{"id":8368,"date":"2018-03-22T17:29:09","date_gmt":"2018-03-22T16:29:09","guid":{"rendered":"https:\/\/fedil.lu\/publications\/protection-des-donnees-mode-demploi\/"},"modified":"2022-11-15T10:18:33","modified_gmt":"2022-11-15T09:18:33","slug":"protection-des-donnees-mode-demploi","status":"publish","type":"publication","link":"https:\/\/fedil.lu\/de\/publications\/protection-des-donnees-mode-demploi\/","title":{"rendered":"Protection des donn\u00e9es &#8211; Mode d\u2019emploi"},"content":{"rendered":"<p style=\"text-align: justify;\"><span style=\"color: #ff0000;\">Veuillez trouver&nbsp;la brochure en version PDF <a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/FE_FEDIL-UNI_BROCH_A5_web.pdf\"><strong>ICI<\/strong><\/a>.<\/span><\/p>\n<h1 style=\"text-align: justify;\">Introduction<\/h1>\n<p style=\"text-align: justify;\"><em><strong>Le RGPD<\/strong><strong>, <\/strong><strong>c\u2019est quoi ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Le RGPD vise \u00e0 renforcer les droits des personnes physiques \u00e0 l\u2019\u00e9gard du traitement de leurs donn\u00e9es \u00e0 caract\u00e8re personnel. Pour ce faire, les entreprises se trouvent soumises \u00e0 un ensemble d\u2019obligations renforc\u00e9es voire nouvelles, afin de garantir une l\u00e9gitimit\u00e9 du traitement. Le RGPD concerne uniquement les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n<p style=\"text-align: justify;\"><strong>25 mai 2018 :&nbsp;<\/strong><strong>Date d\u2019entr\u00e9e en application<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>QU\u2019EST-CE QU\u2019UN TRAITEMENT ?<\/strong><\/p>\n<p style=\"text-align: justify;\">Toute op\u00e9ration ou tout ensemble d\u2019op\u00e9rations effectu\u00e9es ou non \u00e0 l\u2019aide de proc\u00e9d\u00e9s automatis\u00e9s et appliqu\u00e9es \u00e0 des donn\u00e9es ou des ensembles de donn\u00e9es \u00e0 caract\u00e8re personnel, telles que la collecte, l\u2019enregistrement, l\u2019organisation, la structuration, la conservation, l\u2019adaptation ou la modification, l\u2019extraction, la consultation, l\u2019utilisation, la communication par transmission, la diffusion ou toute autre forme de mise \u00e0 disposition, le rapprochement ou l\u2019interconnexion, la limitation, l\u2019effacement ou la destruction (article 4 RGPD).<\/p>\n<p style=\"text-align: justify;\"><strong>QU\u2019EST-CE QU\u2019UNE DONN\u00c9E \u00c0 CARACT\u00c8RE PERSONNEL ?<\/strong><\/p>\n<p style=\"text-align: justify;\">Toute information se rapportant \u00e0 une personne physique identifi\u00e9e ou&nbsp; identifiable : est r\u00e9put\u00e9e \u00eatre une \u00ab personne physique identifiable \u00bb une personne physique qui peut \u00eatre identifi\u00e9e, directement ou indirectement, notamment par r\u00e9f\u00e9rence \u00e0 un identifiant, tel qu\u2019un nom, un num\u00e9ro d\u2019identification, des donn\u00e9es de localisation, un identifiant en ligne, ou \u00e0 un ou plusieurs \u00e9l\u00e9ments sp\u00e9cifiques propres \u00e0 son identit\u00e9 physique, physiologique, g\u00e9n\u00e9tique, psychique, \u00e9conomique, culturelle ou sociale (article 4 RGPD).<\/p>\n<p style=\"text-align: justify;\">Comme exemple on pourrait citer le nom, le pr\u00e9nom, le lieu de naissance, la date de naissance, l\u2019adresse e-mail (professionnelle et personnelle), une photo, une vid\u00e9o, les donn\u00e9es de localisation, les coordonn\u00e9es bancaires, l\u2019adresse IP, la plaque d\u2019immatriculation d\u2019une voiture, etc.. Uniquement les personnes physiques sont vis\u00e9es, sont donc exclues les donn\u00e9es des soci\u00e9t\u00e9s et g\u00e9n\u00e9ralement des personnes morales.<\/p>\n<p style=\"text-align: justify;\"><strong>O\u00d9 TROUVER LE R\u00c8GLEMENT ?<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong><a href=\"http:\/\/eur-lex.europa.eu\/legal-content\/FR\/TXT\/PDF\/?uri=CELEX:32016R0679&amp;from=FR\">ICI<\/a><\/strong><\/p>\n<p style=\"text-align: justify;\">Il est important de ne pas attendre la derni\u00e8re minute : il faut \u00eatre en conformit\u00e9 pour le 25 mai 2018.<\/p>\n<p style=\"text-align: justify;\"><strong>POURQUOI CE GUIDE ? <\/strong><\/p>\n<p style=\"text-align: justify;\"><em><strong>Ce guide a un triple objectif :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>vous aider \u00e0 y voir plus clair dans l\u2019impl\u00e9mentation de ce r\u00e8glement et de la nouvelle discipline qu\u2019il impose ;<\/li>\n<li>proposer les actions concr\u00e8tes \u00e0 entreprendre pour vous mettre en conformit\u00e9 ;<\/li>\n<li>b\u00e9n\u00e9ficier du support de la FEDIL dans le domaine.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Le r\u00e8glement s\u2019applique :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>au traitement des donn\u00e9es \u00e0 caract\u00e8re personnel effectu\u00e9 dans le cadre des activit\u00e9s d\u2019un responsable du traitement ou d\u2019un sous-traitant sur le territoire de l\u2019Union, que le traitement ait lieu ou non dans l\u2019Union ;<\/li>\n<li>au traitement des donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 des personnes concern\u00e9es qui se trouvent sur le territoire de l\u2019Union par un responsable du traitement ou un sous-traitant qui n\u2019est pas \u00e9tabli dans l\u2019Union.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Le RGPD concerne :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>les responsables du traitement ;<\/li>\n<li>les sous-traitants.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Il est tout \u00e0 fait possible d\u2019\u00eatre tour \u00e0 tour responsable du traitement et sous-traitant, les deux peuvent coexister dans la m\u00eame entit\u00e9.<\/p>\n<p style=\"text-align: justify;\">La conformit\u00e9 avec le RGPD vous permettra d\u2019accro\u00eetre la confiance de vos clients et des prospects dans l\u2019entreprise lorsqu\u2019ils vous confient leurs donn\u00e9es personnelles.<\/p>\n<p style=\"text-align: justify;\"><strong>PAR O\u00d9 COMMENCER ?<\/strong><\/p>\n<p style=\"text-align: justify;\">Avant de commencer \u00e0 suivre les prescriptions de ce guide, il est fortement recommand\u00e9 de d\u00e9signer un r\u00e9f\u00e9rant, une personne en charge du dossier, qui puisse coordonner la mise en place du RGPD mais \u00e9galement devenir un r\u00e9f\u00e9rent en la mati\u00e8re au sein de l\u2019entreprise.<\/p>\n<h1 style=\"text-align: justify;\">Le DPO &#8211; Data Protection Officer \/ D\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es<\/h1>\n<p style=\"text-align: justify;\">Comme indiqu\u00e9 ci-dessus, il est vivement recommand\u00e9 d\u2019avoir une personne assign\u00e9e dans l\u2019entreprise \u2013 au besoin \u00e0 c\u00f4t\u00e9 de ses autres fonctions \u2013 \u00e0 la protection des donn\u00e9es. \u00c9tant donn\u00e9 que cette mati\u00e8re est appel\u00e9e \u00e0 se complexifier, la d\u00e9signation d\u2019un responsable des donn\u00e9es devient un \u00e9l\u00e9ment indispensable pour la compr\u00e9hension du r\u00e8glement et des obligations en d\u00e9coulant. Ce dernier sera \u00e9galement la personne de contact la mieux \u00e0 m\u00eame de dialoguer avec les autorit\u00e9s et ainsi r\u00e9duire les risques de sanctions.<\/p>\n<p style=\"text-align: justify;\">Toutefois, en dehors d\u2019un choix tout \u00e0 fait volontaire, les entreprises (\u00e0 l\u2019instar des autorit\u00e9s publiques) DOIVENT obligatoirement nommer un DPO si l\u2019activit\u00e9 principale consiste :<\/p>\n<ul style=\"text-align: justify;\">\n<li>en des op\u00e9rations de traitement exigeant un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle des personnes concern\u00e9es ;<\/li>\n<li>en un traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es ;<\/li>\n<li>en un traitement \u00e0 grande \u00e9chelle de donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales ou infractions.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Ce DPO peut \u00eatre commun \u00e0 plusieurs entit\u00e9s, il peut \u00eatre externe, travailler \u00e0 temps partiel et pour plusieurs entreprises. Or, le r\u00f4le de DPO ne peut en aucun cas \u00eatre assum\u00e9 par le chef d\u2019entreprise ou par toute autre personne occupant un poste qui permet de d\u00e9terminer les moyens et les finalit\u00e9s du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel (par exemple le chef des finances, le chef de l\u2019exploitation, le responsable du d\u00e9partement marketing, le responsable des ressources humaines, le responsable du d\u00e9partement informatique, etc.). Les d\u00e9l\u00e9gu\u00e9s peuvent ainsi exercer d\u2019autres missions et t\u00e2ches pour autant que celles-ci ne conduisent pas \u00e0 un conflit d\u2019int\u00e9r\u00eat.<\/p>\n<p style=\"text-align: justify;\">Le DPO aura une mission de conseil et d\u2019accompagnement. Il devra :<\/p>\n<ul style=\"text-align: justify;\">\n<li>contr\u00f4ler la conformit\u00e9 de l\u2019entreprise au RGPD mais aussi toute autre r\u00e8glementation pertinente ;<\/li>\n<li>informer sur le contenu des obligations en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel ;<\/li>\n<li>\u00eatre le point de contact de l\u2019autorit\u00e9 de contr\u00f4le.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Il convient ici de mentionner qu\u2019il appartient toujours au responsable du traitement de s\u2019assurer qu\u2019un registre des activit\u00e9s de traitement existe et est tenu \u00e0 jour. On pourrait donc tr\u00e8s bien imaginer que le DPO v\u00e9rifie uniquement ledit registre qui est g\u00e9r\u00e9 par quelqu\u2019un d\u2019autre. Il est aussi indispensable \u00e0 relever que le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es ne peut en principe pas \u00eatre licenci\u00e9 en raison d\u2019une violation des donn\u00e9es \u00e0 caract\u00e8re personnel par le responsable du traitement. Il b\u00e9n\u00e9ficie donc d\u2019une certaine protection.<\/p>\n<p style=\"text-align: justify;\">Id\u00e9alement, ce dernier aura une formation juridique ou du moins sera \u00e0 m\u00eame de comprendre des textes l\u00e9gaux et r\u00e8glementaires parfois complexes et aura une bonne vision de la structure de l\u2019entreprise et de ses activit\u00e9s. Dans le cas d\u2019une autorit\u00e9 publique ou d\u2019un organisme public, le DPO devrait \u00e9galement avoir une bonne connaissance des r\u00e8gles et proc\u00e9dures administratives de l\u2019organisme, mais tout en sachant qu\u2019il n\u2019existe aucune qualification professionnelle obligatoire au sens strict du terme.<\/p>\n<p style=\"text-align: justify;\">Les lignes directrices du Groupe de travail \u00ab Article 29 \u00bb (qui sera remplac\u00e9 \u00e0 partir du 25 mai 2018 par le Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es) clarifient et illustrent d\u2019exemples concrets le nouveau cadre juridique issu du RGPD. Il s\u2019agit d\u2019un organe consultatif europ\u00e9en ind\u00e9pendant traitant des questions li\u00e9es \u00e0 la protection des donn\u00e9es et au respect de la vie priv\u00e9e.<\/p>\n<p style=\"text-align: justify;\">Le texte en entier sur le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es peut \u00eatre consult\u00e9 sur le site de la Commission Nationale pour la Protection des Donn\u00e9es, en abr\u00e9g\u00e9 CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<h1 style=\"text-align: justify;\">Grands principes du RGPD<\/h1>\n<h2 style=\"text-align: justify;\">1. Quelles sont mes obligations en tant qu&#8217;entreprise ?<\/h2>\n<p style=\"text-align: justify;\">Pour \u00eatre en conformit\u00e9 avec mes obligations l\u00e9gales, JE DOIS traiter les donn\u00e9es :<\/p>\n<ul style=\"text-align: justify;\">\n<li>de mani\u00e8re licite, loyale et transparente ;<\/li>\n<li>pour des finalit\u00e9s d\u00e9termin\u00e9es, explicites et l\u00e9gitimes ;<\/li>\n<li>de mani\u00e8re ad\u00e9quate, pertinente et limit\u00e9e \u00e0 ce qui est n\u00e9cessaire ;<\/li>\n<li>de mani\u00e8re exacte et tenue \u00e0 jour ;<\/li>\n<li>de mani\u00e8re temporaire et uniquement pour le d\u00e9lai n\u00e9cessaire \u00e0 leur traitement et suivant leur finalit\u00e9 ;<\/li>\n<li>avec un niveau de s\u00e9curit\u00e9 appropri\u00e9.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">La lic\u00e9it\u00e9 du traitement n\u2019est donn\u00e9e que si certaines conditions sont remplies comme, par exemple, avoir recueilli le consentement de la personne concern\u00e9e avant tout traitement, ou pouvoir justifier que le traitement est n\u00e9cessaire \u00e0 l\u2019ex\u00e9cution d\u2019un contrat, etc..<\/p>\n<p style=\"text-align: justify;\">Une ligne directrice sur la transparence sous le RGPD a \u00e9t\u00e9 \u00e9labor\u00e9e par le Groupe de travail \u00ab Article 29 \u00bb. Cette ligne directrice est susceptible de modifications et n\u2019est pas encore adopt\u00e9e ! La version finale sera disponible sur le site de la CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<p style=\"text-align: justify;\"><em><strong>Et JE DOIS pouvoir d\u00e9montrer la conformit\u00e9 de mes activit\u00e9s de traitement avec le r\u00e8glement :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>en tenant un registre des activit\u00e9s de traitement lorsque cela est n\u00e9cessaire ;<\/li>\n<li>en ne traitant que les donn\u00e9es personnelles a minima pour le traitement envisag\u00e9 ;<\/li>\n<li>en r\u00e9digeant, en des termes clairs, une note d\u2019information (\u00ab Privacy notice \u00bb) sur la mani\u00e8re dont sont collect\u00e9es et utilis\u00e9es les donn\u00e9es personnelles ;<\/li>\n<li>en sensibilisant et en accompagnant mon personnel dans ses nouvelles obligations ;<\/li>\n<li>en effectuant une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es pour identifier les risques pour les droits et les libert\u00e9s des personnes concern\u00e9es et surtout, afin de me permettre d\u2019y apporter des solutions (humaines, informatiques, etc.) ;<\/li>\n<li>en mettant en place des proc\u00e9dures &#8211; techniques et organisationnelles efficaces &#8211; pour assurer le respect des dispositions l\u00e9gales et r\u00e9glementaires et \u00e9galement en cas de faille.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS d\u00e9finir si j\u2019agis en tant que :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>responsable du traitement ou<\/li>\n<li>sous-traitant, sachant que suivant les donn\u00e9es trait\u00e9es, je peux \u00eatre les deux \u00e0 la fois.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Par exemple : je suis responsable du traitement en tant qu\u2019employeur mais je peux \u00eatre sous-traitant si je g\u00e8re des donn\u00e9es pour le compte d\u2019un client.<\/p>\n<p style=\"text-align: justify;\"><em><strong>En tant que responsable du traitement*, JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>examiner toutes mes activit\u00e9s de traitement de donn\u00e9es et les consigner dans un registre des activit\u00e9s de traitement quand cela est obligatoire (ou base volontaire) ;<\/li>\n<li>m\u2019assurer que j\u2019ai mis en oeuvre des mesures techniques et organisationnelles appropri\u00e9es pour assurer la s\u00e9curit\u00e9 n\u00e9cessaire des donn\u00e9es \u00e0 caract\u00e8re personnel trait\u00e9es dans mon entreprise ;<\/li>\n<li>respecter le principe de responsabilisation et coop\u00e9rer avec la CNPD ;<\/li>\n<li>m\u2019assurer que je dispose de proc\u00e9dures et de mod\u00e8les appropri\u00e9s pour surveiller, identifier, examiner et signaler rapidement des violations de donn\u00e9es \u00e0 la CNPD.<em>*Le responsable du traitement d\u00e9termine les finalit\u00e9s et les moyens du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/em><\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>En tant que sous-traitant*, JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>examiner mes contrats existants et pouvoir garantir et assurer la s\u00e9curit\u00e9 et la confidentialit\u00e9 ad\u00e9quates des donn\u00e9es personnelles confi\u00e9es ;<\/li>\n<li>traiter uniquement les donn\u00e9es conform\u00e9ment aux instructions du responsable du traitement ;<\/li>\n<li>m\u2019assurer que je dispose de proc\u00e9dures et de mod\u00e8les appropri\u00e9s pour surveiller, identifier, examiner et signaler rapidement les violations de donn\u00e9es au responsable du traitement concern\u00e9 ;<\/li>\n<li>obtenir l\u2019accord du responsable du traitement pour d\u00e9signer des sous-sous-traitants.<br \/>\n<em>*Le sous-traitant agit pour le compte et sous les directives d\u2019un responsable du traitement.<\/em><\/li>\n<\/ul>\n<h2 style=\"text-align: justify;\">2. Quelles sont mes responsabilit\u00e9s ?<\/h2>\n<p style=\"text-align: justify;\">Le RGPD change le paradigme habituel : il n\u2019y a plus de demande pr\u00e9alable \u00e0 effectuer aupr\u00e8s de la CNPD, mais cette derni\u00e8re contr\u00f4lera a posteriori des traitements op\u00e9r\u00e9s. En cas de non-respect des dispositions l\u00e9gales, je m\u2019expose \u00e0 des amendes pouvant aller jusqu\u2019\u00e0 4 % du chiffre d\u2019affaires annuel mondial de l\u2019exercice pr\u00e9c\u00e9dent ou 20 millions d\u2019euros.<\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>rester pragmatique et g\u00e9rer les priorit\u00e9s, c\u2019est-\u00e0-dire identifier les risques les plus \u00e9lev\u00e9s compte tenu de la sensibilit\u00e9 des informations ou d\u2019une protection insuffisante des donn\u00e9es, etc. ;<\/li>\n<li>mettre en oeuvre des mesures proportionn\u00e9es au type de donn\u00e9es trait\u00e9es et \u00e0 la finalit\u00e9 du traitement ;<\/li>\n<li>d\u00e9montrer avoir rempli mes obligations afin de voir ma responsabilit\u00e9 minor\u00e9e voire exclue.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Une ligne directrice sur l\u2019application et la fixation des amendes administratives sous le RGPD a \u00e9t\u00e9 adopt\u00e9e par le Groupe de travail \u00ab Article 29 \u00bb et peut \u00eatre consult\u00e9e sur le site de la CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<h1 style=\"text-align: justify;\">L&#8217;application en entreprise :&nbsp; Le chemin vers la conformit\u00e9<\/h1>\n<h2 style=\"text-align: justify;\">1. Cartographie des donn\u00e9es personnelles d\u00e9tenues par l&#8217;entreprise : O\u00f9 sont mes donn\u00e9es personnelles?<\/h2>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>Identifier quels traitements de donn\u00e9es contiennent des donn\u00e9es personnelles.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Est-ce que je traite des donn\u00e9es personnelles ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">G\u00e9n\u00e9ralement, toutes les entreprises traitent des donn\u00e9es personnelles, ne serait-ce que celles de leurs salari\u00e9s.<\/p>\n<p style=\"text-align: justify;\">Dans le cadre de cette identification des donn\u00e9es personnelles, il convient de faire attention \u00e0 une pseudonymisation non effective, o\u00f9 il serait facile de retrouver le titulaire des donn\u00e9es par \u00ab croisement \u00bb.<\/p>\n<p style=\"text-align: justify;\">Le r\u00e8glement d\u00e9finit la \u00ab pseudonymisation \u00bb dans l\u2019article 4 comme le \u00ab le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel de telle fa\u00e7on que celles-ci ne puissent plus \u00eatre attribu\u00e9es \u00e0 une personne concern\u00e9e pr\u00e9cise sans avoir recours \u00e0 des informations suppl\u00e9mentaires, pour autant que ces informations suppl\u00e9mentaires soient conserv\u00e9es s\u00e9par\u00e9ment et soumises \u00e0 des mesures techniques et organisationnelles afin de garantir que les donn\u00e9es \u00e0 caract\u00e8re personnel ne sont pas attribu\u00e9es \u00e0 une personne physique identifi\u00e9e ou identifiable. \u00bb.<\/p>\n<p style=\"text-align: justify;\">Ainsi, les donn\u00e9es simplement pseudonymis\u00e9es doivent \u00eatre consid\u00e9r\u00e9es comme des donn\u00e9es \u00e0 caract\u00e8re personnel soumises au r\u00e8glement si elles peuvent \u00eatre attribu\u00e9es \u00e0 une personne physique identifi\u00e9e, consid\u00e9ration faite de l\u2019ensemble des moyens raisonnablement susceptibles d\u2019\u00eatre utilis\u00e9s pour une telle identification.<\/p>\n<p style=\"text-align: justify;\"><em><strong>O\u00f9 se trouvent les donn\u00e9es personnelles que l\u2019entreprise d\u00e9tient ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>avoir un aper\u00e7u clair des donn\u00e9es dont je dispose et o\u00f9 elles se trouvent ;<\/li>\n<li>recenser ces donn\u00e9es et les consigner afin de les rattacher \u00e0 un traitement.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>UN EFFORT DE RECHERCHE :<\/strong><\/p>\n<p style=\"text-align: justify;\">Deux approches peuvent \u00eatre combin\u00e9es pour plus d\u2019efficacit\u00e9 : approche \u00ab bottom up \u00bb (ou ascendante) et\/ou \u00ab top down \u00bb (descendante).<\/p>\n<p style=\"text-align: justify;\"><strong>A. APPROCHE DESCENDANTE :<\/strong><\/p>\n<p style=\"text-align: justify;\">Je regarde la structure de mon entreprise, ses d\u00e9partements, ses sous-d\u00e9partements et quelles sont les donn\u00e9es personnelles trait\u00e9es par ces d\u00e9partements.<\/p>\n<p style=\"text-align: justify;\">Je vais \u00e0 la rencontre des personnes clefs pour appr\u00e9hender au mieux les donn\u00e9es personnelles et leur gestion.<\/p>\n<ul style=\"text-align: justify;\">\n<li>l\u2019organigramme de la soci\u00e9t\u00e9 permet d\u2019identifier des personnes clefs et de discerner le contour des grandes cat\u00e9gories de traitement ;<\/li>\n<li>le support du management est indispensable. Les enjeux doivent \u00eatre compris par le chef d\u2019entreprise et les managers afin que les ressources n\u00e9cessaires \u00e0 la bonne ex\u00e9cution du processus soient mises \u00e0 disposition.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>B. APPROCHE ASCENDANTE :<\/strong><\/p>\n<p style=\"text-align: justify;\">La structure du r\u00e9seau informatique, la base de donn\u00e9es ainsi que son arborescence sont g\u00e9n\u00e9ralement de bons indicateurs.<\/p>\n<p style=\"text-align: justify;\">Je demande \u00e0 mon fournisseur informatique de m\u2019aider \u00e0 \u00e9tablir l\u2019arborescence des traitements op\u00e9r\u00e9s au sein de mon entreprise afin de d\u00e9finir o\u00f9 les donn\u00e9es sont stock\u00e9es pour constituer une cartographie pr\u00e9cise.<\/p>\n<p style=\"text-align: justify;\">Cela permet de cibler des donn\u00e9es moins usit\u00e9es ou auxquelles personne n\u2019avait pens\u00e9. Les deux approches doivent \u00eatre compl\u00e9mentaires et ainsi couvrir toutes les donn\u00e9es d\u00e9tenues par mon entreprise ainsi que tous les traitements y relatifs.<\/p>\n<p style=\"text-align: justify;\"><strong>UN EFFORT DE CLASSEMENT :<\/strong><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>avoir une vision claire des donn\u00e9es personnelles pr\u00e9sentes dans mon entreprise ;<\/li>\n<li>classer les donn\u00e9es \u00ab flottantes \u00bb ou non assign\u00e9es.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Beaucoup de donn\u00e9es et notamment personnelles, ne sont pas \u00ab class\u00e9es \u00bb ou ne sont pas li\u00e9es \u00e0 un traitement d\u00e9termin\u00e9. Il convient, d\u00e8s lors, de les classer, respectivement de les rattacher \u00e0 un traitement, mais en gardant \u00e0 l\u2019esprit que le RGPD ne s\u2019applique uniquement aux donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n<p style=\"text-align: justify;\"><em>Exemples : cartes de visite, liste des enfants des salari\u00e9s, etc..<\/em><\/p>\n<p style=\"text-align: justify;\">Si je ne sais pas affecter ces donn\u00e9es, alors je dois me demander si ces derni\u00e8res sont toujours utiles et s\u2019il convient de les conserver. Cet audit ne permet pas seulement de conna\u00eetre les donn\u00e9es personnelles pr\u00e9sentes dans votre entreprise, il vous permettra de jeter les bases de l\u2019\u00e9laboration d\u2019un registre des activit\u00e9s de traitement (si n\u00e9cessaire). D\u00e8s lors, il est important de faire cet exercice consciencieusement pour \u00e9laborer non seulement ledit registre, en identifiant les donn\u00e9es trait\u00e9es, leurs finalit\u00e9s et la dur\u00e9e d\u2019utilisation n\u00e9cessaire au traitement, mais aussi pour apporter des r\u00e9ponses aux dysfonctionnements \u00e9ventuellement constat\u00e9s comme par exemple l\u2019oubli qu\u2019on traite une certaine cat\u00e9gorie de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n<p style=\"text-align: justify;\">Le r\u00e9sultat est un catalogue des donn\u00e9es personnelles trait\u00e9es :<\/p>\n<ul style=\"text-align: justify;\">\n<li>elles sont identifi\u00e9es ;<\/li>\n<li>elles sont class\u00e9es ;<\/li>\n<li>elles sont assign\u00e9es \u00e0 un traitement.<\/li>\n<\/ul>\n<h2 style=\"text-align: justify;\">2. Pourquoi ai-je ces donn\u00e9es personnelles ?