Réponse

Votre entreprise/organisation ne peut traiter des données à caractère personnel que dans les situations suivantes:

  • avec le consentement des personnes concernées;
  • lorsqu'il existe une obligation contractuelle (un contrat entre votre entreprise/organisation et un client);
  • pour répondre à une obligation légale (en vertu de la législation UE ou nationale);
  • lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public (en vertu de la législation UE ou nationale);
  • pour protéger les intérêts vitaux d’une personne;
  • pour poursuivre les intérêts légitimes de votre organisation, mais uniquement après avoir vérifié que les droits fondamentaux et les libertés de la personne dont vous traitez les données ne sont pas sérieusement affectés. Si les droits de la personne concernée prévalent sur vos intérêts, les données de celle-ci ne peuvent pas être traitées en vous appuyant sur l'intérêt légitime. Afin de déterminer si les intérêts légitimes de traitement de votre entreprise/organisation prévalent sur ceux de la personne concernée, les circonstances personnelles doivent être prises en considération.

Exemples

Consentement
Votre entreprise/organisation propose une application de musique et demande le consentement des citoyens pour traiter leurs préférences musicales afin de leur suggérer des chansons et d’éventuels concerts susceptibles de les intéresser.

Obligation contractuelle
Votre entreprise/organisation vend des articles en ligne. Elle peut traiter des données nécessaires pour agir à la demande de la personne avant de conclure le contrat et pour l’exécution de celui-ci. Ainsi, vous pouvez traiter le nom, l’adresse de livraison, le numéro de carte de crédit (en cas de paiement par carte), etc.

Obligation légale
Vous avez votre propre entreprise et des employés. Afin d’obtenir une couverture sociale, la loi vous oblige à fournir aux autorités compétentes des données à caractère personnel (par exemple le revenu hebdomadaire de vos employés).

Intérêt public
Exemple: une association professionnelle telle qu’un barreau ou une association des professionnels de la santé investie d’une autorité officielle pour le faire prend des mesures disciplinaires à l’encontre de certains de ses membres.

Intérêts vitaux d’une personne
Un hôpital traite un patient impliqué dans un grave accident de la route. L'hôpital n'a pas besoin de son consentement pour chercher son identité et vérifier s’il figure dans la base de données de l'hôpital pour trouver ses antécédents médicaux ou contacter ses proches.

Intérêts légitimes de votre organisation
Votre entreprise/organisation garantit la sécurité de son réseau en contrôlant l’utilisation des dispositifs informatiques de ses employés. Votre entreprise/organisation peut légitimement traiter des données à caractère personnel à cette fin, mais uniquement si elle opte pour la méthode la moins intrusive à l’égard de la vie privée et des droits relatifs à la protection des données de vos employés, par exemple en limitant l’accessibilité de certains sites internet. (Notez que cette démarche est impossible dans les États membres de l'UE où le droit national fixe des règles plus strictes pour le traitement des données dans le contexte professionnel.)

Références