Show Menu
SUJETS×

FAQ relative au RGPD

This document provides answers to frequently asked questions about the General Data Protection Regulation (GDPR) and its implementation in Adobe Experience Cloud.
Les définitions des divers termes relatifs au RGPD utilisés dans ce document se trouvent dans l’article traitant de la terminologie du RGPD .

Qui est concerné par le RGPD ?

Le RGPD s’applique à toutes les organisations qui stockent et traitent les données personnelles des citoyens au sein de l’Union Européenne, et ce quel que soit l’emplacement géographique de la société.

Quelles sont les sanctions en cas de non-conformité ?

Les organisations qui enfreignent le RGPD peuvent être condamnées à une amende susceptible d’atteindre 4 % de leur chiffre d’affaires global annuel, ou 20 millions d’euros si leur chiffre d’affaires est inférieur à ce montant. Il s’agit de l’amende maximale qui peut être imposée pour les infractions les plus graves, comme le fait de ne pas avoir obtenu un consentement suffisant de la part de la clientèle pour traiter les données ou de violer l’essence même des concepts du respect de la vie privée dès la conception.
Les amendes fonctionnent par paliers. Par exemple, une société peut être condamnée à une amende de 2 % si elle gère mal ses dossiers ( article 28 ), si elle omet d’informer l’autorité de contrôle ainsi que le sujet des données d’une violation ou si elle ne procède à aucune évaluation de l’impact. Il faut souligner que ces règles s’appliquent à la fois aux contrôleurs des données et aux responsables du traitement des données, ce qui signifie que les « cloud » ne seront pas exemptés de l’application du RGPD.

Que signifie la notion de données personnelles ?

Les données personnelles constituent toute information relative à une personne physique ou à un sujet des données qui peut être utilisée pour identifier directement ou indirectement la personne. Il peut s’agir d’un nom, d’une photo, d’une adresse électronique, de détails bancaires, de publications sur les réseaux sociaux, d’informations médicales ou de l’adresse IP d’un ordinateur.

Quelle est la différence entre le contrôleur des données et le responsable du traitement des données ?

Le contrôleur des données est l’entité qui détermine les finalités, conditions et moyens du traitement des données personnelles, tandis que l’ entité de traitement des données est une entité qui traite les données personnelles pour le compte du contrôleur des données.

Quelle est la différence entre le consentement explicite et le consentement univoque du sujet des données ?

Le RGPD renforce les conditions d’un consentement valide du sujet des données. Les sociétés ne peuvent plus proposer des conditions difficiles à comprendre, car la demande de consentement doit être présentée sous une forme intelligible et facilement accessible. La finalité du traitement des données doit être clairement énoncée dans la demande d’obtention du consentement du sujet des données.
Le consentement explicite doit être clair et distinct des autres objets, doit être fourni sous une forme intelligible et facilement accessible, dans un langage simple. En outre, retirer son consentement doit être aussi facile que de le donner. Le consentement explicite est uniquement requis pour le traitement de données personnelles sensibles, où un accord préalable est la seule solution. Le consentement univoque est toutefois acceptable pour les données non sensibles.

Les sujets des données âgés de moins de 16 ans peuvent-ils donner leur consentement ?

Le consentement parental est obligatoire pour traiter les données personnelles des enfants de moins de 16 ans pour les services en ligne. Les États membres peuvent légiférer pour réduire l’âge de consentement, qui ne peut toutefois être inférieur à 13 ans.

Quelle est la différence entre un règlement et une directive ?

Un règlement constitue un acte législatif contraignant qui doit être appliqué dans son intégralité au sein de l’UE. Une directive est un acte législatif qui définit un objectif que tous les pays de l’UE doivent atteindre, mais c’est à chacun des pays de décider la manière dont ils souhaitent procéder pour y parvenir.
Il faut souligner que le RGPD est un règlement, contrairement à la législation précédente (la directive sur la protection des données personnelles), qui est une directive.

Mon entreprise doit-elle nommer un délégué à la protection des données ?

Une organisation doit nommer un délégué à la protection des données (DPO) dans les cas suivants :
  • L’organisation est une autorité publique.
  • L’organisation s’engage dans une surveillance systématique à grande échelle.
  • L’organisation s’engage dans le traitement à grande échelle de données personnelles sensibles.

De quelle manière le RGPD influe-t-il sur les politiques relatives aux violations des données ?

Les règlements proposés au sujet des violations des données concernent principalement les politiques de notification des entreprises qui ont été compromises. Les violations des données susceptibles de présenter un risque pour les individus doivent être notifiées à l’autorité de protection des données dans un délai de 72 heures et aux personnes concernées sans retard excessif.