GDPR : FAQ

Sur cette page FAQ, vous trouverez des réponses à de nombreuses de questions relatives au GDPR. Vous avez encore des questions concernant cette nouvelle législation, son application RH au sein de votre entreprise et par Liantis ? N’hésitez pas à vous adresser à votre personne de contact habituelle.

​​​​​​Qu’est-ce que le GDPR ?

Le Règlement Général sur la Protection des Données (GDPR ou General Data Protection Regulation en anglais) est la fameuse législation européenne relative au traitement des données à caractère personnel. Cette législation établit de nombreuses règles concernant l’utilisation des données à caractère personnel, les procédures applicables et la protection de ces données.

Que sont les données à caractère personnel selon le GDPR ?

Par « données à caractère personnel », on entend toute information permettant l’identification d’une personne : nom, adresse, numéro de téléphone, âge, adresse e-mail, photo, numéro de compte bancaire, rapport médical, etc.

Que sont les données sensibles ?

Certaines données à caractère personnel font l’objet d’une protection supplémentaire dans la législation et ne peuvent être traitées et utilisées que dans des circonstances particulières. Il s’agit par exemple de données révélant l’origine raciale ou ethnique, les convictions politiques ou religieuses, ou l’appartenance syndicale.  Les données concernant la santé, la vie et l’orientation sexuelles ou les condamnations pénales appartiennent également à cette catégorie.

A qui le GDPR est-il applicable ?

Tout qui traite des données à caractère personnel est soumis au GDPR. Tous les indépendants et toutes les entreprises relèvent donc de cette législation.

Qu’est-ce que le traitement de données selon le GDPR ?

Presque toute opération impliquant des données est un traitement, comme entre autres la collecte, la structuration, la conservation, la modification, la consultation, la transmission, la diffusion ou l’effacement de données à caractère personnel.

Quels sont les principes les plus importants du GDPR ?

  1. Les entreprises doivent informer les citoyens de manière claire et transparente de la façon dont elles collectent et traitent les données à caractère personnel.
  2. Les entreprises doivent pouvoir éliminer les données à caractère personnel d'une personne si cette même personne le demande, et si aucun argument contraire valable ne peut être avancé - également si les données ont entre-temps été partagées à des tiers.
  3. Les entreprises doivent limiter la collecte, le traitement et la conservation des données à caractère personnel à des fins légitimes et spécifiques.
  4. Les citoyens peuvent transmettre leurs données à caractère personnel plus facilement  d’un prestataire de services à un autre, par exemple pour changer d’opérateur télécom.
  5. Les entreprises sont tenues de communiquer toute fuite des données dans les 72 heures, à moins de pouvoir prouver que la fuite n'entraîne aucun risque pour les données à caractère personnel collectées.

Qu’est-ce qu’un DPD ?

Le DPD ou « délégué à la protection des données » est la personne au sein d’une entreprise qui vérifie que toutes les données sont dûment conservées, utilisées et partagées.

Chaque entreprise doit-elle désigner un DPD ?

La désignation d’un DPD n’est obligatoire que pour les institutions publiques, les entreprises qui exigent une observation à grande échelle pour le traitement de données, et les entreprises qui traitent des données à caractère personnel sensibles. En dehors de ces cas, la désignation d’un DPD n’est pas obligatoire.

Qu’est-ce qu’un registre des activités de traitement ?

Le registre des activités de traitement obligatoire consiste en un aperçu de tous les flux de données, processus de traitement et protections des données à caractère personnel au sein d'une entreprise.

Quelles entreprises doivent tenir un registre des activités de traitement ?

La tenue d’un registre des activités de traitement s’applique aux organisations employant plus de 250 travailleurs ou aux organisations qui, indépendamment du nombre de travailleurs qu’elles emploient, traitent des données avec un risque pour les droits et les libertés des personnes concernées, effectuent des traitements non occasionnels ou traitent des données sensibles. Les autres entreprises ne sont pas soumises à cette obligation, mais doivent toutefois suivre les conseils de la Commission vie privée. Vous trouverez un exemple de registre sur le site de la Commission vie privée.

Quid si les entreprises ne sont pas en règle ?

Les entreprises qui ne respectent pas le RGPD risquent une amende pouvant atteindre au maximum 4 % de leur chiffre d'affaires global, avec un maximum de 20 millions d'euros. La rigueur des contrôles et des éventuelles sanctions de la Commission vie privée sera encore à établir après l’entrée en vigueur du GDPR.

Que fait Liantis dans le cadre du GDPR ?

Liantis vise toujours à protéger au maximum les données à caractère personnel. Suite à l’entrée en vigueur du GDPR, nous prenons évidemment quelques mesures spécifiques supplémentaires afin de répondre à toutes les nouvelles règles. Ces mesures supplémentaires comprennent entre autres la tenue d’un registre des activités de traitement, l’amélioration de la protection des données, la désignation d’un DPD, la garantie des droits des personnes concernées,…

Il n’y a pas de contrat de sous-traitance pour Liantis prévention et bien-être, Liantis risk solutions, Liantis talent services, Liantis guichet d’entreprises ou Liantis caisse d’assurances sociales ?

Non. Ce contrat doit uniquement être conclu si l’une des deux parties est le « responsable du traitement » et si l'autre partie est le « sous-traitant », ce qui signifie en fait que le « sous-traitant » traite les données sur ordre du responsable du traitement et ne détermine pas lui-même comment et pourquoi elles sont traitées.

Liantis prévention et bien-être, Liantis risk solutions, Liantis talent services, Liantis guichet d’entreprises et Liantis caisse d’assurances sociales déterminent quelles données sont nécessaires, comment elles sont traitées et ce qu’il advient des données afin de pouvoir proposer le meilleur service possible. Selon le RGPD, Liantis prévention et bien-être/Liantis risk solutions/Liantis talent services/Liantis guichet d’entreprises/Liantis caisse d’assurances sociales est donc le « responsable du traitement » au lieu du « sous-traitant », si bien qu’aucun contrat de sous-traitance ne doit être conclu.