<\/h2>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>assigner les donn\u00e9es \u00e0 un traitement d\u00e9termin\u00e9 ;<\/li>\n<li>savoir pr\u00e9cis\u00e9ment pourquoi je collecte les donn\u00e9es (exemple :&nbsp; fichier de prospects) ;<\/li>\n<li>savoir pr\u00e9cis\u00e9ment pourquoi je les traite (exemple : en vue d\u2019un d\u00e9marchage commercial cibl\u00e9) ;<\/li>\n<li>supprimer toutes les donn\u00e9es devenues obsol\u00e8tes ;<\/li>\n<li>m\u2019assurer que je ne conserve que des donn\u00e9es strictement n\u00e9cessaires \u00e0 la poursuite de mes objectifs.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Il faut distinguer les donn\u00e9es personnelles externes (exemples : clients, fournisseurs, prospects) et les donn\u00e9es personnelles internes (exemple : salari\u00e9s de l\u2019entreprise).<\/p>\n<p style=\"text-align: justify;\">Je pourrai ainsi d\u00e9terminer si j\u2019agis comme responsable du traitement ou sous-traitant, \u00e9l\u00e9ment fondamental dans la d\u00e9termination du contour de mes obligations.<\/p>\n<p style=\"text-align: justify;\"><em>Exemples : gestion des clients, gestion d\u2019acc\u00e8s, recrutement et gestion du personnel, \u00e9v\u00e9nementiel, etc..<\/em><\/p>\n<p style=\"text-align: justify;\">Le recensement des donn\u00e9es et leur affectation \u00e0 un traitement permet d\u00e8s lors :<\/p>\n<ul style=\"text-align: justify;\">\n<li>de supprimer toutes les donn\u00e9es \u00e0 caract\u00e8re personnel devenues obsol\u00e8tes ou inutiles et de ne conserver que l\u2019utile et le n\u00e9cessaire ;<\/li>\n<li>de d\u00e9finir le juste niveau de confidentialit\u00e9 et d\u2019acc\u00e8s alors que toutes les donn\u00e9es n\u2019ont pas \u00e0 \u00eatre connues de toute l\u2019organisation.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Combien de temps dois-je garder des donn\u00e9es et \u00e0 quel moment les effacer ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>pr\u00e9voir une dur\u00e9e de conservation des donn\u00e9es personnelles pour chaque cat\u00e9gorie de traitement ;<\/li>\n<li>renseigner cette dur\u00e9e dans le registre des activit\u00e9s de traitement (quand ce dernier est obligatoire) et la communiquer \u00e0 la personne concern\u00e9e ;<\/li>\n<li>pouvoir justifier les objectifs et finalit\u00e9s de la dur\u00e9e de cette conservation.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">\u00ab L\u2019accumulation \u00bb de donn\u00e9es personnelles est proscrite par le r\u00e8glement. Par cons\u00e9quent, il est important, au moyen de l\u2019analyse pr\u00e9c\u00e9demment op\u00e9r\u00e9e, de les g\u00e9rer de mani\u00e8re ad\u00e9quate mais surtout de les effacer lorsqu\u2019elles sont obsol\u00e8tes ou lorsque le traitement pour lequel<br \/>\nelles ont \u00e9t\u00e9 recueillies est termin\u00e9.<\/p>\n<p style=\"text-align: justify;\">Cela ne veut pas dire que toutes les donn\u00e9es doivent \u00eatre effac\u00e9es sit\u00f4t qu\u2019un projet\/traitement s\u2019arr\u00eate, mais leur quantit\u00e9 doit \u00eatre r\u00e9duite au strict minimum, si possible anonymis\u00e9es et leur acc\u00e8s doit \u00eatre limit\u00e9.<\/p>\n<p style=\"text-align: justify;\">G\u00e9n\u00e9ralement, les dur\u00e9es de prescription sont un bon indicateur, sauf si on peut justifier une dur\u00e9e de conservation plus longue.<\/p>\n<p style=\"text-align: justify;\">L\u2019anonymisation concerne des informations ne pouvant pas \u00eatre rattach\u00e9es \u00e0 une personne identifi\u00e9e. Ainsi, les donn\u00e9es \u00e0 caract\u00e8re personnel rendues anonymes font que la personne concern\u00e9e ne soit pas ou plus identifiable.<\/p>\n<p style=\"text-align: justify;\">Pour d\u00e9terminer si une personne physique est identifiable, le RGPD pr\u00e9cise qu\u2019il convient de \u00ab prendre en consid\u00e9ration l\u2019ensemble des moyens raisonnablement susceptibles d\u2019\u00eatre utilis\u00e9s par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour \u00e9tablir si des moyens sont raisonnablement susceptibles d\u2019\u00eatre utilis\u00e9s pour identifier une personne physique, il convient de prendre en consid\u00e9ration l\u2019ensemble des facteurs objectifs, tels que le co\u00fbt de l\u2019identification et le temps n\u00e9cessaire \u00e0 celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l\u2019\u00e9volution de celles-ci. \u00bb.<\/p>\n<p style=\"text-align: justify;\">Lorsque la personne physique n\u2019est pas identifiable, le r\u00e8glement ne s\u2019applique pas.<\/p>\n<h2 style=\"text-align: justify;\">3. Quels sont mes flux de donn\u00e9es ?<\/h2>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>absolument conna\u00eetre mes flux de donn\u00e9es : savoir d\u2019o\u00f9 elles proviennent et o\u00f9 elles vont.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>1. D\u2019O\u00d9 PROVIENNENT MES DONN\u00c9ES ?<\/strong><\/p>\n<p style=\"text-align: justify;\"><em><strong>Sont-elles import\u00e9es ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Est-ce que je vais moi-m\u00eame rechercher des donn\u00e9es personnelles et est-ce que je proc\u00e8de \u00e0 leur traitement : r\u00e9seaux sociaux, enregistrement de donn\u00e9es de mails, recherches sp\u00e9cifiques, \u2026 ?<\/p>\n<p style=\"text-align: justify;\"><em>Exemple : un recruteur cherchant des profils de candidats int\u00e9ressants sur les r\u00e9seaux sociaux.<\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>Sont-elles fournies ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Ces donn\u00e9es sont-elles volontairement fournies ?<\/p>\n<p style=\"text-align: justify;\"><em>Exemples : CV, formulaire d\u2019adh\u00e9sion, etc..<\/em><\/p>\n<p style=\"text-align: justify;\">Cette question est \u00e9galement importante pour la recherche du&nbsp; consentement et d\u00e9terminera par la suite le droit \u00e0 l\u2019information des personnes concern\u00e9es.<\/p>\n<p style=\"text-align: justify;\"><strong>2. O\u00d9 VONT MES DONN\u00c9ES ?<\/strong><\/p>\n<p style=\"text-align: justify;\"><em><strong>O\u00f9 sont-elles susceptibles d\u2019\u00eatre export\u00e9es\/transf\u00e9r\u00e9es ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>savoir exactement \u00e0 qui mes donn\u00e9es sont susceptibles d\u2019\u00eatre transf\u00e9r\u00e9es.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Par exemple, un recruteur transf\u00e8rera des donn\u00e9es personnelles de candidats (CV) \u00e0 des soci\u00e9t\u00e9s clientes ou pouvant le devenir. Dans le cadre d\u2019un fichier client, ce dernier peut servir \u00e0 plusieurs entit\u00e9s du groupe et sera donc transf\u00e9r\u00e9 entre diff\u00e9rentes entit\u00e9s.<\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>savoir exactement dans quels pays seront transf\u00e9r\u00e9es mes donn\u00e9es, car des r\u00e8gles diff\u00e9rentes peuvent s\u2019appliquer ;<\/li>\n<li>choisir des prestataires informatiques pouvant garantir le niveau de protection exig\u00e9 par le RGPD.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Que dois-je faire si je transf\u00e8re mes donn\u00e9es hors de l\u2019UE ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>v\u00e9rifier si le pays hors UE poss\u00e8de un niveau de protection \u00e9quivalent \u00e0 celui de l\u2019Union europ\u00e9enne en mati\u00e8re de protection des donn\u00e9es (pays list\u00e9s ci-dessous) ;<\/li>\n<li>si le pays hors UE ne poss\u00e8de un niveau de protection ad\u00e9quat, entourer le transfert de garanties appropri\u00e9es (clauses contractuelles types, r\u00e8gles contraignantes d\u2019entreprises (BCR), codes de conduite ou certifications) ou, \u00e0 d\u00e9faut, recourir aux d\u00e9rogations de l\u2019article 49 du RGPD (parmi lesquelles le consentement explicite et inform\u00e9 de la personne concern\u00e9e).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Un graphique tr\u00e8s int\u00e9ressant peut \u00eatre consult\u00e9 sur la page 11 de <strong><a href=\"http:\/\/www.feb.be\/globalassets\/publicaties\/data-protection\/feb_dataprotection_brochure_03_fr_web-pdf.pdf\">ce document<\/a><\/strong>.<\/p>\n<p style=\"text-align: justify;\">\u00c0 ce stade, on pourrait \u00e9galement s\u2019inspirer du mod\u00e8le \u00e0 minima d\u2019information des destinataires des donn\u00e9es \u00e9tabli par la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL), homologue fran\u00e7ais de la CNPD :<\/p>\n<p style=\"text-align: justify;\">\u00abCertains de ces destinataires sont situ\u00e9s en dehors de l\u2019Union europ\u00e9enne, et en particulier les destinataires suivants :<\/p>\n<p style=\"text-align: justify;\">Destinataires \/ pays<\/p>\n<p style=\"text-align: justify;\">Les garanties suivantes ont \u00e9t\u00e9 prises pour s\u2019assurer d\u2019un niveau de protection suffisant des donn\u00e9es personnelles :<\/p>\n<p style=\"text-align: justify;\">[type de garantie][r\u00e9f\u00e9rence] (clause contractuelle type, r\u00e8gle contraignante d\u2019entreprise, code de conduite, certification)<\/p>\n<p style=\"text-align: justify;\">Conform\u00e9ment au R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD), vous pouvez exercer votre droit \u00e0 la rectification ou \u00e0 l\u2019effacement des donn\u00e9es, \u00e0 la limitation du traitement, s\u2019opposer au traitement et \u00e0 la portabilit\u00e9 des donn\u00e9es. Si votre traitement est bas\u00e9 sur le consentement, vous disposez \u00e9galement du droit de retirer ce consentement \u00e0 tout moment en contactant [service en charge du droit d\u2019acc\u00e8s] \u00bb.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Qu\u2019est-ce qu\u2019on entend par \u00ab pays \u00e0 niveau de protection \u00e9quivalent \u00bb ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Par pays \u00e0 niveau de protection \u00e9quivalent on entend : les pays de l\u2019Espace \u00c9conomique Europ\u00e9en (EEE), Principaut\u00e9 d\u2019Andorre, Argentine, Canada, Iles F\u00e9ro\u00e9, Ile de Man, Guernesey, Jersey, Nouvelle-Z\u00e9lande, Isra\u00ebl, Uruguay, Suisse, et dans certains cas seulement les \u00c9tats-Unis.<\/p>\n<p style=\"text-align: justify;\">En effet, il convient ici de rechercher sur le site www.privacyshield.gov si l\u2019entreprise destinataire des donn\u00e9es adh\u00e8re \u00e0 l\u2019accord \u201cPrivacy Shield\u201d qui a \u00e9t\u00e9 n\u00e9goci\u00e9 entre 2015 et 2016 entre l\u2019Union europ\u00e9enne et les \u00c9tats-Unis.<\/p>\n<p style=\"text-align: justify;\"><strong>3. QUI A ACC\u00c8S \u00c0 MES DONN\u00c9ES ?<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>dans mon entreprise ?<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>identifier qui a acc\u00e8s aux donn\u00e9es et dans quelle mesure ;<\/li>\n<li>pr\u00e9voir des limitations si l\u2019acc\u00e8s est trop g\u00e9n\u00e9ral.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>\u00e9tablir une liste claire de mes fournisseurs et de mes sous-traitants ;<\/li>\n<li>m\u2019assurer que les sous-traitants\/partenaires connaissent leurs nouvelles obligations et leurs responsabilit\u00e9s, \u00e0 l\u2019aide d\u2019un document contractuel ;<br \/>\n<em>Exemple 1 : la gestion des salaires par une soci\u00e9t\u00e9 externe.<\/em><br \/>\n<em>Exemple 2 : l\u2019h\u00e9bergement et l\u2019op\u00e9ration d\u2019un syst\u00e8me IT.<\/em><\/li>\n<li>savoir o\u00f9 sont stock\u00e9es les donn\u00e9es d\u00e9tenues par mon entreprise afin de pouvoir v\u00e9rifier le niveau de protection dont elles b\u00e9n\u00e9ficient contre des acc\u00e8s non autoris\u00e9s notamment.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">La relation contractuelle avec le sous-traitant (partenaires, clients, fournisseurs) doit \u00eatre clairement encadr\u00e9e. Il est indispensable d\u2019ins\u00e9rer des clauses contractuelles reprenant les obligations de chacun relatives \u00e0 la protection des donn\u00e9es personnelles (telles que reprise sous l\u2019article 28 (3) du RGPD).<\/p>\n<h2 style=\"text-align: justify;\">4. Comment mes donn\u00e9es sont-elles s\u00e9curis\u00e9es ?<\/h2>\n<p style=\"text-align: justify;\">JE DOIS :<\/p>\n<ul style=\"text-align: justify;\">\n<li>\u00e9valuer le risque li\u00e9 aux donn\u00e9es personnelles conserv\u00e9es ;<\/li>\n<li>r\u00e9aliser une analyse d\u2019impact pour les donn\u00e9es personnelles et\/ou traitements susceptibles d\u2019engendrer des risques \u00e9lev\u00e9s pour les droits et libert\u00e9s de la personne concern\u00e9e ;<\/li>\n<li>s\u00e9curiser l\u2019acc\u00e8s \u00e0 mes donn\u00e9es pour minimiser les risques d\u2019acc\u00e8s non autoris\u00e9s et donc limiter les risques de fuites de donn\u00e9es et l\u2019impact sur la vie priv\u00e9e des personnes concern\u00e9es ;<\/li>\n<li>d\u00e9finir le niveau ad\u00e9quat de protection en fonction des risques li\u00e9s aux donn\u00e9es : pseudonymisation, chiffrement, limitation de droits d\u2019acc\u00e8s, \u2026<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Plus la donn\u00e9e et\/ou le traitement sera sensible, plus le niveau d\u2019assurance devra \u00eatre important.