Foire aux questions concernant le RGPD

Avertissement : Les informations contenues ici ne remplacent pas un avis juridique ou une consultation auprès de l'autorité compétente. Pour toute question à résoudre, veuillez contacter votre conseiller juridique ou votre autorité de contrôle.

1. Qu'est-ce que le RGPD ?

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (Règlement général sur la protection des données / RGPD) est en vigueur depuis le 25 mai 2018.

Il concerne la protection des informations personnelles des individus et s'applique dans les cas suivants :

  • si l'entreprise mène des activités dans l'UE ;
  • si les activités de traitement sont liées à l'offre de biens ou de services à des individus dans l'UE ;
  • si la surveillance du comportement des individus a lieu dans l'UE ;
  • si le droit de l'UE est applicable aux activités de l'entreprise.

Important : Le RGPD ne s'applique pas aux informations anonymes, c'est-à-dire aux informations qui ne se rapportent pas à une personne physique identifiée ou identifiable ou aux données personnelles rendues anonymes de manière à ce que la personne concernée ne soit plus identifiable. Le RGPD ne concerne pas le traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

2. Le RGPD s'applique-t-il aux activités de mon entreprise ?

Premièrement, vous devez déterminer si le RGPD est applicable en général aux activités de votre entreprise (voir Q1).

Deuxièmement, vous devez déterminer si votre entreprise traite des données personnelles.

Selon le RGPD, on entend par « données personnelles » toute information se rapportant à une personne physique identifiée ou identifiable (« Sujet de données ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Selon le RGPD, « traitement » signifie toute opération ou ensemble d'opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, l'alignement ou la combinaison, la limitation, l'effacement ou la destruction.

Selon le RGPD, « responsable du traitement » désigne la personne physique ou morale, l'autorité publique, l'agence ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.

Selon le RGPD, « sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement.

Exemple 1 :  Le RGPD est applicable si vous êtes un employeur et que vous surveillez la localisation des voitures qui appartiennent à vos employés ou qui leur sont affectées. Les données peuvent inclure non seulement l'emplacement du véhicule, mais aussi celui de l'employé. Dans ce cas, les données dérivées du véhicule peuvent aider à identifier l'individu et son emplacement.

Exemple 2 :  Le RGPD ne s'applique pas si vous surveillez l'emplacement des voitures liées à l'adresse IP de l'entreprise et qui ne peuvent pas être attribuées à une personne particulière.

Pour décider si les données collectées sont raisonnablement susceptibles d'être utilisées pour identifier une personne physique, tous les facteurs objectifs doivent être pris en compte, tels que les coûts et la durée nécessaire à l'identification, en tenant compte de la technologie disponible au moment du traitement et de l'évolution technologique.

Cette question est importante car votre entreprise peut être tenue d'effectuer certaines actions en vertu du RGPD (voir Q5).  Nous vous recommandons de contacter votre conseiller juridique local ou votre autorité de contrôle pour déterminer si le RGPD s'applique aux activités de votre entreprise.

3. Le RGPD s'applique-t-il aux activités de Gurtam ?

Gurtam ne traite aucune donnée personnelle identifiable des utilisateurs finaux de ses partenaires.

Cependant, dans les cas où le partenaire de Gurtam traite des données personnelles à l'aide du logiciel Wialon Hosting, Gurtam peut agir en tant que sous-traitant en vertu du RGPD (voir Q5). Quelles sont les mesures prises par Gurtam pour se conformer au RGPD ? Gurtam prend toutes les mesures techniques et organisationnelles nécessaires pour se conformer au RGPD.

4. Comment Gurtam obtient-il le consentement pour traiter les données personnelles des utilisateurs finaux de ses produits ?

Gurtam n'obtient pas le consentement des clients de ses partenaires. Dans le cas où votre entreprise traite des données personnelles (voir Q2), Gurtam est tenu de :

  • prendre certaines mesures pour se conformer au RGPD ;
  • s'assurer qu'il y a un accord de protection des données valide avec votre entreprise ;
  • remplir les obligations du sous-traitant en vertu de l'article 28 du RGPD.

5. Quelles mesures mon entreprise doit-elle prendre pour se conformer au RGPD ?

Si votre entreprise est considérée comme responsable du traitement ou sous-traitant en vertu du RGPD (voir Q2), vous êtes tenu d'effectuer certaines actions en vertu des articles 24 à 34 du RGPD.

La description des actions est également disponible ici : https://ec.europa.eu/justice/smedataprotect/index_en.htm#target-4

6. Serai-je soumis à une amende si les actions de mon entreprise ne sont pas conformes au RGPD ?

Chaque autorité de contrôle veille à ce que l'imposition d'amendes administratives en rapport avec le RGPD soit efficace, proportionnée et dissuasive dans chaque cas individuel. 

Les pouvoirs de l'autorité de contrôle sont détaillés à l'article 58 du RGPD.