COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

Les obligations des entreprises

OBLIGATION D’INFORMATION

Toute personne physique ou morale de droit privé effectuant un traitement doit informer et fournir aux personnes concernées, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes : 

1- son identité et, le cas échéant, celle de son représentant;

2- la ou les finalités du traitement auquel les données sont destinées ;

3- les catégories de données concernées ;

4- le ou les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;

5-le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse ;

6- le fait de pouvoir demander à ne plus figurer sur le fichier ;

7- l’existence d’un droit d’accès aux données la concernant et de rectification de ces données ;

8- la durée de conservation des données ;

9- le cas échéant, l’éventualité de transferts de données à caractère personnel à destination de l’étranger.

Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, les informations visées ci-dessus sont transmises à ladite personne au moment de l’enregistrement des données ou, si leur communication est prévue, au plus tard lors de la première communication.

 

OBLIGATION DE GARANTIR LE DROIT D’OPPOSITION

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement par toute personne physique ou morale de droit privé.

Toute personne physique ou morale de droit privé doit, d’une part, informer la personne concernée avant toute communication à des tiers des données la concernant, notamment à des fins de prospection. 

L’exercice de ce droit est gratuit.

Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document grâce auquel il collecte les données, si elle souhaite exercer le droit d'opposition. 

Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement lui demande, quel que soit le support, si elle souhaite exercer le droit d’opposition.

Les pénalités (Loi n°2008-11 du 25 janvier 2008 sur la cybercriminalité) : 
Article 431-23 Code pénal

 

OBLIGATION DE RECTIFICATION ET DE SUPPRESSION

Toute personne physique ou morale de droit privé effectuant un traitement portant sur les données personnelles doit, à la demande par écrit de toute personne physique justifiant de son identité, rectifier, compléter, mettre à jour, verrouiller ou supprimer les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Si les données ont été transmises à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations à effectuer. 

Lorsque la personne concernée demande par écrit la rectification ou la suppression d’un fichier le concernant, quel que soit le support, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé à la rectification ou à la suppression exigée par le requérant dans un délai d’un (1) mois après l’enregistrement de la demande.

 

OBLIGATION DE CONFIDENTIALITE

Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions.

Le responsable du traitement des données à caractère personnel assure la confidentialité, la disponibilité et l’exactitude des données collectées afin de garantir de manière appropriée la protection des données traitées. 

Pour la réalisation du traitement, le responsable doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle. Un engagement écrit des personnes amenées à traiter de telles données à respecter la présente loi doit être signé. 

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitent en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

 

OBLIGATION DE SECURITE :

Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier, toute mesure visant à : 

- garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence ;

- garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données à caractère personnel peuvent être transmises ;

- garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne ;

- empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données ;

- empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée ;

- empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;

- empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;

- empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée ;

- sauvegarder les données par la constitution de copies de sécurité ;

- rafraîchir et si nécessaire convertir les données pour un stockage pérenne ;

- éviter des erreurs techniques ou la destruction accidentelle ou non autorisée des données à caractère ;

- empêcher la falsification, le vol ou l’utilisation illicite des données à caractère personnel.

 

OBLIGATION DE CONSERVATION

Les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques. 

A l’expiration de la durée de conservation prévue pour un traitement portant sur des données à caractère personnel, lesdites données doivent donc être détruites, effacées, supprimées ou archivées dans les conditions prévues par les textes en vigueur en matière d’archivages des documents administratifs.

 

OBLIGATIONDE DE PERENNITE

Le responsable du traitement est tenu de prendre toute mesure utile pour assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé. Il doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation.

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles