entreprise fournit le nom d’utilisateur et le mot de passe lorsque les étudiants remplissent un formulaire de demande.
Lorsque le règlement ne s’applique pas
Votre entreprise est basée en dehors de l’UE et fournit des services à des clients situés en dehors de l’UE. Les clients peuvent utiliser leurs services lorsqu’ils voyagent dans d’autres pays, y compris au sein de l’UE. Pour autant que votre entreprise ne cible pas spécifiquement ses services aux particuliers dans l’UE, elle n’est pas soumise aux règles du règlement.
Les règles de l’UE en matière de protection des données garantissent que vos données personnelles sont protégées chaque fois que vous les utilisez, par exemple lorsque vous achetez quelque chose en ligne, postulez à un emploi ou demandez un prêt bancaire. Ces règles s’appliquent aux entreprises et organisations (publiques et privées) dans l’UE et en dehors de l’UE qui offrent des biens ou des services dans l’UE, comme Facebook ou Amazon, chaque fois que ces entreprises demandent ou réutilisent des données à caractère personnel de citoyens de l’UE.
Le format des données est sans importance, que ce soit en ligne sur un système informatique ou sur papier dans un fichier structuré, chaque fois que des informations qui vous identifient directement ou indirectement sont stockées ou traitées, vos droits en matière de protection des données doivent être respectés.
Quand le traitement des données est-il autorisé ?
Les règles de l’UE en matière de protection des données, également appelées “règlement général sur la protection des données” (DSGP), décrivent plusieurs situations dans lesquelles une entreprise ou une organisation est autorisée à collecter ou à réutiliser vos informations personnelles, par exemple
lorsque vous avez conclu un contrat, comme un contrat de fourniture de biens ou de services (par exemple, lorsque vous achetez quelque chose en ligne) ou un contrat de travail
lorsque vous respectez une obligation légale, par exemple lorsque le traitement des données est une obligation légale, comme lorsque votre employeur fournit des informations sur votre salaire mensuel à l’autorité de sécurité sociale afin que vous ayez une couverture sociale
lorsque le traitement des données est dans votre intérêt vital, par exemple lorsqu’il pourrait vous sauver la vie
lors de l’exécution d’une tâche publique, principalement liée aux activités des administrations publiques telles que les écoles, les hôpitaux et les municipalités
lorsqu’il existe des intérêts légitimes, par exemple lorsque votre banque utilise vos données personnelles pour vérifier si vous pouvez bénéficier d’un compte d’épargne avec un taux d’intérêt plus élevé
Dans toute autre situation, l’entreprise ou l’organisation doit vous demander votre autorisation (appelée ” consentement “) avant de pouvoir recueillir ou utiliser vos données personnelles.
Acceptation du traitement des données – consentement
Lorsqu’une entreprise ou une organisation vous demande votre consentement, vous devez l’accepter clairement, par exemple en signant un formulaire de consentement ou en choisissant un oui entre deux options sans équivoque de oui et de non sur une page Web.
Il ne suffit pas de sélectionner une case où vous dites que vous ne voulez pas recevoir de courriels commerciaux pour ne pas donner votre consentement. Vous devez consentir et accepter que vos données personnelles soient collectées et/ou utilisées à cette fin.
Avant de décider de donner votre consentement, vous devriez également recevoir les informations suivantes :
des informations sur la société/organisation qui traitera les données, y compris ses coordonnées et celles d’un délégué à la protection des données (DPD), le cas échéant
pourquoi la société/l’organisation utilisera vos données
la durée de conservation de vos données
les coordonnées de toute autre société ou organisation qui recevra vos données personnelles
des informations sur vos droits en matière de protection des données (accès, rectification, suppression, plainte, révocation du consentement)
Toutes ces informations doivent être fournies de manière claire et compréhensible que vous soyez expert en liposuccion à Genève ou expert en assurances.
Révocation du consentement pour l’utilisation des données personnelles et droit d’opposition
Si vous avez déjà donné votre accord à une entreprise ou à une organisation pour utiliser vos données personnelles, vous pouvez contacter le responsable du traitement des données (la personne ou l’organisation responsable de la gestion des données) et révoquer votre accord à tout moment. Une fois que vous avez retiré votre consentement, l’entreprise ou l’organisation ne peut plus utiliser vos données personnelles.
Vous avez le droit de vous opposer si une organisation traite vos données personnelles sur la base de son propre intérêt légitime ou dans le cadre d’une activité d’intérêt public ou pour une autorité officielle. Dans certains cas spécifiques, l’intérêt public prévaut et la société ou l’organisation peut être autorisée à continuer à utiliser vos données personnelles. C’est le cas, par exemple, de la recherche scientifique et des statistiques, une activité qui relève du rôle officiel d’une autorité publique.
