Foire aux questions

Toute entreprise détenant des données à caractère personnel doit :

• s'assurer que les données sont sécurisées (les données personnelles collectées doivent être pseudonymisées et/ou chiffrées),
• réduire la quantité de données conservées,
• collecter seulement les données nécessaires afin d'accomplir ses activités de traitement
• et ne conserver les données qu'aussi longtemps que nécessaire.

La pseudonymisation masque les données en remplaçant les informations identifiantes par des identifiants artificiels.

Bien qu'il soit essentiel de protéger les données – ceci est mentionné à 15 reprises dans le RGPD – et que cela puisse aider à protéger la confidentialité et la sécurité des données personnelles, la pseudonymisation a ses limites, c'est pourquoi le RGPD mentionne également le chiffrage.

Le chiffrage masque également les informations en remplaçant les identifiants. Mais, là où la pseudonymisation permet à toute personne y ayant accès de visualiser une partie des données, le chiffrage ne permet qu'aux utilisateurs autorisés d'accéder à l'ensemble des données.

La pseudonymisation et le chiffrage peuvent être utilisés simultanément ou séparément.

Une demande de consentement doit être présentée de manière claire et concise, en utilisant des termes faciles à comprendre, et se distinguer clairement des autres informations telles que les conditions. La demande doit préciser l'usage qui sera fait de vos données à caractère personnel et comprendre les coordonnées de l'entreprise/organisation qui traite les données. Le consentement doit être donné de manière libre, spécifique, éclairée et univoque. «Éclairée» signifie que vous devez recevoir des informations sur le traitement de vos données à caractère personnel reprenant au moins :

• le nom de l'organisation qui traite les données,
• les finalités pour lesquelles les données sont traitées,
• le type de données qui seront traitées,
• la possibilité de retirer le consentement (par exemple en envoyant un courrier électronique),
• le cas échéant, le fait que les données seront utilisées pour la prise de décisions fondée exclusivement sur un traitement automatisé, y compris le profilage,
• des informations indiquant si le consentement concerne le transfert international de vos données, les risques éventuels liés aux transferts de données vers des pays situés en dehors de l'UE si ces pays ne sont pas soumis à une décision d'adéquation de la Commission et qu'il n'y a pas de garanties appropriées.

Une protection spécifique est prévue pour ce type de données à caractère personnel, car les enfants sont moins conscients des risques et des conséquences du partage de données ainsi que de leurs droits. Toute information qui s'adresse spécifiquement à un enfant devrait être adaptée pour être facilement accessible et rédigée en des termes clairs et simples.

Pour la plupart des services en ligne, le consentement du parent ou du tuteur est requis pour traiter les données à caractère personnel d'un enfant au motif du consentement jusqu'à un certain âge. C'est le cas des sites de socialisation et des plateformes de téléchargement de musique et d'achat de jeux en ligne.

Ce consentement des parents est requis jusqu'à ce que l'enfant atteigne l'âge fixé dans les différents États membres de l'UE, à savoir entre 13 et 16 ans selon les pays (15 ans en France).

Les entreprises doivent fournir des efforts raisonnables, en tenant compte des technologies disponibles, pour vérifier que le consentement donné est véritablement conforme à la législation. Il peut s'agir de la mise en œuvre de mesures de vérification de l'âge (par exemple, grâce à une question à laquelle un enfant moyen ne pourrait pas répondre ou en demandant à l'enfant de fournir l'adresse électronique de l'un de ses parents ou de son tuteur pour obtenir un consentement écrit).

Note : Les services de prévention ou de conseil proposés directement aux enfants ne requièrent pas de consentement parental, car ils visent à protéger au mieux les intérêts de l'enfant.

Vous avez le droit :

• de recevoir des informations sur le traitement de vos données à caractère personnel,
• d'obtenir l'accès aux données à caractère personnel détenues à votre sujet,
• de demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées,
• de demander que les données à caractère personnel soient effacées lorsqu'elles ne sont plus nécessaires ou si leur traitement est illicite,
• de vous opposer au traitement de vos données à caractère personnel à des fins de prospection ou pour des raisons liées à votre situation particulière,
• de demander la limitation du traitement de vos données à caractère personnel dans des cas précis, de recevoir vos données à caractère personnel dans un format lisible par machine et de les envoyer à un autre responsable du traitement («portabilité des données»),
• de demander que les décisions fondées sur un traitement automatisé qui vous concernent ou vous affectent de manière significative et fondées sur vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs. Dans ce cas, vous avez également le droit d'exprimer votre avis et de contester lesdites décisions.

Pour exercer vos droits, vous devez contacter l'entreprise ou l'organisation qui traite vos données à caractère personnel (appelée aussi le « responsable du traitement »). Si l'entreprise/organisation dispose d'un Délégué à la Protection des Données (DPD, ou DPO pour Data Protection Officer), vous pouvez lui adresser votre demande. L'entreprise/organisation doit répondre à votre demande dans les meilleurs délais et au plus tard dans un délai d'un mois. Si l'entreprise /organisation n'a pas l'intention de donner suite à votre demande, elle doit en indiquer le motif. Vous devrez fournir des informations pour confirmer votre identité (par exemple, en cliquant sur un lien de vérification et en saisissant un nom d'utilisateur ou un mot de passe) afin d'exercer vos droits.

Ces droits s'appliquent dans l'ensemble de l'UE, indépendamment de l'endroit où les données sont traitées et de l'endroit où l'entreprise/organisation est établie. Ces droits s'appliquent également lorsque vous achetez des biens et des services auprès d'entreprises qui ne sont pas établies dans l'UE mais qui y opèrent. Avec Mydata Zecible, vous pouvez consulter les données vous concernant, et exercer vos droits relatifs à ces données.

Vous pouvez également nous contacter :

• Par courrier : ZECIBLE © – Service Protection des Données – Boite Postale 90004 – 31370 RIEUMES
• Par Email : confidentialite[@]zecible.fr
• Par Téléphone : +335 61 91 30 40

Une nouvelle loi Informatique et Libertés a été publiée au Journal Officiel le 21 juin 2018 pour régler diverses situations :

• la transposition de la directive européenne dite police justice ;
• l'organisation et le fonctionnement de la CNIL, tout particulièrement s'agissant des éléments de procédure au niveau national,
• les spécificités nationales permises par le Règlement européen en matière de données sensibles (données de santé, données biométriques), de traitements répondant à des missions d'intérêt public (par exemple pour la protection sociale ou la santé publique, pour la recherche publique ou les archives publiques) ou encore pour les situations particulières de traitement (sort des données après la mort, âge de consentement pour un mineur pour l'offre directe de services de la société de l'information, numéro de sécurité sociale, données relatives aux condamnations pénales et aux infractions).

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
• Loi n° 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés
• Directive (UE) 2016/680 du Parlement Européen et du conseil, du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil