Conformité RGPD – Ces questions que vous posez fréquemment – 4

Se conformer au RGPD n’est pas une tâche aisée, et les collaborateurs se perdent parfois dans la réglementation et les interdits.

Fort de 5 ans d’expérience dans le domaine de la protection des données personnelles, Datanaos vous propose dans une série d’articles un petit tour des questions les plus fréquemment posées à nos délégués à la protection des données externalisés.

Cet article est le quatrième de la série commencée en février 2024. Votre question ne se trouve pas dans cet article ? Peut-être la trouverez vous dans l’un de nos articles précédents ?

Je dispose d’un système de vidéoprotection. Qui peut accéder aux images ?

Les règles de l’accès aux enregistrements des caméras de vidéoprotection, ou de vidéosurveillance, dépendent de l’organisme et des finalités de l’accès à l’enregistrement.

On demandera communément à ce que les accès soient limités le plus possible, afin de limiter la propagation des informations visionnables.

On retrouve en général des accès prévus pour :

les personnes en charge de la sécurité des locaux (un ou plusieurs responsables intervenant dans le contrôle des entrées ou la sécurisation des lieux)
la direction (optionnel) lorsque celle-ci le demande expressément ou doit visionner les enregistrements dans le cadre d’une prise de décision.

Puis-je contrôler à distance ou limiter l’usage des ordinateurs / tablettes que je mets à disposition de mes salariés ?

Oui, de manière raisonnée.

Ce qu’il est possible de faire : paramétrer les postes de travail de manière à empêcher l’installation de programmes non approuvés, interdire l’utilisation de certains outils durant les horaires de travail, imposer un anti-virus ou des outils d’analyse de sécurité, et le lancement des analyses de manière régulière, interdire le lancement de certains programmes, ou des connexions, à partir d’une certaine heure, etc.

Ce qu’il n’est pas possible de faire : installer des logiciels chargés de surveiller et remonter l’activité du poste de travail durant la journée, activer un outil de contrôle à distance du matériel sans autorisation du salarié, etc.

Je n’ai pas le temps de réaliser l’analyse de protection des données dès la conception. Est-ce important ?

D’après le RGPD, tout traitement de données à caractère personnel ne peut être mis en œuvre qu’après réalisation d’une analyse de protection des données dès la conception et par défaut.

L’oubli volontaire ou involontaire de réaliser cette analyse en amont de la mise en œuvre d’un nouveau traitement de données est par conséquent une faute, indépendamment de la conformité ou non conformité du traitement lui-même.

Suis-je obligé de renseigner tous mes traitements dans mon registre ?

Non. Attention cependant, quasiment tous les traitements que vous mettrez en œuvre devront y figurer.

La règle est que tout traitement de données à caractère personnel doit être mentionné dans votre registre des traitements de données, et comporter les mentions minimales requises à l’article 30 du RGPD.

Par exception, et afin d’adapter l’application du RGPD à certaines activités opérationnelles, vous n’avez pas besoin de renseigner dans votre registre les traitements de données mis en œuvre de manière exceptionnelle ou ponctuelle (par opposition aux traitements courants, récurrents ou réguliers) dont la durée de vie est très faible (quelques heures à quelques jours).

Il est donc assez rare qu’un traitement ne figure pas dans le registre des traitements d’un organisme.

Ceci conclut notre quatrième article sur les questions qui nous sont fréquemment posées. A bientôt pour plus de questions/réponses !

Depuis maintenant 5 ans Datanaos accompagne de nombreuses entreprises, associations et organismes publics dans leur conformité au RGPD. Audits, mise en conformité, formations, délégué à la protection des données externalisé, nous proposons un large éventail de prestations de qualité. N’hésitez pas à nous contacter pour vos projets !