Limiter la conservation des données Le principe de durée de conservation définie et limitée La durée de conservation doit être définie par le responsable du fichier, sauf si un texte impose une durée précise. Cette durée va dépendre de la nature des données et des objectifs poursuivis. Exemples de durées de conservation : Dans le cas d'un dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes, la conservation des images ne peut excéder 1 mois.Les données relatives à gestion de la paie ou au contrôle des horaires des salariés peuvent être conservées pendant 5 ans.Les données figurant dans un dossier médical doivent être conservées 10 ans à compter de la consolidation du dommage.La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées. Par exemple, lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.
Biométrie au travail illégale : sanction de 10.000 euros La société ASSISTANCE CENTRE D’APPEL est spécialisée dans la télésurveillance d’ascenseurs et de parkings. Lors d’un contrôle dans ses locaux fin 2016, la CNIL a constaté que la société avait mis en place un dispositif de pointage biométrique (par recueil de l’empreinte digitale) à des fins de contrôle des horaires des salariés, sans autorisation préalable. Elle a également constaté qu’un dispositif d’enregistrement des appels téléphoniques fonctionnait sans que les salariés et les interlocuteurs n’en soient informés. Enfin, il a été constaté que les postes de travail n’étaient pas suffisamment sécurisés par des mots de passe robustes ou un verrouillage automatique. Malgré plusieurs échanges avec la société, un second contrôle effectué dans les locaux début 2018 a révélé que certains manquements persistaient. Une procédure de sanction a été engagée.
RGPD : Salariés et cadres, comment faire valoir votre droit d’accès à vos données personnelles ? Maître Frédéric Chhum, Avocat et Marion Simone, Elève-avocate. A la fin du présent article, nous proposons, pour les salariés, deux lettres-types de demande de droit d’accès à vos données personnelles. 1) Étendue du droit d’accès aux données personnelles pour les salariés (art 15 RGPD et article 70-19 de la loi du 20 juin 2018). L’article 4 du RGPD définit « les données à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable. [3] Aux termes de l’article 4 du RGPD est réputée être une personne physique identifiable, toute personne qui peut être identifiée : directement : o nom, prénom, o image, o vidéo indirectement : o numéro d’identification, o données de localisation, o des données de connexion de son poste de travail (dès lors qu’elles permettent d’identifier le salarié, par exemple, les connexions à une boîte mail professionnelle nominative) Ainsi, un salarié a droit d’accéder aux données relatives à : son recrutement ; son historique de carrière ; sa rémunération ; son dossier disciplinaire.
Exemple d’information pour un dispositif de vidéosurveillance sur les lieux de travail Objet du traitement (finalité et base légale) : La société ABCD dont le siège est situé à CONFIANCE (96 000) – Rue de la Transparence a placé ses locaux sous vidéosurveillance vidéosurveillance Les dispositifs dits de « vidéosurveillance » concernent des lieux non ouverts au public (locaux professionnels non ouverts au public comme les bureaux ou les réserves des magasins) et sont soumis aux dispositions de la loi « Informatique et Libertés...> En savoir plus afin d’assurer la sécurité de son personnel et de ses biens. La base légale base légale La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d'utiliser des données personnelles. du traitement est l’intérêt légitime (cf. article 6.1.f) du Règlement européen sur la protection des données). Données et catégories de personnes concernées : Les employés de la société ABCD sont filmés par le dispositif. Destinataires : Durée de conservation : Droits des personnes :
Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ANNEXERÉFÉRENTIEL DE CERTIFICATION DES COMPÉTENCES DU DÉLEGUÉ À LA PROTECTION DES DONNÉES (DPO)Catégorie 1. Conditions préalables à remplir par le candidat à la certification Exigence 1.1. Pour pouvoir accéder à la phase d'évaluation, le candidat remplit l'une des conditions préalables suivantes : - justifier d'une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s'agissant de la protection des données personnelles ; ou- justifier d'une expérience professionnelle d'au moins 2 ans ainsi que d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation. Catégorie 2. Exigence 2.1.
Le droit d'accès : connaître les données qu’un organisme détient sur vous Comment faire concrètement ? Identifier l’organisme à contacter Vous pouvez retrouver les coordonnées de l’organisme sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique confidentialité », « vie privée », « mention légales », etc). Si vous rencontrez des difficultés pour obtenir les coordonnées du délégué à la protection des données ou de l’organisme, consultez notre fiche pratique. Exercer votre droit d’accès auprès de l’organisme Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.), ou par courrier par exemple. Si votre demande est formulée par voie électronique, l’organisme vous répondra par voie électronique, sauf si vous demandez à ce qu’il en soit fait autrement (par exemple par courrier postal). L’exercice de ce droit est gratuit. Conserver une copie de vos démarches Vous exercez cette démarche par courrier ?
RGPD: L’exigence de conservation des données pendant une durée pertinente L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Il ressort de ces deux textes que la durée de conservation des données à caractère personnel ne saurait être illimitée. Elle doit être proportionnée à la finalité du traitement. Toute la question est alors de savoir comment déterminer une durée adaptée à la conservation des données à caractère personnel traitées. A l’examen, il apparaît que le législateur a posé un principe assorti de plusieurs dérogations. §1 : Le principe A l’examen, la détermination de la durée de conservation des données à caractère personnel suppose de s’interroger sur quatre points : A) Sur le point de départ de la durée de conservation B) Sur le cycle de conservation des données 2. 2. WordPress:
French Data Protection Authority's Latest Newsletter Includes Assessment of First Four Months of GDPR & Several Guidelines | HL Chronicle of Data Protection The French Data Protection Authority (the CNIL) published its assessment of the first four months of GDPR and several guidelines, including one on how to make a GDPR compliant blockchain. The CNIL just published its latest newsletter (n°14, dated 25 September 2018) with: The CNIL’s assessment on four months of GDPR The CNIL posted a review of its activity since the General Data Protection Regulation came into force, four months ago. Over a period of four months, the CNIL reports that it has received more than 600 data breach notifications (an average of seven per day since 25 May 2018), and that the number of complaints has gone up 64% compared to last year. During those four months, there have also been major developments in French law regarding Data Protection. Since the Data Protection Act’s implementation, the CNIL has been very active in guiding French citizens on how to comply with the new legal framework and warning them about threats from new technologies:
Droit d'accès aux données personnelles - Obligations avec le RGPD Toute personne physique justifiant de son identité peut exercer son droit d’accès par simple la demande au un responsable de traitement d’un organisme privé ou public d’accéder aux données qui la concernent (article 12 du Règlement européen sur la protection des données personnelles). Une personne peut demander à son employeur l’accès à son dossier personnel, à son médecin l’accès à son dossier médical, à une administration l’accès à son dossier. Elle peut également demander à être informé de l’origine de ses données et en demander une copie. Au moment de la collecte des données, vous êtes dans l’obligation d’indiquer aux utilisateurs le service auprès duquel ils pourront exercer leur droit d’accès. Il est dont indispensable de mettre en place des procédures efficaces au sein de votre entreprise afin de répondre facilement aux demandes de droits d’accès et ainsi respecter le délai légal de réponse d’un mois. Droit d’accès aux données personnelles : Qui peut l’exercer ? A voir aussi :
Fichiers de Fournisseurs Dispense DI-004 Suite à l’entrée en application du RGPD, les dispenses adoptées par la CNIL n’ont plus de valeur juridique à compter du 25 mai 2018. Dans l’attente de la production de référentiels RGPD, la CNIL a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité. La dispense de déclaration n° 4 concerne les fichiers de fournisseurs mis en œuvre par des organismes publics et privés. Les informations enregistrées concernent l’identité du fournisseur, sa vie professionnelle, les éléments de facturation et de règlement (références de l’abonnement ou de la commande, modalités de paiement). Les données ne peuvent être utilisées à des fins de prospection commerciale. Les personnes concernées sont informées, lors de la collecte des données, de leurs droits d’opposition à figurer dans le fichier et de rectification des données. Texte officiel
[LaTribune] RGPD : 4 mois après, la Cnil salue la prise de conscience inédite des internautes Quatre mois après l'entrée en vigueur du Règlement général sur la protection des données (RGPD), la Commission nationale de l'informatique et des libertés (Cnil) dresse un premier bilan positif. Les particuliers ont déjà déposé 3.767 plaintes - un record. Côté professionnels, 24.500 organismes ont nommé un délégué à la protection des données personnelles, nouveau métier consacré par le règlement. Un premier bilan plutôt positif. Quatre mois après l'entrée en vigueur en Europe du fameux RGPD (Règlement général sur la protection des données), la Cnil se félicite d'une " prise de conscience inédite " du côté des particuliers. Deux organismes ont également adressé à la Cnil des plaintes collectives, nouveau droit consacré par le RGPD.