RGPD

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (également connu sous le nom de Règlement (UE) 2016/679 ou « RGPD », ou « GDPR » en anglais) est un règlement du droit de l’UE sur la protection des données et de la vie privée dans l’UE et l’Espace économique européen (EEE). Bien qu’elle ait été rédigée et approuvée par l’Union européenne (UE), elle impose des obligations en matière de protection des données aux organisations du monde entier, à condition qu’elles s’adressent à des personnes dans l’UE ou qu’elles collectent des données sur ces personnes.

Qu’est-ce que les données à caractère personnel ?

Les données à caractère personnel sont toutes les informations qui se réfèrent à une personne physique qui peut être identifiée directement ou indirectement. Des informations multiples, collectées ensemble, peuvent mener à l’identification d’une personne spécifique et constituent donc des données à caractère personnel.

Les données à caractère personnel qui ont été dépersonnalisées, chiffrées ou anonymisées, mais qui peuvent être utilisées pour réidentifier une personne, restent des données à caractère personnel et entrent dans le champ d’application de la loi.

Voici quelques exemples de données personnelles :

• un nom et un prénom ;
• une adresse ;
• une adresse électronique ;
• un numéro de carte d’identité ;
• données de localisation ;
• une adresse IP ;
• Cookie ID ;
• l’identifiant publicitaire du téléphone.

Que signifie traiter des données ?

La définition du traitement des données couvre un large éventail d’opérations effectuées sur des données à caractère personnel, y compris par des moyens manuels ou automatisés. Il comprend la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction de données à caractère personnel. Si vous faites quelque chose avec des données de la manière mentionnée ci-dessus, vous traitez des données.

Qu’est-ce qu’un Responsable du traitement des données ou un Sous-traitant des données ?

Un responsable du traitement des données est une organisation, une institution ou une personne qui fixe les normes et les règles pour le traitement des données à caractère personnel. En pratique, cela signifie qu’un responsable du traitement est chargé de déterminer comment et pourquoi les données seront utilisées par une organisation. Le plus souvent, le responsable du traitement des données est une personne ou une organisation qui recueille les données et détermine ensuite la manière dont elles seront utilisées.

Ceci est différent pour un sous-traitant des données. Selon le RGPD, un sous-traitant est une organisation, une institution ou une personne qui met en œuvre les normes de traitement des données établies par le responsable du traitement. En règle générale, un sous-traitant est une partie qui traite des données selon les instructions et à la discrétion d’un responsable du traitement des données. Un sous-traitant n’est pas propriétaire des données qu’il traite et n’a aucun contrôle sur celles-ci. Cela signifie que le sous-traitant ne peut pas modifier la signification des données, ni déterminer la manière dont les données sont utilisées et qu’il est lié par les instructions.

Il y a quelques questions à poser pour comprendre la différence entre les fonctions de responsable du traitement des données et de sous-traitant des données :

Le Responsable du traitement des données prend les décisions suivantes :

• l’organisation qui collecte les données en premier lieu et qui dispose d’une base juridique pour le faire ;
• l’utilisation des données à caractère personnel ;
• si les données doivent être divulguées et, dans l’affirmative, à qui ;
• si les droits d’accès des personnes concernées et d’autres droits individuels s’appliquent ou s’il existe des exemptions ;
• la durée de conservation des données ou l’opportunité de modifier les données d’une manière qui n’est pas habituelle.

Le Sous-traitant des données prend les décisions suivantes :

• les méthodes utilisées pour la collecte et le stockage des données personnelles ;
• la manière dont les données sont sécurisées ;
• les moyens utilisés pour transférer des données à caractère personnel d’une organisation à une autre ;
• la manière dont les données à caractère personnel sont récupérées ;
• la méthode permettant d’assurer le respect d’un plan de conservation ;
• la manière dont les données à caractère personnel sont supprimées.

Quelles sont les conditions du RGPD pour le traitement des données à caractère personnel ?

