Réponse : a Quels que soient la taille de ma société et le nombre de mes salariés, dès lors que je traite des données personnelles, c’est-à-dire identifiant directement ou indirectement une personne physique en Union Européenne, les traitements que j’utilise dans le cadre de mon activité sont soumis au RGPD.

 

  1. Mon fichier ne contient que les adresses e-mail de mes clients, je ne suis donc pas soumis au RGPD.
    1. Vrai
    2. Faux

Réponse : b Les adresses e-mail sont des données à caractère personnel, notamment lorsqu’elles sont composées par un prénom et un nom. Le responsable de traitement est donc soumis au RGPD lorsqu’il traite de telles adresses.

 

  1. Je ne suis pas soumis au RGPD lorsque j’utilise un identifiant pour désigner mes clients :
    1. Vrai
    2. Faux 

Réponse : b Un identifiant est une donnée à caractère personnel s’il permet d’identifier une personne physique. Certains identifiants font même l’objet d’une protection spécifique ; ainsi en est-il du numéro de sécurité sociale !

 

  1. J’ai perdu ma clef USB, elle contenait un extrait de ma base clients. Dois-je notifier cet incident à la CNIL et aux personnes concernées ?
    1. Dans tous les cas
    2. En présence d’un risque pour les droits et libertés des personnes concernées
    3. En présence d’un risque élevé pour les droits et libertés des personnes concernées

Réponse : C Ce n’est qu’en présence d’un risque élevé pour les droits et libertés des personnes concernées que le responsable de traitement doit notifier l’incident de sécurité, à la fois à l’autorité de contrôle et aux personnes concernées. Comment identifier le risque ? c’est au cas par cas, demandez donc à votre conseil ?

 

  1. Je suis développeur de logiciels que je vends à mes clients, suis-je concerné par le RPGD ?
    1. Vrai
    2. Faux

Réponse : a La réglementation en matière de données personnelles doit être prise en compte lors du développement de vos logiciels dans le respect des principes de Privacy by design et de Privacy by default. Par ailleurs, votre fichier clients ou vos traitements de ressources humaines  constituent des traitements de données personnelles au sens du RGPD.

 

  1. Je travaille dans le secteur médical, la conduite d’une analyse d’impact pour la vie privée est nécessaire pour traiter des données de santé :
    1. Vrai
    2. Faux

Réponse : a et b C’est au cas par cas : la réalisation d’une analyse d’impact est obligatoire lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». C’est le cas s’agissant du traitement de données sensibles à grande échelle.

 

  1. Quel droit n’est pas reconnu par le RGPD ?
    1. Le droit d’accès
    2. Le droit à l’effacement
    3. Le droit à la limitation du traitement
    4. Le droit de divulgation

Réponse : D Le droit d’accès, le droit d’effacement et le droit à la limitation du traitement sont conférés aux intéressés par le RGPD. Ce n’est pas le cas du droit de divulgation (qui est un droit moral de l’auteur, ça n’a rien à voir !).

 

  1. Le fait d’avoir effectué une déclaration auprès de la CNIL avant l’entrée en application du texte atteste de ma conformité au RGPD :
    1. Vrai
    2. Faux 

Réponse : b Le RGPD supprime les déclarations à effectuer auprès de la CNIL pour les traitements les plus courants. Toutefois, certaines formalités préalables subsistent, telles que les demandes d’autorisation pour certains traitements de données sensibles. Pour les autres traitements, assurez-vous qu’ils répondent aux attentes du RGPD !

 

  1. Je traite des données anonymisées, je reste potentiellement soumis au RGPD
    1. Vrai
    2. Faux

Réponse : b, ce n’est pas le cas si vos données sont réellement anonymisées ! En effet, seules les données anonymisées, selon les critères requis, à savoir qui ne permettent pas la réidentification des personnes sont hors champ d’application du RGPD. Ce cas est assez rare en ce que les données sont souvent simplement pseudonymisées car elles permettent une réidentification. Dans ce cas, le RGPD s’applique !

 

  1. Qu’est-ce que le principe d’accountability ?
    1. Une obligation qui ne s’applique pas au responsable de traitement
    2. L’obligation pour le responsable de traitement de tenir ses comptes personnels
    3. L’obligation pour le responsable de traitement de pouvoir démontrer de façon permanente sa conformité au RGPD

Réponse : c C’est l’une des modifications principales du RGPD ! Le responsable de traitement qui ne soumet plus ses traitements au contrôle préalable de la CNIL, est garant de leur  conformité et doit pouvoir le démontrer à tout moment.  De ce principe, découle notamment l’obligation de tenir un registre des activités, la mise en place de procédures écrites …Toutes ces actions de mise en conformité doivent désormais être documentées.

Nous contacter