Dans le cas du marketing direct, comme les courriels de promotion d’une marque ou d’un produit particulier, nous avons besoin de votre consentement au préalable. Toutefois, si vous êtes un client existant d’une entreprise particulière, cette entreprise peut vous envoyer des courriels de marketing direct sur ses produits ou services similaires. Vous avez le droit de vous opposer à tout moment à la réception de marketing direct et la société doit immédiatement cesser d’utiliser vos données. C’est valable que vous soyez chirurgien esthétique à Paris ou dans le coaching !
Dans tous les cas, la première fois que la société ou l’organisation vous contacte, vous devriez toujours recevoir des informations sur votre droit d’opposition à l’utilisation de vos données personnelles.
Exemple
Vous pouvez vous opposer à l’utilisation de vos données pour le marketing direct
Anatolios a acheté deux billets en ligne pour assister à un concert de son groupe préféré. Depuis qu’il a acheté les billets, Anatolios a commencé à recevoir des courriels avec des publicités pour des concerts et des événements qui ne l’intéressaient pas. Il a contacté la société de vente de billets en ligne et a demandé à ne plus recevoir ces e-mails publicitaires. L’entreprise l’a immédiatement retiré de la liste d’envoi de marketing direct. Anatolios est heureux de ne plus recevoir d’e-mails publicitaires de leur part.
Règles spécifiques pour les mineurs
Si vos enfants veulent utiliser des services en ligne, tels que les médias sociaux, les téléchargements de musique ou les jeux, ils auront souvent besoin de votre approbation en tant que parent ou tuteur légal car ces services utilisent les renseignements personnels de l’enfant. Les enfants n’ont plus besoin du consentement parental dès qu’ils ont plus de 16 ans (dans certains pays de l’UE, cette limite d’âge peut être abaissée à 13 ans). Les contrôles visant à vérifier le consentement des parents doivent être efficaces, par exemple en utilisant un message de vérification envoyé à l’adresse électronique d’un parent.
Accès à vos données personnelles
Vous pouvez demander à avoir accès aux données personnelles qu’une entreprise ou une organisation détient sur vous et vous avez le droit d’en obtenir une copie, gratuitement, dans un format accessible. Ils doivent vous répondre dans un délai d’un mois et doivent vous donner une copie de vos données personnelles et toute information importante sur la manière dont les données ont été ou sont encore utilisées.
Exemple
Vous avez le droit de savoir quelles données sont stockées à votre sujet et comment elles sont utilisées
Maciej, un citoyen polonais, a récemment signé la carte de fidélité d’un supermarché local. Peu de temps après avoir adhéré à la carte de fidélité, il a remarqué qu’il commençait à recevoir de meilleurs bons d’achat. Il se demande si c’est à cause de la carte de fidélité et demande au responsable de la protection des données du supermarché de lui dire quelles informations sont stockées à son sujet et utilisées. Maciej a découvert que le supermarché conservait des données sur les produits qu’il achetait chaque semaine et lui accordait donc des remises sur les produits spécifiques qu’il achetait.
Correction des données personnelles
Si une entreprise ou une organisation stocke des renseignements personnels à votre sujet qui sont incorrects ou manquants, vous pouvez demander de les corriger ou de les mettre à jour.
Exemple
Vous avez le droit de corriger les données incorrectes vous concernant
Alison voulait acheter une nouvelle maison en Irlande et a demandé un prêt hypothécaire à sa banque. En remplissant le formulaire de demande, elle a fait une erreur en entrant sa date de naissance et la banque a enregistré un âge erroné dans son système.
Lorsque Alison a reçu les offres pour la nouvelle hypothèque et l’assurance-vie, elle a remarqué l’erreur, car la prime d’assurance était beaucoup plus élevée que prévu. Elle a contacté la banque et a demandé de corriger ses données personnelles dans le système. Il a ensuite reçu une nouvelle version de l’offre d’assurance avec la date de naissance correcte.
Le transfert de données personnelles (droit à la portabilité des données)
Dans certaines situations, vous pouvez demander à une entreprise ou à une organisation de vous renvoyer les données ou de les transférer directement à une autre entreprise, lorsque cela est techniquement possible. C’est ce qu’on appelle la “portabilité des données”. Par exemple, vous pouvez exercer ce droit si vous décidez de passer d’un service à un autre service similaire, comme le passage d’un site de médias sociaux à un nouveau, et que vous voulez que vos renseignements personnels soient transférés rapidement et facilement au nouveau service.