L’article 6 du RGPD énumère les différentes conditions (également appelées base légale) en vertu desquelles il est légal de traiter des données à caractère personnel :

1. Consentement. Le consentement signifie que la personne concernée a donné son accord explicite à une activité de traitement de données à caractère personnel pour une ou plusieurs finalités spécifiques. La notion de finalité est ici essentielle. Si la personne concernée, également appelée personne physique, donne son consentement au traitement sans connaître la ou les finalités spécifiques dans leur intégralité et d’une manière facile à comprendre, le consentement n’est pas une base légale pour le traitement, car il doit être librement donné, précis, informé et sans ambiguïté. Les consentements doivent être granulaires et ne peuvent pas être regroupé. Ainsi, pour chaque activité de traitement des données dans le cadre d’une opération plus large, la règle générale est qu’un consentement distinct est nécessaire pour chaque activité.
2. Le traitement est nécessaire pour exécuter ou préparer la conclusion d’un contrat auquel la personne concernée est partie. Une organisation peut s’appuyer sur cette base légale si elle doit traiter les données à caractère personnel d’une personne pour lui fournir un service contractuel ou parce qu’elle a demandé à l’organisation de faire quelque chose avant de conclure un contrat (par exemple, fournir un devis).
3. Il est nécessaire de traiter les données pour remplir une obligation légale. Si le responsable du traitement des donées a une obligation légale pour laquelle des données à caractère personnel particulières doivent être traitées, le traitement est alors autorisé. Le respect d’une obligation légale pour laquelle le traitement est nécessaire et à laquelle le responsable du traitement est soumis n’est pas nouveau non plus.
4. Letraitement des données est nécessaire pour sauver la vie de quelqu’un. Cette base est également connue comme « intérêt vital ». Dans ce cas, la personne physique ne doit pas nécessairement être une personne concernée ; il peut également s’agir d’une autre personne physique. Bien entendu, il n’appartient pas au responsable du traitement de définir ce qu’est un intérêt vital. Cette base concerne davantage les situations de danger de mort où il n’y a pas d’autre base juridique pour le traitement, mais où le fait de ne pas traiter les données à caractère personnel signifierait essentiellement que quelqu’un mourrait si le sous-traitant ne prenait pas de mesures et qu’il avait donc besoin de savoir quelques choses sur la personne physique en danger.
5. Le traitement est nécessaire à l’exécution d’une tâche d’intérêt public ou à l’exercice d’une fonction officielle. Une organisation peut s’appuyer sur cette base légale si elle doit traiter des données à caractère personnel « dans le cadre de l’exercice de l’autorité publique ». Il s’agit des fonctions et pouvoirs publics prévus par la loi, ou de l’exécution d’une tâche spécifique d’intérêt public prévue par la loi.
6. Le responsable du traitement a un intérêt légitime à traiter les données à caractère personnel d’une personne. Le traitement de données à caractère personnel dans ce contexte n’est pas nécessairement justifié par une obligation légale ou effectué pour remplir les termes d’un contrat avec une personne. Dans ce cas, le traitement des données à caractère personnel peut être justifié par des motifs d’intérêt légitime. Par exemple, un sous-traitant a un intérêt légitime lorsque le traitement a lieu dans le cadre d’une relation avec un client, à des fins de marketing direct, pour prévenir la fraude ou pour assurer la sécurité du réseau et de l’information des systèmes informatiques.

Comment fonctionne le consentement dans le cadre du RGPD ?

Il existe des règles strictes concernant le consentement d’une personne concernée au traitement de ses données :

• Le consentement doit être « librement donné, précis, informé et sans ambiguïté ».
• Les demandes de consentement doivent être « clairement distinguées des autres questions » et présentées dans un « langage clair et simple ».
• Les personnes concernées peuvent retirer le consentement qu’elles ont donné précédemment quand elles le souhaitent et vous devez respecter leur décision. Il n’est pas possible de changer simplement la base légale du traitement par l’une des autres justifications.
• Il est nécessaire de conserver les preuves documentaires du consentement.

