Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.

Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.

Plus d’informations :

• Traiter les données personnelles de manière licite

Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.

Plus d’informations :

• Le délégué à la protection des données

Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.

Plus d’informations :

• Bases de la protection des données

Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.

Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.

Plus d’informations :

• Responsable du traitement ou sous-traitant
   

Tout organisme, quelle que soit sa taille ou son secteur, établi dans l’Espace économique européen (EEE) ou offrant des produits ou des services à des particuliers dans l’EEE, traitant des données personnelles, de manière automatisée ou non, doit se conformer au RGPD. Même si le RGPD concerne principalement le traitement automatisé de données personnelles, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur. 

Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation, la modification et l’effacement de données personnelles.

Néanmoins, les règles applicables du RGPD dépendent de la nature, du contexte, des finalités et des risques des opérations de traitement effectuées. Pour les PME dont l’activité principale n’est pas le traitement de données personnelles, les obligations peuvent être moins strictes que pour une grande entreprise.

Plus d’informations :

• Les bases de la protection des données
   

En vertu du RGPD, il existe, en principe, deux principaux moyens de transférer des données personnelles vers un pays non membre de l’EEE ou une organisation internationale. Les transferts peuvent avoir lieu sur la base d’une décision d’adéquation ou, en l’absence d’une telle décision, sur la base de garanties appropriées, y compris des droits et des voies de recours pour les personnes physiques.

Plus d’informations :

• Transferts internationaux

Un contrat valide entre le responsable du traitement et le sous-traitant est obligatoire en vertu du RGPD. Une infraction peut faire l’objet d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel total d’une entreprise, le montant le plus élevé étant retenu.

Pour vous guider lors de la mise en place d’un accord responsable du traitement des données, les autorités danoises et slovènes chargées de la protection des données, ainsi que la Commission européenne, ont élaboré des modèles de contrat.

Plus d’informations :

• Responsable du traitement des données ou sous-traitant
   

Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :

• avec le consentement des personnes concernées;
• lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
• pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
• lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
• protéger les intérêts vitaux d’un individu;
• pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.

En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.

Plus d’informations :

• Traiter les données personnelles de manière licite

La tâche du DPD comprend, entre autres :

• informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
• contrôler la conformité à la protection des données;
• fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
• agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
• agir comme point de contact pour les particuliers.

En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.

Plus d’informations :

• Le délégué à la protection des données

Le contrat entre le responsable du traitement et le sous-traitant doit stipuler que ce dernier :

• traite les données personnelles uniquement sur instruction du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays situé en dehors de l’EEE ;
• veille à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• assure la sécurité du traitement ;
• ne fasse pas appel à un autre sous-traitant sans l’autorisation écrite spécifique ou générale préalable du responsable du traitement ;
• assiste le responsable du traitement pour l’exécution des obligations du responsable du traitement pour répondre aux demandes d’exercice des droits des personnes ;
• aide le responsable du traitement à sécuriser le traitement, à notifier les violations de données et à effectuer des AIPD;
• au choix du responsable du traitement, supprime ou renvoie toutes les données personnelles au responsable du traitement après la fin de la prestation des services ;
• mette à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant du RGPD;
• permette et contribue aux audits, y compris ceux effectués par le responsable du traitement des données ou un autre auditeur mandaté par le responsable du traitement des données.

En outre, le sous-traitant informe immédiatement le responsable du traitement si, à son avis, des instructions enfreignent le RGPD ou d’autres dispositions de l’UE ou nationales en matière de protection des données.

 Plus d’informations :

• Responsable de traitement ou sous-traitant