QuestionPro

+1 800 531 0228 +1 (647) 956-1242 +52 999 402 4079 +49 301 663 5782 +44 20 3650 3166 +81-3-6869-1954 +61 2 8074 5080 +971 529 852 540

Les droits du GDPR : Ce que tout responsable du traitement des données et toute personne concernée doivent savoir

Le 25 mai 2018, une nouvelle loi GDPR (General Data Protection Regulation) est entrée en vigueur dans toute la région de l’UE. Il s’agit de la nouvelle loi européenne sur la protection de la vie privée, qui remplace l’ancienne directive de 1995 sur la protection des données. Depuis son entrée en vigueur, elle est considérée comme le plus grand changement en matière de protection des données depuis 20 ans.

Pourquoi le GDPR a-t-il été imposé ?

En raison de l’évolution technologique, la transformation numérique est devenue essentielle pour les organisations. Toutes les entreprises, petites ou grandes, sont en train de tout mettre en ligne. Par la suite, la quantité de données générées, créées et stockées a commencé à monter en flèche. Le GDPR est un moyen de relever les défis liés au partage, au stockage et à l’utilisation des données afin de rationaliser et d’apporter de la transparence dans les activités transfrontalières. Le GDPR permet aux entreprises de contrôler et de gérer les données à l’échelle de l’entreprise.

Ainsi, les nouvelles règles d’utilisation et de conservation des données s’accompagnent de nouveaux droits de traitement des données dans le cadre du GDPR. Dans ce blog, nous nous concentrerons sur les droits GDPR que chaque organisation doit connaître au préalable.

Les droits de chaque personne concernée et de chaque individu selon le GDPR

L’une des principales avancées du règlement général européen sur la protection des données (RGPD) est d’assurer une protection complète des données des personnes concernées. Le GDPR garantit la protection et la confidentialité des données en donnant aux personnes concernées certains droits. En utilisant ces droits, la personne concernée peut faire une demande spécifique pour être assurée de la sécurité et de la confidentialité de ses données. Avant de fournir des informations personnelles ou sensibles, la personne concernée peut s’assurer que ses données ne seront pas utilisées à des fins autres que l’objectif premier pour lequel elles sont collectées.

Voici les droits du GDPR que tout le monde doit connaître

Droit d’accès

Conformément à l’article 15 du GDPR, les personnes concernées ont le droit d’accès, c’est-à-dire le droit d’obtenir du responsable du traitement des données des informations détaillées sur les données collectées auprès d’elles. En bref, si une organisation ou une entité recueille des informations personnellement identifiables auprès de la personne concernée, celle-ci a le droit de demander l’accès à ces mêmes données.

Qu’est-ce que c’est ?

Conformément à l’article 15, la personne concernée peut, si nécessaire, vérifier auprès du responsable du traitement si ses données font l’objet d’un traitement ou non. Dans l’affirmative, le demandeur, s’il a l’intention de le faire, a le droit de savoir

  • Copie précise des données personnelles traitées
  • Quelle est la finalité du traitement des données personnelles des personnes concernées ?
  • Nom des catégories pour lesquelles les données sont traitées, comme le nom, l’adresse, les coordonnées, etc.
  • Divulgation mentionnant les détails du tiers avec lequel les données personnelles des personnes concernées sont partagées – en particulier si ce tiers appartient à un pays différent
  • Indiquer la source exacte (tiers) auprès de laquelle les données sont collectées, si elles ne proviennent pas directement de la personne concernée.
  • Pendant combien de temps le responsable du traitement a-t-il l’intention de conserver les données ?

Quelles sont les exigences ?

En vertu du droit d’accès prévu par le GDPR, il suffit d’envoyer un courriel au propriétaire du site web pour demander l’accès à ses données. La personne concernée qui a besoin d’accéder à ses données privées doit envoyer une demande formelle d’accès au sujet (SAR) au responsable du traitement des données concerné. La personne concernée peut soumettre la DAS par courrier électronique, par télécopie ou par écrit, en veillant à ce qu’elle laisse une trace documentaire.