<\/p>\n<p style=\"text-align: justify;\"><em>Exemples de traitements n\u00e9cessitant une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es :<\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>traitement \u00e0 grande \u00e9chelle (exemple : laboratoire d\u2019analyse) ;<\/li>\n<li>surveillance syst\u00e9matique \u00e0 grande \u00e9chelle d\u2019une zone accessible au public (exemple : vid\u00e9osurveillance) ;<\/li>\n<li>traitement de donn\u00e9es sensibles (donn\u00e9es concernant la sant\u00e9, donn\u00e9es biom\u00e9triques, donn\u00e9es g\u00e9n\u00e9tiques, opinions politiques, orientation sexuelle, appartenance syndicale, etc.) ;<\/li>\n<li>l\u2019\u00e9valuation ou la notation bas\u00e9e sur des donn\u00e9es personnelles y compris le profilage et la pr\u00e9diction (exemple : politique de cookies ou de recueil de l\u2019adresse IP pour des offres cibl\u00e9es).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Je DOIS r\u00e9aliser cette analyse d\u2019impact :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>avant de collecter des donn\u00e9es et de proc\u00e9der au traitement ;<\/li>\n<li>sur tout traitement susceptible d\u2019engendrer des risques \u00e9lev\u00e9s pour les droits et libert\u00e9s des personnes physiques.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Cette analyse comprend :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>une description du traitement et de ses finalit\u00e9s ;<\/li>\n<li>une \u00e9valuation de la n\u00e9cessit\u00e9 et de la proportionnalit\u00e9 du traitement ;<\/li>\n<li>une appr\u00e9ciation des risques sur les droits et libert\u00e9s des personnes concern\u00e9es ;<\/li>\n<li>les mesures envisag\u00e9es pour traiter ces risques et se conformer au r\u00e8glement.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Que faire pour prot\u00e9ger les donn\u00e9es que je traite ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Le risque ne doit pas simplement \u00eatre vu au niveau de l\u2019organisation mais du point de vue des droits de la personne concern\u00e9e.<\/p>\n<p style=\"text-align: justify;\">Il sera question d\u2019analyser ou de mettre en place des syst\u00e8mes de protection notamment pour surveiller et contr\u00f4ler le flux de donn\u00e9es ainsi que les donn\u00e9es stock\u00e9es et leur acc\u00e8s. Les risques doivent \u00e9galement \u00eatre \u00e9valu\u00e9s du c\u00f4t\u00e9 des fournisseurs\/clients ou encore de tiers afin de permettre la mise en place de solutions informatiques et juridiques ad\u00e9quates.<\/p>\n<p style=\"text-align: justify;\">Il est fondamental dans ce contexte d\u2019identifier les risques les plus \u00e9lev\u00e9s, respectivement, de voir o\u00f9 sont conserv\u00e9es les informations personnelles les plus sensibles afin d\u2019y apporter en premier lieu les solutions ad\u00e9quates.<\/p>\n<p style=\"text-align: justify;\">\u00c0 noter que les num\u00e9ros IBAN, les arr\u00eats de maladie, les listes d\u2019absence et les listes d\u2019allerg\u00e8nes ne sont en principe pas consid\u00e9r\u00e9s comme sensibles au sens du RGPD.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Qu\u2019est-ce qui se passe-t-il si, malgr\u00e9 mes pr\u00e9cautions, une faille se produit ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>\u00eatre proactif et avoir mis en place un m\u00e9canisme de gestion de crise \/ avertissement ;<\/li>\n<li>\u00eatre en mesure d\u2019apporter les preuves de la mise en place de mesures de protection des donn\u00e9es appropri\u00e9es et de d\u00e9montrer cette conformit\u00e9 \u00e0 tout moment ;<\/li>\n<li>avoir une proc\u00e9dure d\u2019information \u00e0 l\u2019\u00e9gard de la CNPD et de la personne concern\u00e9e.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Le d\u00e9lai de notification \u00e0 la CNPD est extr\u00eamement bref : La violation doit \u00eatre notifi\u00e9e dans les meilleurs d\u00e9lais et, si possible, au plus tard 72 heures apr\u00e8s en avoir pris connaissance. Lorsque la notification \u00e0 l\u2019autorit\u00e9 de contr\u00f4le concern\u00e9e n\u2019a pas lieu dans les 72 heures, elle est accompagn\u00e9e des motifs du retard.<\/p>\n<p style=\"text-align: justify;\">Un responsable du traitement a \u00ab pris connaissance d\u2019une violation \u00bb lorsqu\u2019il a une certitude raisonnable qu\u2019il y a eu un incident de s\u00e9curit\u00e9 impliquant des donn\u00e9es \u00e0 caract\u00e8re personnel. Cela variera au cas par cas, mais si un tel incident a eu lieu, il est important de v\u00e9rifier imm\u00e9diatement si des donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 viol\u00e9es et, dans l\u2019affirmative, de prendre des mesures et de notifier la violation si n\u00e9cessaire.<\/p>\n<ul style=\"text-align: justify;\">\n<li>en cas de faille, il est important de pr\u00e9voir des sch\u00e9mas de transmission et des proc\u00e9dures permettant d\u2019activer la transmission d\u2019informations ;<\/li>\n<li>obligation d\u2019information des personnes concern\u00e9es dans les meilleurs d\u00e9lais lorsque la violation de donn\u00e9es \u00e0 caract\u00e8re personnel est susceptible d\u2019engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes concern\u00e9es.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">La notification doit indiquer aussi bien la nature de la violation ainsi que des recommandations sur la mani\u00e8re dont la personne concern\u00e9e peut limiter les cons\u00e9quences n\u00e9gatives potentielles (par exemple, en changeant le mot de passe individuel). En principe, les personnes concern\u00e9es doivent \u00eatre inform\u00e9es individuellement, \u00e0 moins que cela ne soit disproportionn\u00e9. Dans ce cas, les personnes concern\u00e9es peuvent \u00eatre inform\u00e9es au moyen d\u2019un message g\u00e9n\u00e9ral, par exemple par une mention sur le site web, une newsletter ou un e-mail g\u00e9n\u00e9ral.<\/p>\n<p style=\"text-align: justify;\">Il est fortement conseill\u00e9 de pr\u00e9voir des \u00e9valuations r\u00e9guli\u00e8res de la s\u00e9curit\u00e9 des installations (au minimum 1 fois par an) et des proc\u00e9dures automatis\u00e9es au niveau de l\u2019entreprise.<\/p>\n<h2 style=\"text-align: justify;\">5. N\u00e9cessit\u00e9 d&#8217;une prise de conscience de l&#8217;ensemble des collaborateurs et surtout des personnes investies d&#8217;un pouvoir de d\u00e9cision<\/h2>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>sensibiliser et former mes collaborateurs sur les enjeux de la protection des donn\u00e9es \u00e0 caract\u00e8re personnel ;<\/li>\n<li>m\u2019assurer r\u00e9guli\u00e8rement que ces derniers ma\u00eetrisent le concept de protection des donn\u00e9es ;<\/li>\n<li>m\u2019assurer que mes collaborateurs et moi-m\u00eame pensons au traitement des donn\u00e9es \u00e0 caract\u00e8re personnel d\u00e8s la conception d\u2019un nouveau projet :<\/li>\n<li>principe de protection des donn\u00e9es d\u00e8s la conception (\u00ab privacy by design \u00bb) ;<\/li>\n<li>principe de protection des donn\u00e9es par d\u00e9faut, donc les param\u00e8tres sont mis tels que le mode le plus \u00ab privacy friendly \u00bb soit assur\u00e9, par exemple un browser n\u2019accepte par d\u00e9faut pas de cookies \u2013 sauf si l\u2019utilisateur change ce param\u00e8tre (\u00ab privacy by default \u00bb).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Tous les salari\u00e9s de l\u2019entreprise doivent conna\u00eetre les implications du RGPD et les nouvelles obligations en d\u00e9coulant. De la m\u00eame mani\u00e8re, une attention particuli\u00e8re devra \u00eatre port\u00e9e \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel lorsque de nouveaux traitements seront mis en place (par exemple : nouvelle \u00e9tude de march\u00e9). En effet, le RGPD a notamment introduit les concepts-cl\u00e9s indiqu\u00e9s ci-dessous qui participent \u00e0 l\u2019organisation et au respect du principe de responsabilisation (\u00ab accountability \u00bb) :<\/p>\n<p style=\"text-align: justify;\">\u00ab Privacy by design and by default \u00bb : Le responsable du traitement doit d\u00e8s le commencement du projet, au moment m\u00eame de la d\u00e9termination des moyens de traitement et pendant le traitement lui-m\u00eame, envisager la protection des donn\u00e9es \u00e0 caract\u00e8re personnel. Pour cela, il doit mettre en place un ensemble de mesures visant \u00e0 garantir la protection des donn\u00e9es \u00e0 caract\u00e8re personnel (restrictions, anonymisation, \u2026). Sans cette rigueur, tous les efforts entrepris pr\u00e9c\u00e9demment n\u2019auront qu\u2019un int\u00e9r\u00eat limit\u00e9 et la mise en conformit\u00e9 ne pourra \u00eatre p\u00e9renne.<\/p>\n<h1 style=\"text-align: justify;\">Est-ce que le traitement op\u00e9r\u00e9 est licite ?<\/h1>\n<p style=\"text-align: justify;\"><em><strong>Pour qu\u2019un traitement soit licite, il doit :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>soit \u00eatre effectu\u00e9 sur base du consentement de la personne concern\u00e9e ;<\/li>\n<li>soit \u00eatre n\u00e9cessaire pour :<\/li>\n<li>l\u2019ex\u00e9cution d\u2019un contrat (exemple : la livraison d\u2019un bien, \u2026) ;<\/li>\n<li>l\u2019ex\u00e9cution d\u2019une obligation l\u00e9gale (exemple : d\u00e9claration d\u2019entr\u00e9e et de sortie aupr\u00e8s du CCSS, \u2026) ;<\/li>\n<li>la sauvegarde des int\u00e9r\u00eats vitaux de la personne concern\u00e9e ou d\u2019une<\/li>\n<li>autre personne (exemple : personne trait\u00e9e aux urgences d\u2019un h\u00f4pital, \u2026) ;<\/li>\n<li>l\u2019ex\u00e9cution d\u2019une mission d\u2019int\u00e9r\u00eat public (exemple : enqu\u00eate du STATEC, \u2026) ;<\/li>\n<li>des int\u00e9r\u00eats l\u00e9gitimes poursuivis par le responsable du traitement (exemple : mettre \u00e0 disposition un annuaire interne avec les contacts des salari\u00e9s d\u2019une entreprise, \u2026).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>identifier dans quelle cat\u00e9gorie se situe mon traitement ;<\/li>\n<li>d\u00e9terminer si je suis dans l\u2019ex\u00e9cution d\u2019un contrat ou dans un des autres cas de figure ;<\/li>\n<li>me rappeler que le consentement n\u2019est requis que s\u2019il n\u2019entre pas dans un des cas pr\u00e9c\u00e9demment mentionn\u00e9s ;<\/li>\n<li>m\u2019assurer que m\u00eame en l\u2019absence de consentement, le titulaire des donn\u00e9es personnelles est aussi averti de tout traitement dont il ferait l\u2019objet (fen\u00eatre automatique, mention au contrat, mail d\u2019information, \u2026).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Il convient donc de clarifier qu\u2019un traitement des donn\u00e9es parfaitement s\u00e9curis\u00e9 ne sert \u00e0 rien, s\u2019il n\u2019est pas licite (donc s\u2019il ne satisfait \u00e0 aucune des conditions \u00e9num\u00e9r\u00e9es ci-dessus).<\/p>\n<h2 style=\"text-align: justify;\">1. Le consentement du titulaire des droits<\/h2>\n<p style=\"text-align: justify;\"><em><strong>Si le consentement est requis (donc s\u2019il constitue la base juridique sur laquelle se fonde le traitement), JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>d\u00e9terminer comment est recueilli, enregistr\u00e9 et g\u00e9r\u00e9 le consentement du titulaire du droit ;<\/li>\n<li>r\u00e9diger des proc\u00e9dures de recueil du consentement ;<\/li>\n<li>ne pas proc\u00e9der au traitement en l\u2019absence de consentement expr\u00e8s.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Ai-je recueilli un consentement pour l\u2019utilisation de ces donn\u00e9es ? Qu\u2019est-ce que le consentement ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Il s\u2019agit de toute manifestation de volont\u00e9, libre, sp\u00e9cifique, \u00e9clair\u00e9e et univoque par laquelle la personne concern\u00e9e accepte, par une d\u00e9claration ou par un acte positif clair, que des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant fassent l\u2019objet d\u2019un traitement.<\/p>\n<p style=\"text-align: justify;\">Le consentement est un acte volontaire de la part de la personne concern\u00e9e (m\u00e9canisme de l\u2019\u00ab opt-in \u00bb). Le silence ou l\u2019absence de r\u00e9action ne peut pas \u00eatre consid\u00e9r\u00e9 comme un consentement.