En conséquence du RGPD (ou GDPR en anglais), de plus en plus de nos utilisateurs nous demandent ce qu’ils doivent faire pour se mettre en règle. Si vous travaillez avec des données personnelles de personnes qui sont situées dans l’UE ou vous êtes établi ou vous avez des activités dans l’UE, il y a un nombre de choses qu’il faut prendre en compte. Dans cet article nous essayons vous aider.
« Vos enquêtes sont-elles anonymes ou utilisez-vous des données personnelles ? »
- Si vous distribuez vos enquêtes anonymement et si vous ne traitez pas des données personnelles, vous pouvez ignorer le RGPD. Mais, faites attention, le RGPD interprète le concept de données personnelles très largement ! (Voir l’article 4.1).
- Utilisez-vous des contacts ou demandez-vous une adresse e-mail, un nom ou d’autres données personnelles dans vos enquêtes ? Alors, continuez à lire, car le RGPD vous impose un certain nombre de responsabilités.
Assurez-vous de traiter légalement les données personnelles
Selon l’article 6 du RGPD, vous avez besoin d’une base légale avant de pouvoir traiter des données personnelles. Le traitement n’est légal que si au moins une des six conditions de la législation est remplie. La plus connue est le consentement de la personne concernée (voir l’article 7), mais d’autres conditions peuvent s’appliquer si vous enquêtez des clients, des patients, des participants à un cours, des membres, etc. Peut-être qu’articles 6.b ou 6.f peuvent servir : « … nécessaire à l’exécution d’un contrat … » ou « … aux fins des intérêts légitimes du responsable du traitement … ». Le consentement explicite n’est dans ce cas pas requis. En tant que responsable du traitement des données personnelles, vous devez être capable de prouver quelle « base légale » vous rencontrez.
Informez vos répondants
En tant que responsable du traitement vous devez fournir les informations nécessaires aux personnes concernées, lorsque vous collectez des données personnelles. Assurez-vous de vérifier les articles RGPD mentionnés dans cet article de blog pour savoir quelles informations vous devez fournir, et quelles informations sont incluses dans le « droit d’accès ».
- L’article 13 indique quelles informations vous devez fournir lors de la collecte des données personnelles, afin d’assurer un traitement équitable et transparent, entre autres : les données collectées, qui traite ces données, la période de stockage, les finalités du traitement, etc.
- De plus, les répondants doivent pouvoir accéder à leurs données personnelles et à toutes les informations concernées (voir l’article 13 et l’article 15).
- Nous avons une fonctionnalité qui vous aidera à informer vos répondants. Vous pouvez inclure un avis de confidentialité dans vos e-mails et vos enquêtes.
Ne conservez pas les données plus longtemps que nécessaire
L’article 5.1.e du RGPD, exige que les données personnelles ne soient pas conservées plus longtemps que nécessaire. Ça veut dire que vous devez supprimer ces données quand vous n’en avez plus besoin. Il est autorisé de conserver des données plus longtemps si vous les utiliser à des fins statistiques, par exemple pour faire du benchmarking, à condition que vous prenez les mesures nécessaires pour garder les données en toute sécurité. Et en activant des règles de conservation des données, vous pouvez entièrement automatiser la suppression des données des contacts et/ou des répondants de vos enquêtes Checkmarket, quel que soit leur état.
« Droit de rectification » et « Droit à l’effacement »
Outre le « droit d’être informé » le RGPD va plus loin avec les articles 16 et 17. En plus du « droit d’accès », les répondants ont également le « droit de rectification » et le « droit à l’effacement (droit à l’oubli) ». Autrement dit, ils doivent pouvoir modifier, compléter et supprimer leurs données personnelles. Mentionnez toujours les procédures à suivre et les personnes q’ils peuvent contacter avec des questions. Par example, vous pouvez ajouter un paragraphe supplémentaire à l’invitation par e-mail ou à la page de remerciement.
Tenez un registre des activités de traitement
Conformément à l’article 30, en tant que responsable du traitement vous devez tenir un registre des activités de traitement. Le registre doit inclure certains éléments, tels que : les finalités du traitement, un description des personnes concernées et les catégories des données personnelles, un description général des mesures de sécurité techniques et organisationnelles (si possible), etc. Assurez-vous de lire les directives officielles et conservez toutes les informations nécessaires.
Accord du traitement des données
Lorsque vous partagez des données personnelles avec un processeur, tel que CheckMarket, vous êtes obligé de conclure un accord de traitement des données avec ce processeur. CheckMarket offre un accord du traitement de données (Data Processing Agreement, DPA) conforme au RGPD, avec des dispositions de protection de bonne pratique et qui contient clairement toutes les obligations de confidentialité. Toutes les exigences du RGPD applicables à CheckMarket sont bien sûr également couvertes et plus important encore, vous pouvez être sûr que nous imposons les mêmes conditions de protection des données personnelles sur nos sous-processeurs, conformément aux exigences de l’article 28.4 du RGPD.
Cet article explique comment vous pouvez facilement consulter et approuver notre accord du traitement des données (Data Processing Agreement, DPA) :
Délégué à la protection des données
Selon l’article 37, certaines organisations doivent désigner un délégué à la protection des données (DPD). Ceci est requis lorsque :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Votre organisation a-t-elle un DPD ? Demandez à votre administrateur de compte CheckMarket d’enregistrer les détails de votre DPD dans l’outil.
Les responsabilités de CheckMarket
En tant que processeur de données, notre priorité absolue est de garantir la sécurité des données personnelles. C’est pourquoi nous appliquons des mesures de sécurité techniques et organisationnelles strictes. Par exemple, nous avons mis en place les processus nécessaires pour constater et résoudre les fuites de données, et nous utilisons le cryptage HTTPS.
Vous pouvez trouver plus d’informations sur nos mesures de sécurité dans notre déclaration de confidentialité et notre accord du traitement des données (DPA).
Remarque: Veuillez noter que rien sur cette page Web n’est destiné ou ne peut être utilisé pour remplacer un avis juridique. Nous vous recommandons expressément de consulter un avocat pour des conseils indépendants adaptés à votre situation.
Laisser un commentaire