En vertu de l’article 15, la première copie des données à caractère personnel traitées est gratuite ; pour toutes les autres demandes, le responsable du traitement des données est habilité à percevoir une redevance raisonnable. En outre, les demandes électroniques de copie de données doivent être fournies sous une forme électronique couramment utilisée. Rappelons que les formats .csv et .txt sont les plus courants pour les demandes électroniques.

Droit de rectification

Conformément à l’article 16 du RGPD, la personne concernée a le droit de demander au responsable du traitement de rectifier les données à caractère personnel inexactes enregistrées dans sa base de données dans un délai raisonnable. Après avoir examiné la finalité de la collecte des données, la personne concernée a le droit de faire rectifier ses données incomplètes ou inexactes après avoir fourni une déclaration complémentaire.

Qu’est-ce que c’est ?

En vertu de l’article 16 de la législation européenne sur la protection des données, une personne concernée peut faire rectifier ses données inexactes ou incomplètes en y joignant une déclaration complémentaire. La demande de rectification doit être faite verbalement, par téléphone ou par écrit. La loi oblige également les responsables du traitement à répondre dans un délai d’un mois civil à chaque demande de rectification.

En vertu de la loi, il est dans l’intérêt du responsable du traitement d’accepter ou de rejeter la demande de rectification et ce droit du responsable du traitement est étroitement protégé par les obligations du responsable du traitement mentionnées dans le principe d’exactitude.

Quelles sont les exigences ?

La loi GDPR n’a pas spécifié le format exact pour soumettre une demande de rectification valide. La personne concernée peut donc formuler sa demande verbalement, par courrier électronique ou par écrit. En outre, il est possible d’envoyer la demande sans s’adresser à une personne spécifique ou sans mentionner l’objet du message.

Si le responsable du traitement a des doutes sur l’identité de la personne qui a demandé la rectification des données, il est dans l’intérêt du responsable du traitement de demander les informations supplémentaires permettant de valider l’identité du demandeur.

Après avoir reçu la demande de rectification, le responsable du traitement doit valider l’identité du demandeur et veiller à ce que des mesures raisonnables soient prises pour rectifier les données.
Il incombe aux responsables du traitement de donner suite à la demande sans retard excessif et au plus tard dans un délai d’un mois civil à compter de la réception de la demande.

Droit à l’effacement

En vertu de l’article 17, partie 1, du GDPR, le droit à l’effacement stipule que la personne concernée est autorisée à faire supprimer ses données de la base de données du responsable du traitement et des sous-traitants pour des raisons évidentes telles que

  • L’objectif initial pour lequel les données ont été collectées a été atteint et il n’est plus nécessaire de stocker et de conserver les données en question.
    La personne concernée souhaite retirer son consentement aux activités de traitement.
  • La personne concernée s’est opposée au traitement des données en question et il n’existe pas d’intérêts légitimes prépondérants.
  • Les données traitées ont été collectées en utilisant des techniques immorales ou illégales.
  • Les données doivent être supprimées pour respecter les obligations légales.
  • Les données collectées dans le cadre de l’offre d’information – en particulier celles des enfants – doivent être supprimées immédiatement.

droit à l'effacement

Qu’est-ce que c’est ?

Le droit à l’effacement est également appelé droit à l’oubli. En vertu du droit à l’effacement ou du droit à l’oubli, la personne concernée a le droit d’obtenir que ses données soient retirées ou supprimées de la base de données. Si les personnes concernées ne veulent pas que leurs données soient traitées ou si elles estiment que le responsable du traitement n’a pas de raison légitime de conserver les données, elles peuvent demander à ce que celles-ci soient effacées.

Comme la plupart des droits prévus par le GDPR, le droit à l’effacement n’est pas absolu. En vertu du considérant 65 du GDPR, le droit à l’effacement et le droit à la rectification de la personne concernée ne sont sublimes que si ses données sont susceptibles d’enfreindre les dispositions du GDPR ou d’une autre loi à laquelle le responsable du traitement est soumis.

Le droit à l’effacement ou le droit à l’oubli donne aux personnes concernées la possibilité de faire effacer leurs données si elles ne souhaitent plus qu’elles soient traitées et s’il n’y a pas de raison légitime pour qu’un responsable du traitement des données les conserve.

Quelles sont les exigences ?

Lorsqu’une personne concernée demande l’effacement de ses données, il est prévu que les données soient effacées avec effet immédiat. Le délai de réaction est d’un mois maximum à compter de l’introduction de la demande d’effacement des données. En outre, le responsable du traitement doit informer la personne concernée de l’effacement de ses données, sauf s’il est impossible de les supprimer ou si cela exige des efforts disproportionnés.

Cependant, voici quelques conditions dans lesquelles le droit à l’effacement ne s’applique pas

  • Dans le respect du droit à la liberté et du droit d’expression.
  • Lorsque le responsable du traitement des données est contraint de traiter ces données pour se conformer à d’autres lois.
  • En général, lorsque le responsable du traitement doit traiter les données dans l’intérêt du public.
  • Dans une situation où le responsable du traitement des données n’a pas d’autre choix que de traiter les données, ce qui s’inscrit dans le cadre de l' »autorité acquise » mentionnée précédemment.
  • Considérant le champ d’application des soins de santé, de l’aide sociale et de la santé publique.
  • Prendre en compte un aspect plus large de l’intérêt public, en particulier celui lié à la santé publique, couvrant tous les éléments, de la médecine préventive ou professionnelle au diagnostic et aux systèmes de soins sociaux essentiels pour prévenir les menaces transfrontalières en matière de santé et autres.
  • Traitement de données nécessaire à l’archivage de l’intérêt public, notamment à des fins scientifiques, historiques et de recherche ayant des objectifs spécifiques.
  • Traitement des données nécessaire à la constatation, à l’exercice ou à la mise en œuvre de droits de défense ou de droits connexes.

NOTE : Chacun ici doit comprendre que le droit à l’effacement n’est en rien un droit absolu ou inconditionnel. Il est mis en œuvre avec un grand nombre d’exceptions et de limitations. Par conséquent, les responsables du traitement, lorsqu’ils traitent une demande d’effacement de données, doivent prendre en considération le contexte de la possibilité, de la proportion, des coûts, etc.

Droit à la portabilité des données

En vertu de l’article 20 du GDPR, les personnes concernées sont habilitées à recevoir les données à caractère personnel les concernant, qu’elles ont fournies à l’organisation responsable du traitement dans un format structuré, couramment utilisé et lisible par machine.

En vertu de ce même droit à la portabilité des données, la personne concernée peut, si elle le souhaite, transmettre ses données à un autre organisme de contrôle dans lequel les données originales ont été fournies au premier responsable du traitement :

  1. le traitement est fondé sur le consentement en vertu de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en vertu de l’article 9, paragraphe 2, point a).
  2. de l’article 6, paragraphe 1, et b) le traitement est effectué à l’aide de procédés automatisés.

Néanmoins, l’article 20 stipule également que la personne concernée, pour exercer son droit à la portabilité des données conformément au paragraphe 1, doit avoir le droit de transmettre ou de transférer ses données à caractère personnel directement d’un responsable du traitement à un autre lorsque la faisabilité technique persiste.

Rappelons que le droit visé dans cette description au paragraphe 1 de l’article 20 est sans préjudice de l’article 17. Ce droit ne doit pas s’appliquer au traitement effectué en vue de l’exécution d’une tâche d’intérêt public ou de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Toutefois, le responsable du traitement et la personne concernée doivent veiller ensemble à ce que le droit visé au paragraphe 1 du présent article ne porte pas atteinte aux droits et libertés d’autrui.

Qu’est-ce que c’est ?

En vertu du droit à la portabilité des données, les personnes concernées ont le droit de demander et de recevoir leurs données de la part des autorités concernées. Les données qu’ils ont fournies aux organisations responsables du traitement sont présentées dans un format structuré, contrôlé et lisible par machine. En outre, les personnes concernées ont également le droit de transmettre ces données au tiers de l’autre organisation responsable du traitement des données sans que le responsable du traitement des données auquel elles ont présenté ou soumis ces données ne s’y oppose. La personne concernée peut recevoir ses données et les stocker sur un système qu’elle possède, un disque dur ou une application en nuage qu’elle utilise.

À cet égard, les lignes directrices du WP29 sur la portabilité des données complètent le droit d’accès. Cela dit, la personne concernée a non seulement le droit d’accès, mais aussi le droit à la portabilité, qui lui permet de recevoir ses données d’une manière qui les rende facilement gérables et réutilisables.

Quelles sont les exigences ?

Bien que le droit à la portabilité des données soit pour la commodité et la sécurité de la personne concernée, il n’est pas absolu et est soumis à des restrictions. Dans l’autre sens, le droit ne peut être invoqué que lorsque quelques conditions spécifiques sont remplies. Ces conditions sont couvertes par le reste du paragraphe de l’article 20.

Voici les conditions dans lesquelles une personne concernée peut exercer son droit à la portabilité des données

  • La personne concernée peut exercer le droit à la portabilité des données dans le cadre de la prudence juridique au fur et à mesure,
    • Le consentement qui constitue l’un des nombreux fondements juridiques de l’article 6 du GDPR.
    • Consentement explicite décrit à l’article 9 du GDPR dans le contexte de catégories spéciales de données personnelles ou de « données sensibles ».
    • Nécessité contractuelle décrite à l’article 6 du GDPR
  • La personne concernée peut exercer le droit à la portabilité des données lorsque, outre le consentement, le consentement explicite, la nécessité contractuelle constitue la base du traitement légal. En outre, le traitement des données est effectué automatiquement, ce qui nous ramène aux outils informatiques et à l’écosystème numérique du droit à la portabilité des données.

NOTE : L’article 20 du GDPR stipule également que le droit à la portabilité des données ne doit pas porter atteinte au droit à la liberté d’autres personnes concernées. En règle générale, cela aura des conséquences sur le niveau des types de données à caractère personnel reçues par la personne concernée lorsqu’elle exerce son droit à la portabilité des données.

Comment les droits du GDPR affecteront-ils vos enquêtes et recherches ?

Les nouveaux changements apportés par le GDPR auront un impact considérable sur la manière dont vous aviez l’habitude de traiter et de gérer les données personnelles ou sensibles. Les droits conférés par le GDPR aux personnes concernées ont été examinés ci-dessus. De nombreuses organisations, dont la nôtre, ont été débordées pour comprendre l’impact du GDPR. Nous aimerions expliquer ici comment le nouveau GDPR et les droits GDPR auront un impact sur la façon dont vous collectez, stockez, traitez et partagez les données d’enquêtes auprès des clients et des employés.

  • Le GDPR n’affectera pas toutes les entreprises qui mènent des enquêtes auprès de leurs employés et de leurs clients, en particulier lorsque les enquêtes sont menées de manière anonyme sans faire référence aux données personnelles.
  • Néanmoins, pour réaliser une enquête anonyme, vous devez empêcher l’identification des personnes interrogées. Cela n’est possible que si vous ne recueillez pas d’informations personnelles telles que l’adresse électronique, l’adresse ou le numéro de téléphone du répondant.
  • Même si vous interrogez des employés et que vous leur demandez de préciser leur âge, leur sexe, leur poste, la durée de leur emploi, ces informations peuvent être considérées comme suffisantes pour identifier l’employé.

Mais lorsque vous devez demander des informations personnelles aux répondants à l’enquête, vous devez suivre toutes les lignes directrices du GDPR et le répondant à l’enquête agissant en tant que personne concernée a le droit d’exercer ses droits en vertu du GDPR.

Donner son consentement

  • Conformément à l’article 7 du GDPR, les personnes interrogées doivent donner leur consentement pour que l’institut de sondage puisse collecter, gérer et traiter leurs données.
    • Toutefois, les organisations concernées doivent communiquer l’objectif de l’enquête et la manière dont les données collectées seront utilisées.
    • Il dépend des personnes interrogées de donner leur consentement ou de se retirer de l’enquête.
    • Il est préférable d’ajouter une question de consentement (de type case à cocher) au début de l’enquête afin de s’assurer que la case n’est pas cochée par défaut.
    • À tout moment, les répondants se réservent le droit de révoquer le droit ou d’exercer leurs droits en vertu du GDPR.

Minimisation des données

  • Le moment choisi pour demander le consentement est important.
    • Toute personne concernée doit donner son consentement à la collecte de ses données avant de révéler ou de soumettre des données à caractère personnel.
    • Il est préférable de publier toutes les informations relatives au GDPR sur un site web distinct contenant les informations relatives au GDPR évoquées précédemment.
  • Selon l’article 5 du GDPR, qui traite de la minimisation des données, il est préférable de collecter le moins de données possible.
    • La meilleure façon de procéder consiste à ne recueillir que les informations nécessaires.
    • Si vous demandez l’âge du répondant, évitez de poser d’autres questions demandant au répondant de choisir la tranche d’âge.

Informations sur la conformité

  • L’article 5 fait également référence à la responsabilité qui oblige les organisations à fournir des informations sur les mesures qu’elles ont prises pour rester conformes au GDPR.
    • Les organisations qui collectent des données personnelles auprès de personnes doivent disposer d’un registre de traitement, d’un système de gestion de la protection des données ou procéder périodiquement à un examen complet des activités de traitement des données.

Contrôleur des données

  • Toute organisation qui collecte ou traite des données à caractère personnel doit désigner un contrôleur des données ou un délégué à la protection des données pour assurer un suivi systématique et régulier des personnes concernées et de leurs demandes à plus grande échelle.
    • La personne désignée pour la protection des données doit avoir une expérience préalable dans le traitement et la protection des données, ainsi que les connaissances techniques requises.
    • Dans la plupart des cas, l’organisation est responsable de toute violation du GDPR. Cependant, dans certains cas, le délégué à la protection des données peut être tenu pour responsable.
    • Le responsable du traitement des données doit connaître ses droits conformément aux droits prévus par le GDPR pour la personne concernée.
  • Si, après avoir pris toutes les mesures requises et déployé tous les efforts nécessaires pour rester conforme au GDPR, une violation de données se produit, l’organisation doit la signaler à l’autorité de contrôle désignée dans les 72 heures suivant sa survenance.

Rôle des plateformes d’enquête en ligne dans la mise en conformité avec le GDPR

De nombreuses organisations penseraient aujourd’hui qu’il est préférable de désigner une entreprise externe pour mener des enquêtes et se conformer aux règles du GDPR. En tant que plateforme d’enquête en ligne, nous ne fournissons que des outils et des fonctionnalités qui rendent votre processus de création d’enquête fluide et flexible. Bien que nous soyons
Plateforme de création d’enquêtes conforme au GDPR
Nous fournissons toutes les fonctionnalités et les directives nécessaires pour créer des enquêtes conformes au GDPR. Nous veillons à conclure un accord de traitement avec tous nos utilisateurs. Cependant, l’organisation qui crée et distribue les enquêtes à l’aide de notre plateforme d’enquête en ligne est techniquement responsable de toutes les activités de traitement des données.

PARTAGEZ CET ARTICLE:
This site is registered on wpml.org as a development site.