<\/p>\n<p style=\"text-align: justify;\">Le consentement doit \u00eatre donn\u00e9 de mani\u00e8re claire, non \u00e9quivoque, sp\u00e9cifique pour un traitement d\u00e9fini et sans contrainte.<\/p>\n<p style=\"text-align: justify;\">La contrainte se manifeste notamment lorsque la personne doit donner son consentement sans quoi il ne peut plus poursuivre le processus (exemple : consentement n\u00e9cessaire \u00e0 la consultation d\u2019un site Internet, \u2026).<\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS DONC :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>mettre en place un m\u00e9canisme de recueil du consentement et de r\u00e9tractation ;<\/li>\n<li>pr\u00e9ciser les principales caract\u00e9ristiques du traitement (objet, finalit\u00e9, dur\u00e9e, etc.) afin que la personne sache clairement \u00e0 quoi elle consent ;<\/li>\n<li>d\u00e9montrer avoir obtenu le consentement de la personne ;<\/li>\n<li>consigner et conserver la charge de la preuve du consentement dans le registre des activit\u00e9s de traitement (date, heure, etc.) ou en l\u2019absence de ce dernier, tout autre support ais\u00e9ment consultable par l\u2019autorit\u00e9 de contr\u00f4le me dispensant du consentement expr\u00e8s.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Lors de chaque nouveau traitement, il est imp\u00e9ratif de se demander si un consentement est requis ou non.<\/p>\n<p style=\"text-align: justify;\">En revanche, si le consentement a \u00e9t\u00e9 donn\u00e9 avant l\u2019entr\u00e9e en application du RGPD et s\u2019il r\u00e9pond aux nouvelles exigences, il n\u2019est pas n\u00e9cessaire de l\u2019obtenir \u00e0 nouveau.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Est-ce que l\u2019information relative au traitement \u00e9tait simple et claire ? <\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Le libell\u00e9 de la demande de consentement doit \u00eatre clair et parfaitement compr\u00e9hensible. Le d\u00e9tenteur des donn\u00e9es doit savoir pour quelle raison et de quelle mani\u00e8re ses donn\u00e9es personnelles seront trait\u00e9es.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Ai-je donn\u00e9 l\u2019explication de l\u2019utilisation de ces donn\u00e9es :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>de mani\u00e8re concise ?<\/li>\n<li>de mani\u00e8re transparente (utilisation \u00e0 cette seule fin) ?<\/li>\n<li>de mani\u00e8re compr\u00e9hensible et facilement accessible par l\u2019utilisateur ?<\/li>\n<li>dans des termes simples et clairs ?<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>proscrire les cases pr\u00e9-coch\u00e9es ou les formulaires pr\u00e9remplis ;<\/li>\n<li>proscrire les descriptions indigestes et les renvois \u00e0 des documents ;<\/li>\n<li>faire un r\u00e9sum\u00e9 synth\u00e9tique du traitement op\u00e9r\u00e9 et de ses finalit\u00e9s.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>S\u2019agissait-il d\u2019un enfant ?<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Auquel cas, le consentement des parents est n\u00e9cessaire au Luxembourg jusqu\u2019\u00e0 16 ans r\u00e9volus. Les autres pays de l\u2019Union europ\u00e9enne peuvent d\u00e9terminer par la loi nationale un \u00e2ge inf\u00e9rieur pour autant que cet \u00e2ge ne soit pas en-dessous de 13 ans. Ainsi, il faudra v\u00e9rifier l\u2019\u00e2ge requis au cas par cas suivant le lieu o\u00f9 les donn\u00e9es sont trait\u00e9es et recueillies.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Mentions devant figurer dans une clause type<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Il est impossible de r\u00e9diger une clause type pouvant convenir \u00e0 toutes les situations, mais les \u00e9l\u00e9ments suivants doivent y figurer :<\/p>\n<p style=\"text-align: justify;\">JE DOIS :<\/p>\n<ul style=\"text-align: justify;\">\n<li>m\u2019identifier en tant que responsable du traitement (nom de l\u2019entreprise et coordonn\u00e9es) ;<\/li>\n<li>expliquer pourquoi les donn\u00e9es sont collect\u00e9es ;<\/li>\n<li>les explications doivent \u00eatre donn\u00e9es de mani\u00e8re claire et compr\u00e9hensible ;<\/li>\n<li>les finalit\u00e9s du traitement doivent \u00eatre expliqu\u00e9es ;<\/li>\n<li>l\u2019explication de la finalit\u00e9 du traitement doit \u00eatre succincte et exhaustive ;<\/li>\n<li>si un traitement connexe est envisag\u00e9, alors je dois le signaler et l\u2019expliquer pour recueillir le consentement de la personne concern\u00e9e ;<\/li>\n<li>m\u2019assurer qu\u2019il n\u2019y ait aucune d\u00e9pendance (\u00e9conomique, sociale, professionnelle) et pas de contrainte dans le recueil du consentement qui limiterait la libert\u00e9 de consentir (il faut toujours garder en arri\u00e8re-t\u00eate que le consentement, s\u2019il est requis, doit \u00eatre libre, sp\u00e9cifique, \u00e9clair\u00e9 et univoque) ;<\/li>\n<li>indiquer o\u00f9 la personne peut trouver des informations plus d\u00e9taill\u00e9es sur le traitement et sur le responsable du traitement ;<\/li>\n<li>indiquer la dur\u00e9e de conservation des donn\u00e9es ;<\/li>\n<li>indiquer qui aura acc\u00e8s \u00e0 ces donn\u00e9es ;<\/li>\n<li>mentionner les droits dont le titulaire dispose (effacement, rectification, \u2026) ;<\/li>\n<li>mettre en place un syst\u00e8me d\u2019adh\u00e9sion actif, comme par exemple des cases \u00e0 cocher.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Les acceptations par d\u00e9faut ou les cases pr\u00e9remplies sont d\u00e9sormais exclues. Il faut donc un consentement expr\u00e8s, une manifestation positive : le silence ne constitue pas une acceptation.<\/p>\n<p style=\"text-align: justify;\">Une ligne directrice sur le consentement a \u00e9t\u00e9 \u00e9labor\u00e9e par le Groupe de travail \u00ab Article 29 \u00bb. Cette ligne directrice est susceptible de modifications et n\u2019est pas encore adopt\u00e9e! La version finale sera disponible sur le site de la CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<h2 style=\"text-align: justify;\">2. Diff\u00e9rents cas de de figure qui ne rendent pas n\u00e9cessaire le consentement<\/h2>\n<p style=\"text-align: justify;\"><em><strong>L\u2019ex\u00e9cution d\u2019un contrat<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>regarder s\u2019il s\u2019agit d\u2019un contrat ou d\u2019une phase pr\u00e9contractuelle ;<\/li>\n<li>informer la personne concern\u00e9e que ses donn\u00e9es personnelles sont trait\u00e9es.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Le traitement est consid\u00e9r\u00e9 comme licite lorsqu\u2019il est n\u00e9cessaire dans le cadre d\u2019un contrat ou de l\u2019intention de conclure un contrat (exemple : proc\u00e9dure d\u2019embauche, \u2026).<\/p>\n<p style=\"text-align: justify;\">Il faut cependant que le traitement soit effectivement n\u00e9cessaire au contrat et \u00e0 son ex\u00e9cution sinon le consentement doit \u00eatre recueilli.<\/p>\n<p style=\"text-align: justify;\"><em>Exemple 1 : Le consentement n\u2019est pas requis lorsque le traitement de l\u2019adresse postale d\u2019un client est op\u00e9r\u00e9 pour lui faire parvenir une commande. <\/em><\/p>\n<p style=\"text-align: justify;\">Par contre, l\u2019utilisation de l\u2019adresse collect\u00e9e \u00e0 des fins de d\u00e9marchage publicitaire doit avoir fait l\u2019objet d\u2019un consentement \u2013 ou d\u2019une autre base de lic\u00e9it\u00e9 &#8211; puisque cela est non directement li\u00e9 \u00e0 l\u2019ex\u00e9cution d\u2019un contrat principal.<\/p>\n<p style=\"text-align: justify;\"><em>Exemple 2 : Le traitement des donn\u00e9es des salari\u00e9s par l\u2019employeur pour op\u00e9rer les justes retenues fiscales et sociales n\u2019est pas soumis \u00e0 consentement \u2013 car ce traitement est une obligation l\u00e9gale.<\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>L\u2019obligation l\u00e9gale ou l\u2019ex\u00e9cution d\u2019une mission d\u2019int\u00e9r\u00eat public<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>v\u00e9rifier si le traitement se fait en vue d\u2019une obligation l\u00e9gale.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Le traitement sera consid\u00e9r\u00e9 comme licite lorsqu\u2019il est effectu\u00e9 pour r\u00e9pondre \u00e0 une obligation l\u00e9gale \u00e0 laquelle le responsable du traitement est soumis ou lorsqu\u2019il est n\u00e9cessaire \u00e0 l\u2019ex\u00e9cution d\u2019une mission d\u2019int\u00e9r\u00eat public ou relevant de l\u2019autorit\u00e9 publique.<\/p>\n<p style=\"text-align: justify;\"><em>Exemple : Communication des r\u00e9mun\u00e9rations des salari\u00e9s de l\u2019entreprise \u00e0 l\u2019Administration des Contributions Directes (ACD) afin d\u2019\u00e9tablir la correcte retenue.<\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>L\u2019int\u00e9r\u00eat vital&nbsp; <\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Le traitement sera consid\u00e9r\u00e9 comme licite lorsqu\u2019un int\u00e9r\u00eat vital de la personne concern\u00e9e ou d\u2019une autre personne est en jeu.<\/p>\n<p style=\"text-align: justify;\"><em>Exemple : communication de donn\u00e9es de sant\u00e9 n\u00e9cessaire dans l\u2019urgence.<\/em><\/p>\n<p style=\"text-align: justify;\"><strong><em>L\u2019int\u00e9r\u00eat l\u00e9gitime<\/em><\/strong><\/p>\n<p style=\"text-align: justify;\"><strong><em>JE DOIS :<\/em><\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>justifier la poursuite d\u2019un int\u00e9r\u00eat l\u00e9gitime afin de proc\u00e9der au traitement sans le consentement d\u2019un salari\u00e9.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Le RGPD met en balance les int\u00e9r\u00eats l\u00e9gitimes poursuivis par le responsable du traitement ou par un tiers, et les droits et libert\u00e9s fondamentaux de la personne concern\u00e9e. Le responsable du traitement devra ainsi d\u00e9montrer que ses int\u00e9r\u00eats pr\u00e9valent sur ceux de la personne concern\u00e9e. (exemple : acquittement d\u2019une facture, \u2026)<\/p>\n<p style=\"text-align: justify;\"><em>Exemple : une entreprise utilise les donn\u00e9es de ses clients afin de les contacter pour mettre en conformit\u00e9 une installation ou encore pour<\/em> <em>d\u00e9terminer si ces derniers ont achet\u00e9 un produit se r\u00e9v\u00e9lant d\u00e9fectueux.<\/em><\/p>\n<h1 style=\"text-align: justify;\">Le registre des activit\u00e9s de traitement<\/h1>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS tenir un registre des activit\u00e9s de traitement si :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>mon entreprise compte plus de 250 salari\u00e9s ;<\/li>\n<li>mon entreprise compte moins de 250 salari\u00e9s et si je me trouve dans un des cas suivants :<\/li>\n<li>le traitement est susceptible de comporter un risque pour les droits et des libert\u00e9s des personnes concern\u00e9es ;<\/li>\n<li>le traitement porte notamment sur les cat\u00e9gories particuli\u00e8res de donn\u00e9es (origine raciale ou ethnique, opinions politiques ou philosophiques, condamnations p\u00e9nales, infractions, \u2026) ;<\/li>\n<li>le traitement n\u2019est pas occasionnel \u2013 donc habituel (exemple : syst\u00e8me de vid\u00e9osurveillance visant \u00e0 surveiller certains comportements\/installations ou gestion habituelle de donn\u00e9es personnelles en tr\u00e8s grand nombre : fiduciaire, recruteurs, agences d\u2019int\u00e9rim, etc., il est indispensable de clarifier que la gestion du personnel n\u2019est pas consid\u00e9r\u00e9e comme un traitement occasionnel).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Que le registre des activit\u00e9s de traitement au sens strict du terme soit obligatoire ou non, il est conseill\u00e9 de disposer d\u2019un registre (cartographie) afin de pouvoir visualiser rapidement les diff\u00e9rentes informations sur les traitements op\u00e9r\u00e9s et de pouvoir fournir rapidement l\u2019information en cas de contr\u00f4le. En outre, la tenue d\u2019un tel registre reste pr\u00e9conis\u00e9e afin de permettre de documenter la mise en conformit\u00e9 aux autres obligations impos\u00e9es par le RGPD.<\/p>\n<p style=\"text-align: justify;\">Ce registre n\u2019est pas soumis \u00e0 un formalisme particulier, mais il doit imp\u00e9rativement reprendre certaines dispositions obligatoires (voir glossaire de fin). Il peut donc \u00eatre sous format Excel, un programme informatique ou tout autre support facilement accessible par l\u2019autorit\u00e9 de contr\u00f4le.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Pour chaque traitement, JE DOIS me poser les questions suivantes et les renseigner dans le registre :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>qui est en charge du traitement ?\n<ul>\n<li>j\u2019indique le nom et les coordonn\u00e9es du responsable du traitement (et de son repr\u00e9sentant l\u00e9gal) et, le cas \u00e9ch\u00e9ant, du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es,<\/li>\n<li>j\u2019\u00e9tablis une liste des sous-traitants.<\/li>\n<\/ul>\n<\/li>\n<li>qu\u2019est-ce qui est trait\u00e9 ?\n<ul>\n<li>j\u2019identifie les cat\u00e9gories de donn\u00e9es trait\u00e9es,<\/li>\n<li>j\u2019identifie les donn\u00e9es \u00ab sensibles \u00bb entra\u00eenant des risques accrus (exemples : les donn\u00e9es relatives \u00e0 la sant\u00e9 ou les infractions, les orientations sexuelles, etc.).<\/li>\n<\/ul>\n<\/li>\n<li>pourquoi cela est trait\u00e9 ?\n<ul>\n<li>je communique la ou les finalit\u00e9(s) pour laquelle ou lesquelles je collecte et traite ces donn\u00e9es (exemples : gestion de la relation commerciale, gestion RH, \u2026).<\/li>\n<\/ul>\n<\/li>\n<li>o\u00f9 est-ce que cela est trait\u00e9 ?\n<ul>\n<li>j\u2019indique o\u00f9 les donn\u00e9es sont h\u00e9berg\u00e9es,<\/li>\n<li>j\u2019indique vers quels pays les donn\u00e9es seront \u00e9ventuellement transf\u00e9r\u00e9es.<\/li>\n<\/ul>\n<\/li>\n<li>pendant quelle dur\u00e9e ces donn\u00e9es seront-elles conserv\u00e9es ?\n<ul>\n<li>pour chaque cat\u00e9gorie de donn\u00e9es, j\u2019indique la dur\u00e9e de conservation.<\/li>\n<\/ul>\n<\/li>\n<li>comment cela est prot\u00e9g\u00e9 ?\n<ul>\n<li>je pr\u00e9cise les mesures de s\u00e9curit\u00e9 mises en oeuvre pour minimiser les risques d\u2019acc\u00e8s non autoris\u00e9s aux donn\u00e9es et donc l\u2019impact sur la vie priv\u00e9e des personnes concern\u00e9es,<\/li>\n<li>je cible prioritairement les donn\u00e9es sensibles (donn\u00e9es concernant la sant\u00e9, donn\u00e9es, biom\u00e9triques, donn\u00e9es g\u00e9n\u00e9tiques, appartenance syndicale, les convictions religieuses ou philosophiques, etc.).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h1 style=\"text-align: justify;\">Les nouveaux droits des personnes concern\u00e9es respectivement les nouveaux devoirs de l&#8217;entreprise<\/h1>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS adapter mes traitements conform\u00e9ment aux nouvelles dispositions :<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>Droit \u00e0 l\u2019information :<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Les informations relatives au traitement des donn\u00e9es personnelles doivent \u00eatre fournies de fa\u00e7on concise, transparente et ais\u00e9ment accessible. Ces informations doivent \u00eatre gratuites, sauf si les demandes sont manifestement infond\u00e9es ou excessives (il appartient dans ce cas au responsable du traitement de prouver ce caract\u00e8re manifestement infond\u00e9 ou excessif), notamment en raison de leur caract\u00e8re r\u00e9p\u00e9titif : possibilit\u00e9 de refuser de r\u00e9pondre ou d\u2019exiger le paiement des frais administratifs support\u00e9s en cons\u00e9quence. Quant au droit d\u2019acc\u00e8s, le responsable du traitement peut exiger le paiement de frais raisonnables sur la base des co\u00fbts administratifs support\u00e9s pour toute copie compl\u00e9mentaire qui serait demand\u00e9e (c\u2019est-\u00e0-dire pour tout exemplaire suppl\u00e9mentaire demand\u00e9 en sus de l\u2019exemplaire initial).<\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>respecter le d\u00e9lai d\u2019un mois pour r\u00e9pondre \u00e0 toute demande sauf demande de prolongation (maximum 2 mois) ;<\/li>\n<li>dans tous les cas de figure informer la personne que des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant sont trait\u00e9es et l\u2019informer sur ses droits (que les donn\u00e9es soient ou non collect\u00e9es aupr\u00e8s de la personne concern\u00e9e).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">\u00c0 nouveau, on pourrait se r\u00e9f\u00e9rer au mod\u00e8le \u00e0 minima d\u2019information \u00e9tabli par la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL) :<\/p>\n<p style=\"text-align: justify;\">\u00ab Les informations recueillies sur ce formulaire sont enregistr\u00e9es dans un fichier informatis\u00e9 par [responsable de traitement] pour [finalit\u00e9s du traitement]. Elles sont conserv\u00e9es pendant [dur\u00e9e de conservation] et sont destin\u00e9es \u00e0 [destinataires des donn\u00e9es]. Conform\u00e9ment au R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD), vous pouvez exercer votre droit d\u2019acc\u00e8s aux donn\u00e9es vous concernant et les faire rectifier en contactant : [service en charge du droit d\u2019acc\u00e8s] \u00bb<\/p>\n<p style=\"text-align: justify;\"><em><strong>Droit \u00e0 la portabilit\u00e9 des donn\u00e9es :<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>pouvoir restituer les donn\u00e9es collect\u00e9es sur un support \u00ab habituel \u00bb, c\u2019est-\u00e0-dire structur\u00e9, couramment utilis\u00e9 et lisible \u00e0 la personne concern\u00e9e qui en fait la demande dans un d\u00e9lai de 1 mois apr\u00e8s r\u00e9ception de la demande. Ce d\u00e9lai peut \u00eatre prolong\u00e9 \u00e0 un maximum de trois mois pour les affaires complexes, \u00e0 condition que la personne concern\u00e9e ait \u00e9t\u00e9 inform\u00e9e des motifs de cette prolongation dans un d\u00e9lai d\u2019un mois \u00e0 compter de la r\u00e9ception de la demande initiale ;<\/li>\n<li>pouvoir d\u00e9montrer avoir supprim\u00e9 les donn\u00e9es des personnes ayant requis la portabilit\u00e9 de leurs informations ;<\/li>\n<li>mettre en place un r\u00e8glement et des proc\u00e9dures permettant la garantie de ces droits.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">La personne concern\u00e9e peut demander le transfert de ses donn\u00e9es personnelles d\u2019un environnement informatique \u00e0 un autre d\u2019une mani\u00e8re s\u00fbre et s\u00e9curis\u00e9e, mais il n\u2019existe pas d\u2019obligation du responsable du traitement de faire cela, c\u2019est encourag\u00e9. Seules les donn\u00e9es personnelles qu\u2019un individu a fournies \u00e0 un responsable du traitement (sur la base du consentement ou du contrat) sont concern\u00e9es.<\/p>\n<p style=\"text-align: justify;\">Des lignes directrices sur le droit \u00e0 la portabilit\u00e9 des donn\u00e9es ont \u00e9t\u00e9 adopt\u00e9es par le Groupe de travail \u00ab Article 29 \u00bb et peuvent \u00eatre consult\u00e9es sur le site de la CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<p style=\"text-align: justify;\"><em><strong>Droit d\u2019acc\u00e8s et de rectification :<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>permettre aux personnes concern\u00e9es d\u2019acc\u00e9der \u00e0 leurs donn\u00e9es ;<\/li>\n<li>mettre en place des mesures effectives de rectifications lorsque cela est demand\u00e9.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><em><strong>Droit d\u2019opposition :<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Les personnes peuvent (dans certains cas) s\u2019opposer au traitement de leurs donn\u00e9es \u00e0 caract\u00e8re personnel. Dans ce cas, les int\u00e9r\u00eats l\u00e9gitimes du responsable du traitement sont mis en<br \/>\nbalance avec les int\u00e9r\u00eats, droits et libert\u00e9s de la personne concern\u00e9e.<\/p>\n<p style=\"text-align: justify;\"><strong><em>D\u00e9cision individuelle automatis\u00e9e, y compris le profilage :<\/em><\/strong><\/p>\n<p style=\"text-align: justify;\">Je r\u00e9fl\u00e9chis \u00e0 ma politique de \u00ab cookies \u00bb et de profilage. Est consid\u00e9r\u00e9 comme profilage \u00ab toute forme de traitement automatis\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel consistant \u00e0 utiliser ces donn\u00e9es [\u2026] pour \u00e9valuer certains aspects personnels relatifs \u00e0 une personne physique, notamment pour analyser ou pr\u00e9dire des \u00e9l\u00e9ments concernant le rendement au travail, la situation \u00e9conomique, la sant\u00e9, les pr\u00e9f\u00e9rences personnelles, les int\u00e9r\u00eats, la fiabilit\u00e9, le comportement, la localisation ou les d\u00e9placements de cette personne physique \u00bb (consid\u00e9rant 71 du r\u00e8glement).<\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>avertir la personne concern\u00e9e d\u2019un tel traitement ;<\/li>\n<li>mettre en place des m\u00e9canismes d\u2019 \u00ab opt-out \u00bb permettant de sortir de traitements automatis\u00e9s.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Des lignes directrices sur le profilage ont \u00e9t\u00e9 adopt\u00e9es par le Groupe de travail \u00ab Article 29 \u00bb et peuvent \u00eatre consult\u00e9es sur le site de la CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<p style=\"text-align: justify;\"><em><strong>Droit \u00e0 l\u2019oubli :<\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Le RGPD pr\u00e9voit, pour le titulaire d\u2019un droit, l\u2019effacement de ses donn\u00e9es personnelles sur simple demande. Ce droit n\u2019est toutefois pas absolu et peut par exemple se heurter \u00e0 l\u2019int\u00e9r\u00eat l\u00e9gitime du responsable du traitement \u2013 ou aux obligations l\u00e9gales dont ce dernier est soumis. Ainsi, par exemple, une personne devant acquitter une facture ne pourra demander purement et simplement l\u2019effacement de ses donn\u00e9es pour \u00e9chapper \u00e0 sa dette, la conservation des donn\u00e9es de son d\u00e9biteur \u00e9tant pour le responsable du traitement l\u00e9gitime au moins jusqu\u2019au paiement.<\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS EFFACER LES DONNEES lorsque :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>elles ne sont plus n\u00e9cessaires au traitement ;<\/li>\n<li>la personne a retir\u00e9 son consentement ;<\/li>\n<li>la personne a fait jouer son droit \u00e0 l\u2019effacement ;<\/li>\n<li>le traitement est illicite.<\/li>\n<\/ul>\n<h1 style=\"text-align: justify;\">Comment effectuer un plan d&#8217;action pour la mise en oeuvre du RGPD ?<\/h1>\n<p style=\"text-align: justify;\">Au cours des processus pr\u00e9c\u00e9dents, je me suis aper\u00e7u que je n\u2019\u00e9tais pas conforme aux prescriptions du RGPD. D\u00e8s lors, je dois mettre en place un plan d\u2019action pour pallier \u00e0 mes carences. Il est important de rester pragmatique dans l\u2019approche. Les solutions et leurs co\u00fbts doivent \u00eatre pond\u00e9r\u00e9s avec la nature des donn\u00e9es \u00e0 prot\u00e9ger (plus une donn\u00e9e est sensible, plus elle m\u00e9rite protection).<\/p>\n<p style=\"text-align: justify;\"><em><strong>JE DOIS DONC :<\/strong><\/em><\/p>\n<ul style=\"text-align: justify;\">\n<li>rem\u00e9dier aux lacunes constat\u00e9es ;<\/li>\n<li>prioriser les actions \u00e0 mener au regard des risques ;<\/li>\n<li>id\u00e9alement, rassembler une \u00e9quipe pluridisciplinaire pour permettre de confronter les points de vue mais aussi les r\u00e9alit\u00e9s du terrain.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Ce plan d\u2019action devra contenir les mesures permettant d\u2019\/de :<\/p>\n<ol style=\"text-align: justify;\">\n<li>identifier \/ cerner les probl\u00e8mes relatifs au traitement des donn\u00e9es personnelles ;<\/li>\n<li>identifier la ou les solutions et op\u00e9rer un arbitrage entre les solutions quand cela est n\u00e9cessaire, exemples : Pseudonymisation, formation des salari\u00e9s, suppression de donn\u00e9es, etc. ;<\/li>\n<li>\u00e9duquer les collaborateurs au traitement des donn\u00e9es personnelles ;<\/li>\n<li>concevoir le traitement de donn\u00e9es d\u00e8s la conception (\u00ab privacy by design \u00bb) et r\u00e9aliser des \u00e9tudes d\u2019impact pour chaque traitement op\u00e9r\u00e9 ;<\/li>\n<li>adapter les traitements pour que ces derniers deviennent conformes aux prescriptions du RGPD ;<\/li>\n<li>r\u00e9diger des informations quant \u00e0 la gestion des donn\u00e9es personnelles (\u00ab privacy notice \u00bb) pour les diff\u00e9rents traitements, afin de donner aux personnes un ensemble d\u2019informations relatives aux traitements op\u00e9r\u00e9s ;<\/li>\n<li>pr\u00e9voir des d\u00e9lais stricts mais r\u00e9alistes, toujours dans l\u2019id\u00e9e que les solutions devront \u00eatre impl\u00e9ment\u00e9es avant le 25.05.2018 ;<\/li>\n<li>revoir les contrats avec l\u2019ensemble des sous-traitants op\u00e9rant avec des donn\u00e9es personnelles de l\u2019entreprise et les modalit\u00e9s de la collaboration pour assurer une application effective et efficiente du RGPD :\n<ol style=\"list-style-type: lower-roman;\">\n<li>objet du contrat, nature, dur\u00e9e, finalit\u00e9 de traitement ;<\/li>\n<li>fin de la relation contractuelle ;<\/li>\n<li>preuves de garanties suffisantes pour \u00eatre conforme avec le RGPD ;<\/li>\n<li>encadrement strict du traitement des donn\u00e9es ;\n<ol>\n<li>valable pour tous les sous-traitants m\u00eame \u00e9trangers ;<\/li>\n<li>auditer le sous-traitant : v\u00e9ritable audit ou feuille de renseignement ;<\/li>\n<li>engagement contractuel indispensable.