background preloader

Conformité RGPD : comment informer les personnes et assurer la transparence

La fourniture de l’information doit être adaptée au contexte du traitement mis en œuvre : plus il est complexe ou intrusif, plus la transparence est impérative à l’égard des personnes et doit être garantie par des dispositifs efficaces. Pour de tels traitements, les mesures suivantes permettent d’atteindre cet objectif de transparence : Prioriser les éléments d’information Dans certains cas, la mise à disposition de l’ensemble des informations en un seul bloc ne permet pas d’atteindre l’objectif de lisibilité et il convient donc de favoriser une approche en plusieurs niveaux. Prioriser ne signifie pas transmettre une information incomplète aux personnes concernées : il s’agit de mettre en avant les informations essentielles et d'offrir un accès simple et immédiat aux autres informations. Quelles informations prioriser ? Dans tous les cas l’identité du responsable de traitement ;les finalités ;les droits des personnes. Dans certains cas La bonne information au bon moment

https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

Related:  INFORMATION DES PERSONNESQ4. En quoi les techno transforment-elles l'info en ressources?Veille informationnelle - Risque Informatique - RGPDRGPD - CNIL

RGPD en pratique : communiquer en ligne Vous avez un site vitrine Votre site présente votre activité et votre entreprise. Vous proposez uniquement un formulaire de contact et éventuellement l’abonnement à une lettre d’information. L’idéal est de prendre en compte la protection des données dès la conception du site. Ce qu’il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook Elle devait changer les règles du jeu politique ; voilà qu’elle est au centre d’une affaire de vol de données révélée par le Guardian, le New York Times et The Observer, qui éclabousse autant la Maison Blanche que Facebook, le plus grand réseau social du monde. Création, objectifs, fonctionnement… que sait-on de l’entreprise Cambridge Analytica ? Lire : Comment une entreprise proche de Trump a siphonné les données de millions d’utilisateurs de Facebook

Exemple d’information en cas d'accès à des locaux professionnels par badge Niveau 2 de l'information : notice de la société ABCD mise à disposition lors de la remise du badge Objet du traitement (finalité et base légale) : La société ABCD dont le siège est situé à CONFIANCE (96 000) – Rue de la Transparence a mis en place un système d’accès par badge pour contrôler l’accès à ses locaux. La base légale du traitement est l’intérêt légitime (cf. article 6.1.f) du Règlement européen sur la protection des données). Données enregistrées sur les visiteurs de la société ABCD :

Fichage religieux : une pratique strictement interdite par la loi Avec nos partenaires, nous traitons les données suivantes en nous basant sur votre consentement et/ou notre intérêt légitime: Données de géolocalisation précises et identification par analyse du terminal, Publicités et contenu personnalisés, mesure de performance des publicités et du contenu, données d’audience et développement de produit, Stocker et/ou accéder à des informations sur un terminal

Quelles sont les mentions obligatoires sur un site internet ? Identification Les mentions obligatoires que le site internet d'un entrepreneur individuel doit afficher pour permettre son identification sont : Nom et prénomAdresse de domicileNuméro de téléphone et adresse de courrier électroniqueNom du directeur ou du codirecteur de la publication et celui du responsable de la rédaction s'il en existeNom, dénomination ou raison sociale et adresse et numéro de téléphone de l'hébergeur de son site Activité Pour une activité réglementée, le site internet doit mentionner les informations suivantes : Référence aux règles professionnelles applicablesIndication du titre professionnelNom de l’État de l'Union européenne dans lequel le titre professionnel a été octroyéNom de l'ordre ou de l'organisme auprès duquel une inscription a été faite

Exemples de formulaire de collecte de données à caractère personnel Les informations recueillies dans le questionnaire sont enregistrées dans un fichier informatisé par [coordonnées du responsable de traitement]. La base légale du traitement est [base légale du traitement]. Les données marquées par un astérisque dans le questionnaire doivent obligatoirement être fournies. Dans le cas contraire, [préciser les conséquences éventuelles en cas de non-fourniture des données]. Les données collectées seront communiquées aux seuls destinataires suivants : [destinataires des données]. Elles sont conservées pendant [durée de conservation des données prévue par le responsable du traitement ou critères permettant de la déterminer].

RGPD : points de vigilance Vous devrez peut-être prendre des mesures supplémentaires. Une analyse approfondie de la règlementation est nécessaire pour déterminer les mesures à mettre en œuvre. Les points de vigilance Données personnelles Le site de la CNIL s’appuie sur certains services proposés par des sites tiers. Il s’agit notamment : Le danger des données: le rôle de la collecte des données dans les génocides. Une façon de savoir si les données que vous collectez sont particulièrement sensibles est de vous poser la question suivante: que se passerait-il si ces données tombaient entre les mains d'une personne mal intentionnée? Qui pourrait avoir envie de mettre la main dessus? Quelles sont les pires choses que ces personnes pourraient faire avec ces données?

Exemple d’information pour un dispositif de vidéosurveillance sur les lieux de travail Objet du traitement (finalité et base légale) : La société ABCD dont le siège est situé à CONFIANCE (96 000) – Rue de la Transparence a placé ses locaux sous vidéosurveillance afin d’assurer la sécurité de son personnel et de ses biens. Les images enregistrées dans ce dispositif ne sont pas utilisées à des fins de surveillance du personnel ni de contrôle des horaires. Le registre des activités de traitement Le registre du sous-traitant doit recenser toutes les catégories d'activités de traitement effectuées pour le compte de vos clients. En pratique, une fiche de registre doit donc être établie pour chacune de ces catégories d’activités (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, etc.). Ce registre doit comporter le nom et les coordonnées de votre organisme ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez.

Ciblage publicitaire en ligne : quel plan d’action de la CNIL La CNIL reçoit de nombreuses plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) relatives au marketing en ligne. En 2018, 21 % des plaintes reçues concernaient le marketing au sens large. Dans le même temps, les professionnels du secteur du marketing en ligne et leurs représentants cherchent à mieux comprendre leurs obligations issues notamment du règlement général sur la protection des données (RGPD). Les mises en demeure récentes en matière de ciblage publicitaire qui ont été clôturées ont aussi suscité des questions.

En France, les cyber-attaques sur les entreprises explosent Inscrivez-vous gratuitement à laNewsletter BFM Business Les entreprises françaises ont subi en moyenne 21 incidents de cybersécurité par jour en 2015. C'est 51% de de plus qu'il y a un an selon une étude mondiale du cabinet PwC. La menace représentée par les cyberattaques sur les entreprises se précise. CHAPITRE II - Principes Modifié par Article 5 - Principes relatifs au traitement des données à caractère personnel Les données à caractère personnel doivent être : Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). Article 6 - Licéité du traitement Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

Related: