Les documents qui me sont envoyés en tant que contenu proposé d'un site Web peuvent-ils être en infraction avec la réglementation GDPR?

Question

Un de mes amis insiste sur le fait que les informations que me soumet un client dans le cadre du contenu proposé pour un site Web sur lequel il est en train de m'engager à construire peuvent être qualifiées de données sensibles et, en tant que telles, peuvent enfreindre le nouveau règlement européen GDPR.

Prenons l'exemple suivant: un client m'a demandé de lui créer un site Web. Ils me fournissent le contenu qu'ils souhaitent sur les pages (un site Web accessible au public que toute personne disposant d'une connexion Internet peut voir). Si ce contenu contient des informations personnelles (noms, photos, historique d'emploi, etc.), je suis maintenant en possession d'informations "sensibles" et, en tant que développeur web, je dois respecter toute la législation pertinente en matière de traitement de ces informations; malgré le fait qu'ils me l'aient donné de leur propre volonté dans le but exprès de l'afficher publiquement sur leur site web.

Pour être clair, selon ce que l’on me dit, si on me demandait de créer une page Web contenant des informations sur le personnel comme celle-ci , par exemple, le client me ferait parvenir le nom et les photos du personnel, ce qui signifie que je suis en train de "traiter des données personnelles".

Cela me semble ridicule, et non à quoi le règlement était destiné; à savoir la sollicitation et la collecte d'informations personnelles à des fins de marketing ciblé, ce qui n’est évidemment pas du tout ce qui se passe ici. Certes, si je reçois simplement une masse de documents et qu’on me demande de les mettre sur un site Web, je remplis simplement un contrat?

Que pensez-vous de ceci? Je vous remercie.

Christopher Klaus · Answer

Il semble que les entrepreneurs relèvent du GDPR. mais dans certaines situations ne doivent pas s'inscrire.

Le règlement général de l'UE sur la protection des données (RPGD) s'adresse à toutes les organisations ou à tous les individus qui détiennent ou utilisent des données à caractère personnel à des fins professionnelles ou professionnelles, quelles que soient leur taille ou leur structure.

Les exigences générales du GDPR incluent l’utilisation loyale des données à caractère personnel; identifier les finalités pour lesquelles vous les conservez, informer les utilisateurs de ce que vous faites avec leurs données, ne pas conserver plus de données que nécessaire, les supprimer lorsque vous n’en avez plus besoin, et garder les données à jour et sécurisées.

En ce qui concerne l'enregistrement, le RPGD n'exige pas d'enregistrement général de la protection des données pour une entreprise ou une organisation (bien que cela nécessite une consultation avec les autorités dans certaines situations). Cependant, au Royaume-Uni, certaines les organisations paient des redevances annuelles de protection des données et fournissent des informations de base conformément au règlement de 2018 sur la protection des données (charges et informations).

En fait, votre client a des responsabilités GDPR vis-à-vis des sous-traitants.

Les contrôleurs doivent superviser la manière dont les sous-traitants traitent les données avec les processeurs de données internes.

Le responsable du traitement doit également s'assurer que les contractants externes se conforment.