RGPD

Qu’est-ce que la RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est un règlement de l’Union européenne qui a pour but de renforcer et unifier la protection des données à caractère personnel des citoyens de l’Union européenne.

Quand est entré en vigueur le RGPD ? En application ? Pourquoi une différence ?

Entrée en vigueur : 25 mai 2016.

Entrée en application : 25 mai 2018.

Différence : l’entrée en vigueur est la date à laquelle le règlement acquier sa validité. L’entrée en application est la date à laquelle le règlement est applicable et opposable aux tiers. Cette différence permet aux différentes entités de se préparer à l’application du règlement.

Par principe, le recueil des données « particulières », telles que les données de santé est interdit ?

Vrai, sauf cas particulier.

Les données à caractère personnel doivent être :

Traitées de manière licite, loyale et transparente.
Collectées pour des finalités déterminées, explicites et légitimes.
Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Que sont les cookies ? À quoi servent-ils et ont-ils un impact sur la vie privée ? par quoi son-ils règlementés ?

Ils ont des identifiants ou témoins de connexion.
Ils sont des traitements qui ont un impact sur ma vie privée.
Ils sont régis par la Directive « ePrivacy »et le RGPD.

Quels sont les droits sur les données garantis à leurs propriétaires par le RGPD ?

Droit d’accès.
Droit de rectification.
Droit à l’oubli
Droit à la limitation du traitement
Droit à la portabilité des données.
Droit de s’opposer au traitement.
Droit de ne pas être soumis à une décision individuelle automatisée.

Un transfert de données hors UE est possible ? Si oui, le RGPD s’applique-t-il ? Pourquoi ?

Oui, à condition que le pays respecte les conditions précisées dans le RGPD.

Les données biométriques sont-elles des donnéeés de santé ? Des données sensibles ?

Non, ce ne sont pas des donnéeés de santé. Oui, ce sont des données sensibles.

Les données à caractère personnel doivent être :

Traitées de manière licite, loyale et transparente.
Collectées pour des finalités déterminées, explicites et légitimes
Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Le sous-traitant ne peut pas être une personne physique ?

Faux. Il peut être une personne physique.

Au regard du RGPD, quels sont les manquements dont la sanction pécuniaire maximale est la plus importante ?

Violation de données à caractère personnel.
Non-respect d’une limitation définitive du traitement ordonnée par l’AFA.
Manquements relatifs aux analyses d’impact sur la vie privée

Quels registres doit tenir un sous-traitant ?

Registre des traitements.
Registre des sous-traitants.

L’ACPR est l’autorité de contrôle compétente pour le traitement des données à caractère personnel.

FAUX!! C’est la CNIL !

Auprès de quelle juridiction peut-on déposer un recours pour contester une décision de la CNIL ?

Le Conseil d’État, la plus haute juridiction administrative française.

Les banques, ainsi que les compagnies d’assurance, ont-elles l’obligation de désigner un Data Protection Officer – DPO (Délégué à la protection des données) ?

Oui

Qui peut avoir accès aux données personnelles ?

Les personnes autorisées par le responsable du traitement.
Les personnes concernées

Quelle est la définition du droit à l’effacement ou à l’oubli ?

Le droit à l’effacement ou à l’oubli est le droit de demander à un responsable du traitement de supprimer les données à caractère personnel le concernant, en cas de retrait de consentement ouo si elles ne sont plus utiles au traitement.

Le RGPD s’applique-t-il aux personnes décédées ?

Non.

Le droit de rectification peut être défini comme :

La possibilité de faire rectifier ou compléter les données traitées.

Le droit à la portabilité des données est :

Le droit de recevoir les données à caractère personnel dans un format structuré et de les transmettre à un autre responsable de traitement lorsque les données ont été collectées sur la base du consentement ou de l’exécution d’un contrat.

Le responsable du traitement, ou le sous-traitant, doivent communiquer à la CNIL, autorité de contrôle compétente, les coordonnées du délégué à la protection des données.

Vrai.

Le RGPD a créé le droit à la protection des données personnelles.

Non, le droit à la protection des données personnelles est un droit fondamental garanti par les traités européens et la charte des droits fondamentaux de l’Union européenne.

Comment doit-on informer les personnes concernées de leurs droits ?

Les responsables de traitement et les sous-traitants doivent mettre en place les dispositifs adaptés d’information et de transparence.

Qu’est-ce qu’un consentement « explicite » ?

Attendre qu’une personne active une case à cocher ou qu’elle clique sur un bouton.

Qu’appelle-t-on cybersurveillance des salariés ?

La surveillance des salariés par l’employeur, par le biais de dispositifs informatiques.