Quels sont les droits individuels au titre du RGPD ?

Le RGPD prévoit les droits suivants pour les individus :

1. Le droit d’être informé (les individus ont le droit d’être informées de la manière dont les entreprises collectent et utilisent leurs données personnelles, de la durée pendant laquelle elles prévoient de conserver ces données et des personnes avec lesquelles elles les partageront) ;
2. Le droit d’accès (les individus ont le droit de savoir exactement quelles informations les entreprises ont collectées, comment elles stockent et traitent ces données et ce qu’elles vont en faire) ;
3. Le droit de rectification (les individus ont le droit de faire compléter les données incomplètes et rectifier les données inexactes) ;
4. Le droit à l’effacement (les individus ont le droit de faire effacer définitivement les données à caractère personnel. Ce droit est également connu sous le nom de « droit à l’oubli ») ;
5. Le droit de restreindre le traitement (si les individus ne peuvent pas exiger que les responsables du traitement effacent leurs informations personnelles, ils peuvent restreindre la capacité des responsables du traitement à traiter ces données) ;
6. Le droit à la portabilité des données (les individus ont le droit d’obtenir et de réutiliser leurs données personnelles à leurs propres fins dans différents services) ;
7. Le droit d’opposition (les individus ont le droit de s’opposer au traitement de leurs données personnelles dans certaines circonstances) ;
8. Droits relatifs à la prise de décision automatisée et au profilage (les individus ont le droit d’exiger une intervention humaine, plutôt que de confier à des algorithmes la prise de décisions importantes).

Quels sont les sept principes du RGPD ?

Selon le GDPR, il existe sept principes clés en matière de protection des données et de responsabilité :

1. Légalité, loyauté et transparence. Le traitement doit être licite, loyal et transparent pour la personne concernée.
2. Limitation des finalités. Le traitement des données doit être effectué pour les finalités légitimes explicitement spécifiées à la personne concernée au moment de la collecte.
3. Minimisation des données. La collecte et le traitement des données doivent se limiter à ce qui est absolument nécessaire aux fins spécifiées.
4. Exactitude. Les données à caractère personnel doivent être exactes et à jour.
5. Limitation du stockage. Les données à caractère personnel ne peuvent être conservées que pour la durée nécessaire à la réalisation de la finalité spécifiée.
6. Intégrité et confidentialité. Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple en utilisant le chiffrement).
7. Responsabilité. Le responsable du traitement des données est chargé de pouvoir démontrer la conformité du RGPD avec l’ensemble de ces principes.

Le RGPD exige-t-il que les données personnelles des résidents de l’UE restent dans l’UE ?

Le RGPD ne prévoit pas de restriction directe pour que les données personnelles des résidents de l’UE restent uniquement dans l’UE. Cependant, la protection des données de l’UE fonctionne selon le principe « Le GDPR reste avec les données », ce qui signifie que les règles protégeant les données personnelles continuent de s’appliquer quel que soit l’endroit où les données se trouvent. Ce principe s’applique également lorsque des données à caractère personnel sont transférées vers un pays qui n’est pas membre de l’UE.

Le Fonds de Dotation BINA traite-t-elle des données personnelles ?

Oui, Le Fonds de Dotation BINA peut traiter des données personnelles.

Il existe cinq scénarios principaux, au cours desquels nous pouvons traiter ces informations :

1. Lors d’une demande de référencement d’une Œuvre réalisée par l’artiste Ladislas KIJNO
2. Lors d’une demande d’information sur une Œuvre de l’Artiste Ladislas KIJNO.
3. Lorsque vous visitez le site web https://www.kijno.fr/
4. Dans le cadre de la collaboration en le propriétaire d’une Œuvre de l’Artiste Ladislas KIJNO et Le Fonds de Dotation BINA pour la réalisation du Catalogue Raisonné
5. Dans le cadre d’un achat en ligne

Quels types de données me concernant peuvent être traités par Le Fonds de Dotation BINA ?

Le Fonds de Dotation BINA peut traiter différents types de données, en fonction du scénario de l’interaction avec vous.

Lors des demandes de référencement d’une Œuvre réalisée par l’artiste Ladislas KIJNO nous pouvons :

• Répertorier les œuvres
• Répertorier les propriétaires des œuvres

Lors de votre inscription sur le site https://www.kijno.fr , nous pouvons traiter :

• Les informations vous concernant (nom, prénom, email, adresse, numéro de téléphone et vos photos).
• Les informations que vous partagez avec nous sur l’œuvre que vous possédez
• Les identifiants uniques pour nos Services (tels que votre nom d’utilisateur et votre mot de passe).

Si vous visitez notre site web, nous pouvons traiter :

• Les informations que vous fournissez en remplissant les formulaires, qui peuvent contenir vos informations personnelles et vos coordonnées de contact.
• Cookie ID (via un outil conforme au RGPD).
• Votre adresse IP pour définir le pays de votre emplacement.

Lors de la collaboration en le propriétaire d’une Œuvre de l’Artiste Ladislas KIJNO et Le Fonds de Dotation BINA pour la réalisation du Catalogue Raisonné nous pouvons traiter :

• Les informations vous concernant (nom, prénom, email, adresse, numéro de téléphone et vos photos).
• Les informations que vous partagez avec nous sur l’œuvre que vous possédez

Quelle est la finalité et la base juridique du traitement ?

• Toutes les données que nous recevons par le biais su site internet sont traitées uniquement pour vous fournir des informations sur l’œuvre de Ladislas KIJNO. De plus, cela signifie que nous ne recueillons aucune donnée qui ne nous est pas spécifiquement nécessaire pour vous fournir de telles informations
• Si vous décidez de vous abonner à notre newsletter, nous vous enverrons par e-mail des informations nous concernant et nos dernières mises à jour. Nous comptons sur votre consentement que vous accordez en confirmant votre enregistrement à notre site internet. De plus, nous personnaliserons ces emails en fonction des renseignements que nous avons à votre sujet, afin qu’ils soient plus pertinents et plus utiles pour vous.
• Nous utilisons les données que vous partagez avec nous à partir des informations que vous nous avez communiquées lors de votre inscription.

Où sont stockées les informations ?

Tous les types de données que Le Fonds de Dotation BINA peut recueillir auprès de vous sont stockés dans le nuage de stockage situé en FRANCE (à l’intérieur de l’EEE) ; le choix du lieu de stockage des données est soumis à la disponibilité de l’infrastructure d’OVH..

Pendant combien de temps les informations sont-elles conservées ?

Les données sont conservées pendant toute la durée de votre inscription sur le site https://www.kijno.fr.

Toutefois, certains types de données (tels que le nom et les coordonnées mentionnées dans l’inscription sur le site) peuvent être conservés plus longtemps que la période de coopération afin de respecter la traçabilité de l’œuvre de Ladislas KIJNO.

Qui a accès au système et aux informations du côté du Fonds de Dotation BINA ?

Le Fonds de Dotation BINA suit les principes de minimisation de la disponibilité et de minimisation des privilèges lors de l’accès aux données. Ainsi, l’accès aux données ne peut être accordé qu’aux employés du Fonds de Dotation BINA chargés de soutenir le processus de préservation et la conservation de l’œuvre de l’Artiste. Lorsque le personnel du Fonds de Dotation BINA accède aux données, son équipement est protégé par un système de chiffrement et d’autres outils, conformément aux normes techniques les plus strictes du marché. Tous les employés ont signé un accord de confidentialité et procèdent chaque année à une évaluation de la protection des données. Toutes les actions du personnel sont enregistrées et les enregistrements sont automatiquement vérifiés en temps réel. En cas de doute sur un accès excessif, nous restreignons l’accès et commençons immédiatement à enquêter sur l’affaire. Néanmoins, nous tenons à souligner que le Fonds de Dotation BINA n’accède jamais aux données sans disposer d’une base juridique valable pour un tel accès.

Que fait Le Fonds de Dotation BINA pour se conformer aux lois mondiales sur la protection des données ? Comment Le Fonds de Dotation BINA démontre-t-il sa conformité avec le RGDP ?

Pour se conformer aux lois internationales sur la protection des données, Le Fonds de Dotation BINA applique un nombre important de mesures, de mécanismes et de procédures. Par exemple, Le Fondsde Dotation BINA applique les principes de limitation du traitement des données (respect de la vie privée dès la conception et par défaut), de minimisation des données, de contrôle d’accès, de politiques de traitement des données (politiques de stockage, de traitement, de suppression, etc.). Dans le cadre des transferts de données, Le Fonds de Dotation BINA utilise diverses mesures, y compris des mesures organisationnelles et techniques et des Clauses contractuelles types. Vous trouverez plus d’informations à ce sujet dans la section Transfert de données.

Comment puis-je exercer mes droits en matière de protection de la vie privée ?

Pour exercer vos droits en matière de protection de la vie privée (supprimer vos données personnelles, vous y opposer ou en être informé, restreindre le traitement, etc.), vous pouvez nous contacter à l’adresse électronique rgpd@kijno.fr

Avec qui Le Fonds de Dotation BINA peut-il partager mes données ? Quels types de données peuvent être partagés et dans quels cas ?

En général, nous ne pouvons partager vos données personnelles que lorsque cela est nécessaire pour la préservation et la conservation de l’œuvre de l’Artiste. Ces données peuvent être divulguées avec votre consentement à des Conservateurs de Musées, Galeries d’art….

Nous pouvons partager vos coordonnées (telles que le numéro de téléphone portable, le pseudo et l’e-mail) avec des Conservateurs de Musées, Galeries d’art ou d’autres collectionneurs indépendants ou non, si vous nous le demandez ou le consentez. Veuillez noter que ces Conservateurs de Musées, Galeries d’art ou d’autres collectionneurs indépendants ou non, deviendront des contrôleurs de données indépendants, responsables du traitement de vos données personnelles. Malgré le fait que nous choisissions des partenaires réputés nous vous recommandons de vérifier leur politique de confidentialité avant de nous demander de transférer vos données aux sociétés sélectionnées.

Pour certains besoins, Le Fonds de Dotation BINA peut utiliser les services de sous-traitants tiers situés en dehors de l’EEE. Ces besoins peuvent inclure l’hébergement de données, la communication technique pour l’enregistrement, l’installation et d’autres activités organisationnelles via du courrier électronique au téléphone.

Le Fonds de Dotation BINA fait le nécessaire pour s’assurer que ces transferts sont effectués en conformité avec toutes les lois applicables en matière de protection des données. Par conséquent, Le Fonds de Dotation BINA devra signer des accords de traitement des données (DPA) avec tous les sous-traitants (y compris des clauses contractuelles types (SCC) dans le cas de transferts de données transfrontaliers), ainsi que des mesures supplémentaires dans le cas de transferts et de traitements de données. Tous les sous-traitants du Fonds de Dotation BINA ont leur propre politique de protection de la vie privée et d’autres documents relatifs à la protection de la vie privée.

Liste des sous-traitants agréés par Le Fonds de Dotation BINA :

Qu’est-ce que les Clauses сontractuelles types ?

Les clauses contractuelles types (SCC) sont des modèles de clauses de protection des données normalisées et préapprouvées qui permettent aux responsables du traitement et aux sous-traitants de se conformer à leurs obligations en vertu de la législation européenne sur la protection des données. Elles peuvent être intégrées par les responsables du traitement et les sous-traitants dans leurs accords contractuels avec d’autres parties, telles que les partenaires commerciaux. Les clauses peuvent être utilisées sur une base volontaire pour démontrer le respect des exigences en matière de protection des données, ce qui nécessite un engagement contractuel contraignant à les respecter. La Commission européenne a le pouvoir d’adopter des SCC(1) en ce qui concerne la relation entre le responsable du traitement et le sous-traitant et (2) pour le transfert de données à caractère personnel vers des pays situés en dehors de l’EEE.

Qu’est-ce que les Mesures supplémentaires ?

Les Mesures supplémentaires sont des procédures techniques et organisationnelles spécialement mises en œuvre pour atteindre un niveau d’assurance efficace sur les données transférées équivalent au traitement des données au sein de l’EEE.

Le Fonds de Dotation BINA a mis en œuvre, entre autres, les mesures organisationnelles suivantes :

• la formation et l’examen réguliers des employés du Fonds de Dotation BINA ;
• un système automatisé de surveillance en temps réel des violations et des vulnérabilités ;
• l’enregistrement continu de tous les processus ;
• contrôle et validation réguliers et personnalisés du système du Fonds de Dotation BINA afin de déceler les vulnérabilités.

Le Fonds de Dotation BINA a mis en œuvre, entre autres, les mesures techniques suivantes :

• Mesures visant à empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données situés dans les locaux et installations (y compris les bases de données, les serveurs d’applications et le matériel connexe), où des données à caractère personnel sont traitées, y compris la création de zones de sécurité, la restriction des voies d’accès, la création d’autorisations d’accès pour les employés et les tiers, le verrouillage des portes, alarme.
• Mesures visant à empêcher l’utilisation des systèmes de traitement des données par des personnes non autorisées, y compris les procédures d’identification et d’authentification des utilisateurs, les procédures de sécurité des identifiants et des mots de passe, le chiffrement des supports de données archivés.
• Mesures visant à garantir que les personnes autorisées à utiliser un système de traitement des données n’ont accès qu’à ces données personnelles conformément à leurs droits d’accès et que les données personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation, y compris les politiques et procédures internes, les systèmes d’autorisation de contrôle, les droits d’accès différenciés (profils, rôles, transactions et objets), la surveillance et l’enregistrement des accès, les mesures disciplinaires à l’encontre des employés qui accèdent à des données personnelles sans autorisation.
• Mesures visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, du transport ou du stockage sur des supports (manuels ou électroniques) et qu’il est possible de vérifier à quelles sociétés ou autres entités juridiques les données à caractère personnel sont divulguées, y compris le chiffrement, la journalisation et la sécurité du transport. Toutes les données à caractère personnel sont chiffrées avec l’algorithme SHA256 au repos et sont soumises à un transfert via HTTPS avec le chiffrement SHA128 et TLS 1.2.
• Mesures permettant de contrôler si des données ont été saisies, modifiées ou supprimées (effacées) et par qui, dans les systèmes de traitement des données, y compris les systèmes d’enregistrement et de compte rendu, les pistes d’audit et la documentation.
• Mesures visant à garantir la protection des données à caractère personnel contre la destruction accidentelle ou la perte (physique/logique), y compris les procédures de sauvegarde, l’alimentation électrique sans interruption (UPS), le stockage à distance, les systèmes antivirus/pare-feu, le plan de reprise après sinistre, le plan de viabilité de l’entreprise.
• Mesures visant à garantir que les données à caractère personnel collectées à des fins différentes peuvent être traitées séparément, y compris la séparation des bases de données, la limitation de l’utilisation, la séparation des fonctions (production/test).

Qu’est-ce qu’une Analyse d’impact du transfert des données personnelles (TIA) ?

Une Analyse d’impact du transfert (TIA) est une analyse effectuée par un responsable du traitement des données ou par un sous-traitant des données sur les implications en matière de sécurité d’un transfert de données à caractère personnel vers des pays situés en dehors de l’UE/EEE ou bénéficiant d’une décision d’adéquation.