Se conformer au RGPD n’est pas une tâche aisée, et les collaborateurs se perdent parfois dans la réglementation et les interdits.
Fort de 5 ans d’expérience dans le domaine de la protection des données personnelles, Datanaos vous propose dans une série d’articles un petit tour des questions les plus fréquemment posées à nos délégués à la protection des données externalisés.
Cet article est le deuxième de la série commencée en février 2024. Votre question ne se trouve pas dans cet article ? Peut-être la trouverez vous dans l’article précédent.
Est-ce que je peux continuer à travailler sur mes fichiers Excel ?
Oui.
Un fichier Excel est un moyen de stockage et de traitement de l’information comme les autres, et il n’est en rien interdit par le RGPD.
Dans le cadre du RGPD, vous avez néanmoins l’obligation de sécuriser les données à caractère personnel que vous traitez.
Attention alors à ne pas réaliser trop de copies de votre fichier, à ne pas le partager à des personnes qui n’en ont pas un besoin fréquent dans le cadre de leurs activités, et à ne pas conserver dedans de données qui ne sont pas directement nécessaire à l’atteinte des objectifs poursuivis par ce fichier.
La CNIL peut-elle me contrôler sans me prévenir ?
La CNIL a publié les méthodes de contrôle à sa disposition, ainsi que le déroulé d’un contrôle.
La règle est que lors d’un contrôle sur place (des agents de la CNIL se déplacent dans vos locaux pour opérer au contrôle), sur convocation (la CNIL vous demande de vous déplacer afin d’être auditionné) ou sur pièces (la CNIL vous demande de répondre à un questionnaire, et de fournir des pièces justificatives), vous êtes prévenus préalablement.
Lorsque la CNIL vous contrôle à distance (accède à des informations que vous avez publié, volontairement ou non, notamment un site Internet par exemple), vous n’êtes informé de la survenance du contrôle que si la CNIL vous demande des explications sur les traitements de données contrôlés en ligne.
Par exception, la CNIL peut demander l’autorisation au Juge des Libertés et de la Détention afin de pouvoir :
- procéder au contrôle sur place même si vous vous y opposez, ou ;
- se présenter à vos locaux, pour un contrôle sur place, sans vous en avoir informé au préalable.
Puis-je utiliser un enregistrement vocal pour prouver le consentement au traitement des données ?
Rencontrée pour la première fois dans le domaine du courtage, cette question nous a ensuite été posée à plusieurs reprises, pour d’autres secteurs d’activités (évènementiel, ressources humaines, …).
Oui, il est possible de demander le consentement de la personne concernée au traitement de ses données lors d’un appel, et de conserver cet enregistrement vocal afin de prouver le consentement.
Attention, il est néanmoins difficile en pratique de récolter le consentement valablement lors d’un échange oral : la personne concernée doit être identifiable, elle doit avoir donné son consentement (oral) à être enregistrée, et avoir été informée correctement (selon les règles du RGPD) des modalités du traitement des données.
Les données professionnelles sont-elles aussi concernées par le RGPD ?
Nous l’entendons souvent, en raison de la distinction communément faite entre les données relatives à la vie privée, et les données relatives à la vie professionnelle d’une personne.
Oui, les données de nature professionnelle, telles que les adresses e-mails utilisées dans le cadre du travail, les informations relatives au contrat de travail, la paie, etc. sont des données à caractère personnel.
Une donnée à caractère personnel est qualifiée de “personnelle” parce-qu’elle permet l’identification d’une personne, ou est rattachée, à une personne. Cette qualification n’a rien à voir avec le statut supposément confidentiel de la donnée, ou son rapport à la vie privée de la personne.
Les données utilisées dans le cadre professionnel, si elles permettent d’identifier un individu, ou sont rattachées à un individu identifiable, sont donc des données personnelles, protégées elles-aussi par le RGPD.
Ceci conclut notre deuxième article sur les questions qui nous sont fréquemment posées. A bientôt pour plus de questions/réponses !
Depuis maintenant 5 ans Datanaos accompagne de nombreuses entreprises, associations et organismes publics dans leur conformité au RGPD. Audits, mise en conformité, formations, délégué à la protection des données externalisé, nous proposons un large éventail de prestations de qualité. N’hésitez pas à nous contacter pour vos projets !