Supprimer les informations personnelles (droit d’être oublié)
Si vos données personnelles ne sont plus nécessaires ou sont utilisées illégalement, vous pouvez demander la suppression de vos données. C’est ce qu’on appelle le “droit d’être oublié”.
Ces règles s’appliquent également aux moteurs de recherche, tels que Google, car ils sont eux aussi considérés comme des responsables du traitement des données. Vous pouvez demander que les liens vers des renseignements personnels vous concernant soient retirés d’un moteur de recherche s’ils sont inexacts, inadéquats, non pertinents ou excessifs.
Si une société a mis vos informations personnelles à disposition en ligne et que vous demandez leur suppression, la société doit informer chaque site Web sur lequel elle a été partagée de votre demande et demander la suppression de vos données et des liens correspondants.
Pour protéger d’autres droits, tels que la liberté d’expression, certaines données ne peuvent pas être supprimées automatiquement. Par exemple, les déclarations controversées faites en public ne peuvent pas être supprimées s’il est préférable dans l’intérêt public de les garder en ligne.
Exemple
Vous pouvez demander de supprimer et d’effacer les données personnelles d’autres sites Web.
Alfredo a décidé qu’il ne voulait plus utiliser les médias sociaux, alors il a supprimé son profil du site qu’il utilisait. Cependant, après quelques semaines, il a découvert que la photo de profil de son ancien compte sur la page en question était toujours visible en cherchant son nom dans un moteur de recherche sur Internet. Alfredo a contacté des entreprises de médias sociaux pour leur demander de s’assurer que ces photos soient retirées. Lorsqu’il a répété la recherche le mois suivant, les photos avaient en fait été supprimées et n’apparaissaient plus dans les résultats des moteurs de recherche.
Accès non autorisé aux données (violation des données)
En cas de vol, de perte ou d’accès illégal à des informations personnelles, c’est-à-dire en cas de “violation de données personnelles”, le responsable du traitement (la personne ou l’entité chargée de la gestion des données personnelles) doit le signaler à l’autorité nationale de protection des données. Le responsable du traitement doit également vous informer directement si, à la suite de la violation, vos données personnelles ou votre vie privée sont exposées à des risques sérieux.
Déposer une plainte
Si vous pensez que vos droits en matière de protection des données n’ont pas été respectés, vous pouvez déposer une plainte directement auprès de l’autorité nationale de protection des données qui mènera une enquête et vous donnera une réponse dans un délai de 3 mois.
Vous pouvez également décider d’intenter une action en justice directement contre l’entreprise ou l’organisation en question au lieu de vous adresser d’abord à l’autorité nationale de protection des données.
Vous pouvez avoir droit à une indemnisation si vous avez subi un préjudice matériel, tel qu’une perte financière, ou un préjudice immatériel, tel qu’une détresse psychologique, du fait qu’une entreprise ou une organisation n’a pas respecté les règles de l’UE en matière de protection des données.
C’est quoi des cookies ?
Les cookies sont de petits fichiers texte qu’un site Web demande à votre navigateur de stocker sur votre ordinateur ou votre appareil mobile. Ils sont largement utilisés pour rendre les sites Web plus efficaces en stockant vos préférences. Ils servent également à suivre vos déplacements sur Internet et à définir votre profil d’utilisateur, afin que nous puissions vous servir des publicités ciblées en fonction de vos préférences.
Tout site Web qui utilise des cookies doit obtenir votre consentement avant de les installer sur votre ordinateur ou votre appareil mobile. Un site Web ne peut pas simplement vous informer qu’il utilise des cookies ou vous expliquer comment les désactiver.
Les sites Web devraient expliquer comment les renseignements recueillis par les témoins sont utilisés. Vous devriez également avoir la possibilité de révoquer votre consentement. Si vous souhaitez retirer votre consentement, le site Web doit vous fournir un service minimum, par exemple en vous donnant accès à une partie du site Web.
Tous les cookies ne nécessitent pas votre consentement. Les cookies utilisés dans le seul but de transmettre une communication ne nécessitent pas votre consentement. Cela inclut, par exemple, les cookies utilisés pour l'”équilibrage de charge” (qui permettent de répartir les requêtes du serveur web sur plusieurs machines au lieu d’une seule). Les cookies qui sont strictement nécessaires pour fournir un service en ligne explicitement demandé ne nécessitent pas de consentement. Cela comprend, par exemple, les cookies utilisés lorsque vous remplissez un formulaire en ligne ou lorsque vous utilisez un panier d’achat pour faire des achats en ligne.