Que signifie l’acronyme CNIL ?

Commission nationale de l’informatique et des libertés.

En tant que futur ingénieur, pour quels types de données conseilleriez-vous l’utilisation de la pseudonymisation ?

Les données sensibles
Les données à caractère personnel

Selon vous, les applications mobiles doivent-elles être « RGPD compliant » en matière de traceurs ?

Oui !

La violation du RGPD peut donner des sanctions pénales ?

Non.

Qu’est-ce que La Commission Nationale de l’Informatique et des Libertés (CNIL)

La CNIL est l’autorité de contrôle compétente en matière de protection des données personnelles. C’est une autorité administrative indépendante, chargée de veiller au respect des droits des personnes physiques et à la protection de leurs données personnelles.

-----------------------------------------

Article 32 du RGPD

https://www.privacy-regulation.eu/fr/32.html

Je suis sous-traitant, cmb de registres dois-je tenir ?

Cmb de pays hors-UE on actuellement un niveau de protection des données adéquat ?

12 + 2 ajoutés en 2021 (Suisse/Argentine/Canada/Japon/Nouvelle-Zélande/Jersey/Guernesey/Andorre/Uruguay/Iles Féroé/Ile de Man/Israël)
les deux nouveaux sont Corée du Sud et Royaume-Uni

Cmb de critère le CNIL prend-il en compte pour les sanctions ?

11 (nature, gravité et durée, récidive, degré de coopération, mesures prises pour réduire l'impact, intentionnel ou négligence, manière dont la CNIL a été mise au courant, si la CNIL a déjà eu affaire au responsable, .....)

Montant financier des sanctions du RGPD ?

faute : max(2% chiffre d'affaire annuel mondial, 10 millions €)
faute grave : max(4% chiffre d'affaire annuel mondial, 20 millions €)

Cmd de temps les infos d'un candidat non-retenu en entretien peuvent-elles être conservées ?

max 2 ans

A qui sont destinées les données ?

RH et habilités à recevoir les données RH
collaborateurs
supérieurs hiérarchiques

Peut-on utiliser un badge d'accès pour pointer l'heure d'arrivé des collaborateurs ?

non

Quels sont les 3 principes de validité de la cyber-surveillance au travail ?

finalité du contrôle
proportionnalité du contrôle
transparence du contrôle

Qu'est-ce que le droit à la déconnexion ?

Autorisé à ne pas répondre à des mails tardivement
Autorisé à ne pas répondre à des appels hors temps de travail

L'employeur doit-il respecter le RGPD ?

oui

Les employeurs peuvent-ils contrôler sans prévenir les employés ?

NON, Une charte informatique doit d'ailleurs être à disposition des employés pour qu'ils connaissent les dates de controle.

La durée de conservation des données à caractère personnel s'applique-t-elle aussi aux employeurs ?

oui

Qu'est ce que la jurisprudence sanctionne à propos de l'utilisation de l'informatique ?

Elle sanctionne les abus (ex: 40h par semaine sur TikTok au lieu de faire ton rapport de stage)

Les collaborateurs peuvent-ils être controlé par vidéo-surveillance ?

De manière générale non (condition de proportionnalité de la cyber-surveillance au travail)
exemple dans une banque par exemple : le gens qui trient l'argent n'ont pas besoin d'avoir leur tête de filmée, seul les mains triant l'argent sont filmées
Je suppose que quand on touche à du travail classé secret défense, là la vidéo-surveillance se justifie

Qui fait l'analyse d'impact ?

Le Respo de traitement

Qui tient le registre des activités de traitement ?

Le Respo de traitement ou le sous-traitant (en pratique c'est généralement le DPO qui s'en occupe)

Cmb de types de contrôle la CNIL peut-elle faire ?

4 (Contrôle en ligne, sur audition, sur places ou sur pièces)

C'est quoi la différence entre un DPO et le responsable de traitement ?

reponse 1 : D'après ce que j'ai compris, le responsable c'est la personne pénalement responsable du traitement des données et le DPO c'est plus un conseiller. Le Dpo peut être interne ou externe à l'entreprise qui traite les données, le responsable est forcément interne (ça peut être le chef d'entreprise par ex). DPO et Responsable sont forcément deux personnes différentes.
reponse 2 : Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser. En pratique et en général, il s'agit de la personne morale incarnée par son représentant légal. En gros responsable de traitement c'est l'entreprise qui collecte et traite tes données, le DPO c'est juste le déléguée, un mec qui s'assure que le RGPD est bien respecté et qui est le pond entre l'entreprise et la CNIL pour d'eventuels discussions, questions