REGLEMENT SUR LA VIOLATION DES DONNEES A CARACTERE PERSONNEL

En vigueur à partir du 25 mai 2018 jusqu'à révocation

1. Introduction

La CGP Europe Société à Responsabilité Limitée (siège : 1024 Budapest, Ady Endre út 19. ; numéro d'enregistrement de la société : 01-09-965048 ; numéro fiscal : 23425026-2-41 ; numéro de registre de traitement des données : NAIH-78299/2014. ; (a ci-après : le « Responsable du traitement ») constitue le présent Règlement sur la protection de données (ci-après : le « Règlement »).

2. Définitions

Données à caractère personnel : toute information se rapportant à une personne physique (concernée) identifiée ou identifiable ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Donnée d'identification personnelle : le(s) nom(s), le(s) prénom(s), le(s) nom(s) de naissance, le sexe, la date et le lieu de naissance, le(s) nom(s) et le(s) prénom(s) de naissance de la mère, le domicile et le lieu de résidence, le numéro de sécurité sociale, seuls ou ensemble par lesquels la personne concernée peut être identifiée ou est identifiable.

Données sensibles : données personnelles relatives à l'origine raciale ou ethnique, aux opinions et à l'appartenance politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, à la vie sexuelle, à la santé, aux dépendances nocives, ainsi que les données personnelles concernant la criminalité.

Données concernant la santé : toute donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de santé qui révèlent des informations sur l’état de santé de cette personne.

Responsable du traitement : une personne physique ou morale ou une organisation sans personnalité juridique qui, seule ou conjointement, détermine les finalités du traitement des données, prend et exécute les décisions relatives au traitement des données (y compris l'outil utilisé) ou les fait exécuter par le sous-traitant mandaté par lui. La personne physique ou morale ou l'organisation sans personnalité juridique qui, aux fins du traitement de données définies par la loi, est autorisée à traiter des données à caractère personnel, d'identification personnelle ou dans certains cas des données sensibles ou concernant la santé est également considérée comme Responsable du traitement.

Traitement de données : toute opération ou tout un ensemble d'opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Violation de données à caractère personnel : une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisée à de telles données.

3. Législation relative à la protection des données

Règles juridiques ayant une importance particulière à l'égard du Règlement:

  1. Le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE - « règlement général sur la protection des données » (RGPD) ;
  2. La Loi fondamentale de la Hongrie ;
  3. L’article 2.42 de la loi V de 2013 sur le Code civil ;
  4. La loi CXII de 2011 sur l’autodétermination en matière d'information et sur la liberté d'information ;
  5. La loi XLVII de 1997 sur le traitement et la protection des données concernant la santé et des données à caractère personnel relatives à ces dernières ;
  6. La loi CVIII de 2001 sur les services de commerce électronique et sur certaines questions des services de la société de l'information ;
  7. La loi LXVI de 1992 sur le registre des données personnelles et de l'adresse des citoyens ;
  8. Toutes les modifications du Règlement UE, ainsi que la jurisprudence et les recommandations élaborées d'après le Règlement UE par la Commission européenne et l'autorité de contrôle compétente d’origine du Responsable du traitement.

4. Notification d'une violation de données à caractère personnel

En cas de Violation de données à caractère personnel, le Responsable du traitement la notifie à l'autorité de contrôle compétente dans les meilleurs délais et, lorsque c’est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu’il soit peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'est pas faite dans le délai de 72 heures, il faut joindre les motifs pouvant justifier le retard.
Le Sous-traitant notifie au Responsable du traitement toute Violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

La notification d'une Violation de données à caractère personnel doit:

  1. décrire la nature de la Violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées, et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés par la Violation des données à caractère personnel ;
  2. communiquer le nom et les coordonnées du délégué à la protection des données ou d'une autre personne de contact ;
  3. décrire les conséquences probables de la Violation de données à caractère personnel ;
  4. décrire les mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la Violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

S’ il n'est pas possible de fournir simultanément toutes les informations, celles-ci pourront être communiquées de manière échelonnée sans autre retard injustifié.
Le Responsable du traitement documente toute Violation de données à caractère personnel, en indiquant les faits concernant la Violation des données à caractère personnel, ses effets et les mesures prises pour y remédier.

5. Communication à la personne concernée d'une Violation de données à caractère personnel

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le Responsable du traitement communique la Violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
Le Responsable du traitement communique à la personne concernée, en des termes clairs et simples, la nature de la Violation de données à caractère personnel, le nom et les coordonnées de la personne de contact auprès de laquelle des informations supplémentaires peuvent être obtenues, les conséquences probables de la Violation de données à caractère personnel, les mesures prises ou proposées pour remédier à la Violation de données à caractère personnel, y compris, les mesures pour en atténuer les éventuelles conséquences négatives.

La communication à la personne concernée visée au point 5 du présent Règlement n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

  1. Le Responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement ;
  2. Le Responsable du traitement, suite à la Violation des données à caractère personnel, a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes n'est plus susceptible de se matérialiser ;
  3. elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

Si le Responsable du traitement n'a pas déjà communiqué à la personne concernée la Violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger l’information de la personne concernée ou peut décider que cette information peut être omise.

6. Autres dispositions

Le présent Règlement, conformément au Règlement sur le traitement de données du Responsable du traitement et au Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGDP) définit les dispositions suivantes :
Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.
Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, au droit de rectification ou d'effacement de ces données, au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une Violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des Responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

7. Dispositions finales

Le présent Règlement entre en vigueur le jour de la signature.
Les dispositions du présent Règlement sont applicables aux traitements de données effectués après son entrée en vigueur.
Les dispositions du présent Règlement sont applicables aux traitements de données en cours lors de son entrée en vigueur.
Pour les questions non régies par le présent Règlement, les dispositions des règles juridiques prévues par le point 3 sont applicables.
Avec l'entrée en vigueur du présent Règlement, les règlements antérieurs relatives à la violation des données à caractère personnel en vigueur au Responsable du traitement perdent leur effet.  


Fait à Budapest, le 25 mai 2018