Points d'interrogation vrac

Conformité RGPD – Ces questions que vous posez fréquemment – 6

2024-05-28 / Par

Se conformer au RGPD n’est pas une tâche aisée, et les collaborateurs se perdent parfois dans la réglementation et les interdits. 

Fort de 5 ans d’expérience dans le domaine de la protection des données personnelles, Datanaos vous propose dans une série d’articles un petit tour des questions les plus fréquemment posées à nos délégués à la protection des données externalisés

Cet article est le sixième de la série commencée en février 2024. Votre question ne se trouve pas dans cet article ? Peut-être la trouverez vous dans l’un de nos articles précédents ? 

Quelle différence entre Analyse de protection des données dès la conception et AIPD ? 

L’Analyse d’Impact sur la Protection des Données (abrégée en “AIPD”, parfois en “PIA” ou “EIVP”) est une l’analyse rendue obligatoire par l’article 35 du RGPD sur certains types de traitement particuliers (le RGPD parle des traitements susceptibles de faire peser de lourds risques sur les droits et libertés des personnes concernées). 

L’analyse de protection des données dès la conception (souvent désignée par son nom anglais “Privacy By Design”) est une analyse obligatoire dès lors qu’un organisme projette de mettre en œuvre un nouveau traitement de données personnelles, ou de modifier les conditions de mise en œuvre d’un traitement de données déjà réalisé. 

L’AIPD est une analyse plus complète et plus longue que le Privacy By Design, car elle contient notamment une analyse plus poussée des risques pesant sur les personnes. Mais elle n’est réalisée que lorsqu’un traitement de données respecte plusieurs critères listés par la CNIL, ou est désigné dans la liste CNIL des traitements devant obligatoirement faire l’objet d’une telle analyse. 

J’utilise des données issues de l’Open Data. Sont-elles soumises au RGPD ? 

Tout d’abord, assurez-vous que les jeux de données que vous récupérez contiennent véritablement des données à caractère personnel, c’est-à-dire des données permettant d’identifier directement ou indirectement des personnes physiques, et non pas des données déjà anonymisées ou complétées par de faux jeux. 

Toute donnée à caractère personnel est soumise au RGPD, quelle que soit sa méthode de récolte. 

Il est important de noter toutefois qu’en raison de la nature de l’Open Data, certaines exceptions au RGPD vont s’appliquer : 

  • vous n’avez pas l’obligation de demander le consentement des personnes au traitement de leurs données, ni de les informer directement du traitement ; 
  • sauf à démontrer que le traitement porte atteinte à leurs droits ou libertés, ou leur cause un préjudice, les personnes concernées pourront difficilement s’opposer au traitement de leurs données, ou en demander la suppression. 

J’invite des personnes étrangères en France dans le cadre d’activités culturelles, d’enseignement ou de recherche. Puis-je demander une preuve d’autorisation d’entrée sur le territoire ? 

Il appartient généralement à la personne concernée de se rapprocher des administrations compétentes pour préparer sa visite sur le sol français. Il ne semble pas nécessaire que votre organisme dispose de la preuve que la personne concernée invitée est autorisée à entrer ou séjourner en France (si la personne accepte l’invitation, vous présumerez qu’elle a réalisé les démarches nécessaires au déplacement). 

Néanmoins, vous pourrez demander dans certains cas la preuve que la personne est bien autorisée sur le terrritoire français : 

  • si l’activité pour laquelle la personne concernée est invitée est une activité rémunérée par un organisme français ; 
  • si votre organisme intervient auprès des administrations compétentes pour assister la personne concernée dans ses démarches d’obtention d’autorisation ; 
  • si vous prenez en charge les démarches administratives ou commerciales concernant les déplacements depuis l’étranger, et au sein du territoire français, de la personne invitée. 

Ce traitement doit bien sûr apparaître dans le registre des traitements de données de l’organisme. 

Suis-je obligé de notifier la CNIL à chaque violation de données ?  

Le RGPD prévoit l’obligation pour les organismes privés et publics de notifier les violations de données dont ils ont connaissance à leur autorité de contrôle nationale en matière de protection des données (en France, la CNIL).

Cette obligation de notification est souvent source de stress pour les organismes victimes, qui souhaitent s’éviter un contrôle suite à un incident.

Cette obligation est générale, et des exceptions lui sont prévues. 

Ainsi, si vous êtes en mesure de justifier que l’incident n’est pas susceptible, en raison des vos mesures protectrices ou correctrices, de provoquer un accès illégitime, une modification non désirée, ou une suppression non souhaitée des données, la notification n’a plus lieu d’être. 

Par ailleurs, si vous êtes en mesure de justifier que vos mesures correctrices limitent fortement ou annulent totalement les risques pesant sur les personnes à la suite de l’incident, vous pouvez décider de ne pas notifier la CNIL. 

Gardez à l’esprit que même en l’absence d’une notification auprès de la CNIL, les violations de données constatées doivent être renseignées dans un registre des violations, auditable par la CNIL en cas de contrôle.

Ceci conclut notre sixième article sur les questions qui nous sont fréquemment posées. A bientôt pour plus de questions/réponses ! 

Depuis maintenant 5 ans Datanaos accompagne de nombreuses entreprises, associations et organismes publics dans leur conformité au RGPD. Audits, mise en conformité, formations, délégué à la protection des données externalisé, nous proposons un large éventail de prestations de qualité. N’hésitez pas à nous contacter pour vos projets !