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n<li>g\u00e9rer la relation contractuelle dans sa globalit\u00e9 et notamment quant aux \u00e9ventuels sous-traitants du sous-traitant ;<\/li>\n<li>r\u00e9fl\u00e9chir quant \u00e0 l\u2019opportunit\u00e9 de mettre en place des solutions informatiques sp\u00e9cifiques pour permettre d\u2019automatiser certains processus et permettre une certaine fluidit\u00e9 dans la gestion des donn\u00e9es personnelles ;\n<ul>\n<li>purge automatique de certains dossiers contenant des donn\u00e9es personnelles suivant<\/li>\n<li>des crit\u00e8res \u00e0 \u00e9tablir (dur\u00e9e, mission termin\u00e9e, etc.) ;<\/li>\n<li>effacement automatique de documents apr\u00e8s plusieurs mois\/ann\u00e9es, etc. ;<\/li>\n<li>cryptage automatique de certaines informations avec degr\u00e9 d\u2019accessibilit\u00e9 ;<\/li>\n<li>\u2026.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p style=\"text-align: justify;\">Il faut insister sur le fait que pas toutes les entreprises ou organismes avec lesquels on entretient des relations contractuelles sont \u00e0 consid\u00e9rer comme sous-traitant au sens du RGPD. Ainsi, il convient de se r\u00e9f\u00e9rer \u00e0 l\u2019avis 1\/2010 du 16 f\u00e9vrier 2010 du groupe de travail \u00ab G29 \u00bb ayant \u00e9tabli un faisceau d\u2019indices pour bien d\u00e9finir la qualit\u00e9 de sous-traitant. Il faut notamment prendre en consid\u00e9ration les questions suivantes :<\/p>\n<ul style=\"text-align: justify;\">\n<li>niveau d\u2019instruction donn\u00e9 par le client au prestataire : quelle est l\u2019autonomie du prestataire dans la r\u00e9alisation de sa prestation ?<\/li>\n<li>degr\u00e9 de contr\u00f4le de l\u2019ex\u00e9cution de la prestation : quel est le degr\u00e9 de \u00ab surveillance \u00bb du client sur la prestation ?<\/li>\n<li>valeur ajout\u00e9e fournie par le prestataire : le prestataire dispose-t-il d\u2019une expertise approfondie dans le domaine ?<\/li>\n<li>degr\u00e9 de transparence sur le recours \u00e0 un prestataire : l\u2019identit\u00e9 du prestataire est-elle connue des personnes concern\u00e9es qui utilisent les services du client ?<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">L\u2019avis est disponible dans son int\u00e9gralit\u00e9 sur le site de la CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<p style=\"text-align: justify;\"><em><strong>\u00catre conforme, c\u2019est une action sur la dur\u00e9e ! <\/strong><\/em><\/p>\n<p style=\"text-align: justify;\">Veuillez encore noter que la CNPD a d\u00e9velopp\u00e9, avec le soutien de Digital Luxembourg, ensemble avec le Luxembourg Institute of Science and Technology (LIST), un \u00ab GDPR Compliance Support Tool \u00bb afin d\u2019aider les acteurs dans leur t\u00e2che d\u2019int\u00e9gration des dispositions du RGPD dans leur politique interne.<\/p>\n<p style=\"text-align: justify;\">Ainsi, l\u2019objectif de cet outil est d\u2019offrir une solution innovante et intuitive&nbsp; aux utilisateurs permettant de v\u00e9rifier le niveau de maturit\u00e9 de leurs organisations en mati\u00e8re de protection des donn\u00e9es. L\u2019outil permettra aux utilisateurs non seulement de g\u00e9rer un registre de traitement et tous les autres documents n\u00e9cessaires \u00e0 d\u00e9montrer leur responsabilit\u00e9, mais aussi de r\u00e9aliser un suivi sur l\u2019\u00e9volution du niveau de maturit\u00e9 de leurs organisations.<\/p>\n<p style=\"text-align: justify;\">Le \u00ab GDPR Compliance Support Tool \u00bb peut \u00eatre consult\u00e9 <strong><a href=\"https:\/\/cst.cnpd.lu\/portal\/\">ICI<\/a><\/strong>.<\/p>\n<h1 style=\"text-align: justify;\">Glossaire de fin<\/h1>\n<p style=\"text-align: justify;\"><em><strong>Analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es<\/strong><\/em>, selon les lignes directrices du Groupe de travail \u00ab Article 29 \u00bb, la mise en oeuvre d\u2019une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es est n\u00e9cessaire si plusieurs des crit\u00e8res suivants s\u2019appliquent au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel :<\/p>\n<ul style=\"text-align: justify;\">\n<li>le traitement effectue une \u00e9valuation ou notation, y compris le profilage et la pr\u00e9diction ;<\/li>\n<li>le traitement effectue des d\u00e9cisions automatiques r\u00e9sultant en des implications l\u00e9gales ou similaires pour les personnes concern\u00e9es ;<\/li>\n<li>le traitement consiste en une surveillance syst\u00e9matique des personnes concern\u00e9es (traitements utilis\u00e9s pour observer, surveiller ou contr\u00f4ler les personnes concern\u00e9es, y compris les donn\u00e9es collect\u00e9es \u00e0 partir d\u2019une surveillance syst\u00e9matique des lieux accessibles au public) ;<\/li>\n<li>des donn\u00e9es sensibles (suivant la d\u00e9finition de la r\u00e8glementation) font l\u2019objet du traitement ;<\/li>\n<li>le traitement est un traitement \u00e0 grande \u00e9chelle :<\/li>\n<li>le nombre de personnes concern\u00e9es est \u00e9lev\u00e9 ou proportionnellement \u00e9lev\u00e9 par rapport \u00e0 une population ;<\/li>\n<li>le volume de donn\u00e9es trait\u00e9es est important ;<\/li>\n<li>la dur\u00e9e ou la permanence de l\u2019activit\u00e9 de traitement est importante ;<\/li>\n<li>l\u2019\u00e9tendue g\u00e9ographique du traitement est importante.<\/li>\n<li>les jeux de donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 combin\u00e9s d\u2019une mani\u00e8re qui pourrait d\u00e9passer les attentes raisonnables des personnes concern\u00e9es ;<\/li>\n<li>les donn\u00e9es trait\u00e9es concernent des personnes vuln\u00e9rables (exemple : situation de d\u00e9s\u00e9quilibre des pouvoirs entre les personnes concern\u00e9es et le responsable du traitement comme c\u2019est le cas pour une entreprise mettant en place un contr\u00f4le de l\u2019activit\u00e9 de ses salari\u00e9s) ;<\/li>\n<li>le traitement se rapporte \u00e0 l\u2019usage ou l\u2019application de solutions technologiques ou organisationnelles innovantes ;<\/li>\n<li>le traitement de donn\u00e9es ne permet pas aux personnes concern\u00e9es d\u2019exercer leur droit ou les emp\u00eache d\u2019acc\u00e9der \u00e0 un service ou un contrat (exemple : une banque qui analyse le profil de ses clients pour d\u00e9cider de leur offrir un cr\u00e9dit ou pas).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Le texte en entier peut \u00eatre consult\u00e9 sur le site de la CNPD (<strong><a href=\"http:\/\/www.cnpd.lu\">www.cnpd.lu<\/a><\/strong>).<\/p>\n<p style=\"text-align: justify;\"><em><strong>Autorit\u00e9 de contr\u00f4le concern\u00e9e<\/strong><\/em>, une autorit\u00e9 de contr\u00f4le qui est concern\u00e9e par le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel parce que :<\/p>\n<ol style=\"list-style-type: lower-alpha; text-align: justify;\">\n<li>le responsable du traitement ou le sous-traitant est \u00e9tabli sur le territoire de l\u2019\u00c9tat membre dont cette autorit\u00e9 de contr\u00f4le rel\u00e8ve;<\/li>\n<li>des personnes concern\u00e9es r\u00e9sidant dans l\u2019\u00c9tat membre de cette autorit\u00e9 de contr\u00f4le sont sensiblement affect\u00e9es par le traitement ou sont susceptibles de l\u2019\u00eatre;<\/li>\n<li>une r\u00e9clamation a \u00e9t\u00e9 introduite aupr\u00e8s de cette autorit\u00e9 de contr\u00f4le.<\/li>\n<\/ol>\n<p style=\"text-align: justify;\"><em><strong>Binding Corporate Rules (BCR<\/strong><\/em>), instrument juridique europ\u00e9en auquel une soci\u00e9t\u00e9 multinationale ou un groupe d\u2019entreprises peut recourir afin de garantir un niveau ad\u00e9quat de protection des donn\u00e9es \u00e0 caract\u00e8re personnel lors du transfert de ces donn\u00e9es, au sein du groupe, au d\u00e9part d\u2019un pays situ\u00e9 dans l\u2019Union europ\u00e9enne (UE) ou dans l\u2019Espace \u00e9conomique europ\u00e9en (EEE) vers un pays tiers. Ces r\u00e8gles n\u00e9cessitent d\u2019\u00eatre approuv\u00e9es au pr\u00e9alable par l\u2019autorit\u00e9 de contr\u00f4le nationale.<\/p>\n<p style=\"text-align: justify;\">Veuillez trouver plus d&#8217;informations <strong><a href=\"https:\/\/ec.europa.eu\/info\/law\/law-topic\/data-protection_en\">ICI<\/a><\/strong>.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Consentement de la personne concern\u00e9e<\/strong><\/em>, toute manifestation de volont\u00e9, libre, sp\u00e9cifique, \u00e9clair\u00e9e et univoque par laquelle la personne concern\u00e9e accepte, par une d\u00e9claration ou par un acte positif clair, que des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant, fassent l\u2019objet d\u2019un traitement.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Destinataire<\/strong><\/em>, la personne physique ou morale, l\u2019autorit\u00e9 publique, le service ou tout autre organisme qui re\u00e7oit communication de donn\u00e9es \u00e0 caract\u00e8re personnel, qu\u2019il s\u2019agisse ou non d\u2019un tiers. Toutefois, les autorit\u00e9s publiques qui sont susceptibles de recevoir communication de donn\u00e9es \u00e0 caract\u00e8re personnel dans le cadre d\u2019une mission d\u2019enqu\u00eate particuli\u00e8re conform\u00e9ment au droit de l\u2019Union ou au droit d\u2019un \u00c9tat membre ne sont pas consid\u00e9r\u00e9es comme des destinataires ; le traitement de ces donn\u00e9es par les autorit\u00e9s publiques en question est conforme aux r\u00e8gles applicables en mati\u00e8re de protection des donn\u00e9es en fonction des finalit\u00e9s du traitement.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Donn\u00e9es g\u00e9n\u00e9tiques<\/strong><\/em>, les donn\u00e9es \u00e0 caract\u00e8re personnel relatives aux caract\u00e9ristiques g\u00e9n\u00e9tiques h\u00e9r\u00e9ditaires ou acquises d\u2019une personne physique qui donnent des informations uniques sur la physiologie ou l\u2019\u00e9tat de sant\u00e9 de cette personne physique et qui r\u00e9sultent, notamment, d\u2019une analyse d\u2019un \u00e9chantillon biologique de la personne physique en question.<\/p>\n<p style=\"text-align: justify;\"><strong>Donn\u00e9es biom\u00e9triques<\/strong>, les donn\u00e9es \u00e0 caract\u00e8re personnel r\u00e9sultant d\u2019un traitement technique sp\u00e9cifique, relatives aux caract\u00e9ristiques physiques, physiologiques ou comportementales d\u2019une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des donn\u00e9es dactyloscopiques.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Donn\u00e9es concernant la sant\u00e9<\/strong><\/em>, les donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 la sant\u00e9 physique ou mentale d\u2019une personne physique, y compris la prestation de services de soins de sant\u00e9, qui r\u00e9v\u00e8lent des informations sur l\u2019\u00e9tat de sant\u00e9 de cette personne.<\/p>\n<p style=\"text-align: justify;\"><strong>Entreprise<\/strong>, une personne physique ou morale exer\u00e7ant une activit\u00e9 \u00e9conomique, quelle que soit sa forme juridique, y compris les soci\u00e9t\u00e9s de personnes ou les associations qui exercent r\u00e9guli\u00e8rement une activit\u00e9 \u00e9conomique.<\/p>\n<p style=\"text-align: justify;\"><strong>Groupe d\u2019entreprises<\/strong>, une entreprise qui exerce le contr\u00f4le et les entreprises qu\u2019elle contr\u00f4le.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Etablissement principal,<\/strong><\/em><\/p>\n<ol style=\"list-style-type: lower-alpha; text-align: justify;\">\n<li>en ce qui concerne un responsable du traitement \u00e9tabli dans plusieurs \u00c9tats membres, le lieu de son administration centrale dans l\u2019Union, \u00e0 moins que les d\u00e9cisions quant aux finalit\u00e9s et aux moyens du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel soient prises dans un autre \u00e9tablissement du responsable du traitement dans l\u2019Union et que ce dernier \u00e9tablissement a le pouvoir de faire appliquer ces d\u00e9cisions, auquel cas l\u2019\u00e9tablissement ayant pris de telles d\u00e9cisions est consid\u00e9r\u00e9 comme l\u2019\u00e9tablissement principal.<\/li>\n<li>en ce qui concerne un sous-traitant \u00e9tabli dans plusieurs \u00c9tats membres, le lieu de son administration centrale dans l\u2019Union ou, si ce sous-traitant ne dispose pas d\u2019une administration centrale dans l\u2019Union, l\u2019\u00e9tablissement du sous-traitant dans l\u2019Union o\u00f9 se d\u00e9roule l\u2019essentiel des activit\u00e9s de traitement effectu\u00e9es dans le cadre des activit\u00e9s d\u2019un \u00e9tablissement du sous-traitant, dans la mesure o\u00f9 le sous-traitant est soumis \u00e0 des obligations sp\u00e9cifiques<br \/>\nen vertu du pr\u00e9sent r\u00e8glement.<\/li>\n<\/ol>\n<p style=\"text-align: justify;\"><em><strong>Fichier<\/strong><\/em>, tout ensemble structur\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel accessibles selon des crit\u00e8res d\u00e9termin\u00e9s, que cet ensemble soit centralis\u00e9, d\u00e9centralis\u00e9 ou r\u00e9parti de mani\u00e8re fonctionnelle ou g\u00e9ographique.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Identifiable<\/strong><\/em>, pouvant \u00eatre identifi\u00e9, directement ou indirectement.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Identifiants<\/strong><\/em>, nom, pr\u00e9nom, date de naissance, num\u00e9ro de s\u00e9curit\u00e9 sociale, adresse, plaque d\u2019immatriculation, \u2026<\/p>\n<p style=\"text-align: justify;\"><em><strong>Limitation du traitement<\/strong><\/em>, le marquage de donn\u00e9es \u00e0 caract\u00e8re personnel conserv\u00e9es, en vue de limiter leur traitement futur.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Personne concern\u00e9e<\/strong><\/em>, titulaires des donn\u00e9es personnelles et donc des droits aff\u00e9rents. Personne identifi\u00e9e ou identifiable.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Profilage<\/strong><\/em>, toute forme de traitement automatis\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel consistant \u00e0 utiliser ces donn\u00e9es \u00e0 caract\u00e8re personnel pour \u00e9valuer certains aspects personnels relatifs \u00e0 une personne physique, notamment pour analyser ou pr\u00e9dire des \u00e9l\u00e9ments concernant le rendement au travail, la situation \u00e9conomique, la sant\u00e9, les pr\u00e9f\u00e9rences personnelles, les int\u00e9r\u00eats, la fiabilit\u00e9, le comportement, la localisation ou les d\u00e9placements de cette personne physique.<\/p>\n<p style=\"text-align: justify;\"><strong>Pseudonymisation<\/strong>, le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel de telle fa\u00e7on que celles-ci ne puissent plus \u00eatre attribu\u00e9es \u00e0 une personne concern\u00e9e pr\u00e9cise sans avoir recours \u00e0 des informations suppl\u00e9mentaires, pour autant que ces informations suppl\u00e9mentaires soient conserv\u00e9es s\u00e9par\u00e9ment et soumises \u00e0 des mesures techniques et organisationnelles afin de garantir que les donn\u00e9es \u00e0 caract\u00e8re personnel ne sont pas attribu\u00e9es \u00e0 une personne physique identifi\u00e9e ou identifiable.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Responsable du traitement<\/strong><\/em>, la personne physique ou morale, l\u2019autorit\u00e9 publique, le service ou un autre organisme qui, seul ou conjointement avec d\u2019autres, d\u00e9termine les finalit\u00e9s et les moyens du traitement; lorsque les finalit\u00e9s et les moyens de ce traitement sont d\u00e9termin\u00e9s par le droit de l\u2019Union ou le droit d\u2019un \u00c9tat membre, le responsable du traitement peut \u00eatre d\u00e9sign\u00e9 ou les crit\u00e8res sp\u00e9cifiques applicables \u00e0 sa d\u00e9signation peuvent \u00eatre pr\u00e9vus par le droit de l\u2019Union ou par le droit d\u2019un \u00c9tat membre.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Repr\u00e9sentant<\/strong><\/em>, une personne physique ou morale \u00e9tablie dans l\u2019Union, d\u00e9sign\u00e9e par le responsable du traitement ou le sous-traitant par \u00e9crit, en vertu de l\u2019article 27, qui les repr\u00e9sente en ce qui concerne leurs obligations respectives en vertu du pr\u00e9sent r\u00e8glement.<\/p>\n<p style=\"text-align: justify;\"><em><strong>R\u00e8gles d\u2019entreprise contraignantes<\/strong><\/em>, les r\u00e8gles internes relatives \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel qu\u2019applique un responsable du traitement ou un sous-traitant \u00e9tabli sur le territoire d\u2019un \u00c9tat membre pour des transferts ou pour un ensemble de transferts de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 un responsable du traitement ou \u00e0 un sous-traitant \u00e9tabli dans un ou plusieurs pays tiers au sein d\u2019un groupe d\u2019entreprises, ou d\u2019un groupe d\u2019entreprises engag\u00e9es dans une activit\u00e9 \u00e9conomique conjointe.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Registre des activit\u00e9s de traitement,<\/strong><\/em><\/p>\n<ol style=\"text-align: justify;\">\n<li>Chaque responsable du traitement et, le cas \u00e9ch\u00e9ant, le repr\u00e9sentant du responsable du traitement tiennent un registre des activit\u00e9s de traitement effectu\u00e9es sous leur responsabilit\u00e9.&nbsp;Ce registre comporte toutes les informations suivantes :\n<ol style=\"list-style-type: lower-alpha;\">\n<li>le nom et les coordonn\u00e9es du responsable du traitement et, le cas \u00e9ch\u00e9ant, du responsable conjoint du traitement, du repr\u00e9sentant du responsable du traitement et du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es ;<\/li>\n<li>les finalit\u00e9s du traitement;<\/li>\n<li>une description des cat\u00e9gories de personnes concern\u00e9es et des cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel;<\/li>\n<li>les cat\u00e9gories de destinataires auxquels les donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 ou seront communiqu\u00e9es, y compris les destinataires dans des pays tiers ou des organisations internationales;<\/li>\n<li>le cas \u00e9ch\u00e9ant, les transferts de donn\u00e9es \u00e0 caract\u00e8re personnel vers un pays tiers ou \u00e0 une organisation internationale, y compris l\u2019identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts vis\u00e9s \u00e0 l\u2019article 49, paragraphe 1, deuxi\u00e8me alin\u00e9a, les documents attestant de l\u2019existence de garanties appropri\u00e9es;<\/li>\n<li>dans la mesure du possible, les d\u00e9lais pr\u00e9vus pour l\u2019effacement des diff\u00e9rentes cat\u00e9gories de donn\u00e9es;<\/li>\n<li>dans la mesure du possible, une description g\u00e9n\u00e9rale des mesures de s\u00e9curit\u00e9 techniques et organisationnelles vis\u00e9es \u00e0 l\u2019article 32, paragraphe 1.<\/li>\n<\/ol>\n<\/li>\n<li>Chaque sous-traitant et, le cas \u00e9ch\u00e9ant, le repr\u00e9sentant du sous-traitant tiennent un registre de toutes les cat\u00e9gories d\u2019activit\u00e9s de traitement effectu\u00e9es pour le compte du responsable du traitement, comprenant :\n<ol style=\"list-style-type: lower-alpha;\">\n<li>le nom et les coordonn\u00e9es du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas \u00e9ch\u00e9ant, les noms et les coordonn\u00e9es du repr\u00e9sentant du responsable du traitement ou du sous-traitant et celles du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es;<\/li>\n<li>les cat\u00e9gories de traitements effectu\u00e9s pour le compte de chaque responsable du traitement;<\/li>\n<li>le cas \u00e9ch\u00e9ant, les transferts de donn\u00e9es \u00e0 caract\u00e8re personnel vers un pays tiers ou \u00e0 une organisation internationale, y compris l\u2019identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts vis\u00e9s \u00e0 l\u2019article 49, paragraphe 1, deuxi\u00e8me alin\u00e9a, les documents attestant de l\u2019existence de garanties appropri\u00e9es;<\/li>\n<li>dans la mesure du possible, une description g\u00e9n\u00e9rale des mesures de s\u00e9curit\u00e9 techniques et organisationnelles vis\u00e9es \u00e0 l\u2019article 32, paragraphe 1.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<p style=\"text-align: justify;\"><em><strong>Sous-traitant<\/strong><\/em>, la personne physique ou morale, l\u2019autorit\u00e9 publique, le service ou un autre organisme qui traite des donn\u00e9es \u00e0 caract\u00e8re personnel pour le compte du responsable du traitement.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Tiers<\/strong><\/em>, une personne physique ou morale, une autorit\u00e9 publique, un service ou un organisme autre que la personne concern\u00e9e, le responsable du traitement, le sous-traitant et les personnes qui, plac\u00e9es sous l\u2019autorit\u00e9 directe du responsable du traitement ou du sous-traitant, sont autoris\u00e9es \u00e0 traiter les donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Violation de donn\u00e9es \u00e0 caract\u00e8re personnel<\/strong><\/em>, une violation de la s\u00e9curit\u00e9 entra\u00eenant, de mani\u00e8re accidentelle ou illicite, la destruction, la perte, l\u2019alt\u00e9ration, la divulgation non autoris\u00e9e de donn\u00e9es \u00e0 caract\u00e8re personnel transmises, conserv\u00e9es ou trait\u00e9es d\u2019une autre mani\u00e8re, ou l\u2019acc\u00e8s non autoris\u00e9 \u00e0 de telles donn\u00e9es.<\/p>\n<p style=\"text-align: justify;\"><em><strong>Traitement transfrontalier,<\/strong><\/em><\/p>\n<ol style=\"list-style-type: lower-alpha; text-align: justify;\">\n<li>un traitement de donn\u00e9es \u00e0 caract\u00e8re personnel qui a lieu dans l\u2019Union dans le cadre des activit\u00e9s d\u2019\u00e9tablissements dans plusieurs \u00c9tats membres d\u2019un responsable du traitement ou d\u2019un sous traitant lorsque le responsable du traitement ou le sous-traitant est \u00e9tabli dans plusieurs \u00c9tats membres ; ou<\/li>\n<li>un traitement de donn\u00e9es \u00e0 caract\u00e8re personnel qui a lieu dans l\u2019Union dans le cadre des activit\u00e9s d\u2019un \u00e9tablissement unique d\u2019un responsable du traitement ou d\u2019un sous-traitant, mais qui affecte sensiblement ou est susceptible d\u2019affecter sensiblement des personnes concern\u00e9es dans plusieurs \u00c9tats membres.<\/li>\n<\/ol>\n<p style=\"text-align: justify;\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-8365 size-full\" src=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration.png\" alt=\"GDPR TERRITORIAL SCOPE \u2013 SUBJECTS, CONTROLLERS AND PROCESSORS\" width=\"1215\" height=\"823\" srcset=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration.png 1215w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-480x325.png 480w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-768x520.png 768w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-1024x694.png 1024w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-150x102.png 150w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-300x203.png 300w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-600x406.png 600w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-900x610.png 900w, https:\/\/fedil.lu\/wp-content\/uploads\/2018\/03\/RGDP_illustration-1200x813.png 1200w\" sizes=\"auto, (max-width: 1215px) 100vw, 1215px\" \/><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Veuillez trouver&nbsp;la brochure en version PDF ICI. Introduction Le RGPD, c\u2019est quoi ? Le RGPD vise \u00e0 renforcer les droits des personnes physiques \u00e0 l\u2019\u00e9gard du traitement de leurs donn\u00e9es \u00e0 caract\u00e8re personnel. Pour ce faire, les entreprises se trouvent soumises \u00e0 un ensemble d\u2019obligations renforc\u00e9es voire nouvelles, afin de garantir une l\u00e9gitimit\u00e9 du traitement&#8230;.  <a class=\"excerpt-read-more\" href=\"https:\/\/fedil.lu\/de\/publications\/protection-des-donnees-mode-demploi\/\" title=\"ReadProtection des donn\u00e9es &#8211; Mode d\u2019emploi\">Read more &raquo;<\/a><\/p>\n","protected":false},"author":16,"featured_media":0,"template":"","class_list":["post-8368","publication","type-publication","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/fedil.lu\/de\/wp-json\/wp\/v2\/publication\/8368","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fedil.lu\/de\/wp-json\/wp\/v2\/publication"}],"about":[{"href":"https:\/\/fedil.lu\/de\/wp-json\/wp\/v2\/types\/publication"}],"author":[{"embeddable":true,"href":"https:\/\/fedil.lu\/de\/wp-json\/wp\/v2\/users\/16"}],"version-history":[{"count":2,"href":"https:\/\/fedil.lu\/de\/wp-json\/wp\/v2\/publication\/8368\/revisions"}],"predecessor-version":[{"id":61043,"href":"https:\/\/fedil.lu\/de\/wp-json\/wp\/v2\/publication\/8368\/revisions\/61043"}],"wp:attachment":[{"href":"https:\/\/fedil.lu\/de\/wp-json\/wp\/v2\/media?parent=8368"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}