Étape n°4 : Respecter les droits des personnes

Focus Juridique

Dès lors qu’une entreprise met en œuvre des traitements de données personnelles, elle doit respecter les droits des personnes concernées.

Publié le 03/05/2018

La première chose à faire est d’informer les personnes du traitement de leurs données.

Cette obligation prévue par le RGPD est une conséquence du principe de traitement loyal et transparent exigeant que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités.

Cette information doit avoir lieu avant le traitement et qu’importe le support utilisé (papier, site internet, etc.). Elle doit contenir, notamment, les éléments suivants :

Identité et coordonnées du responsable de traitement
Coordonnées du délégué à la protection des données (si l’entreprise en a un)
Finalité(s) du traitement, c’est-à-dire pourquoi l’entreprise collecte les données
Ce qui autorise l’entreprise à traiter les données (consentement express de la personne, exécution d’un contrat, obligation légale...)
Destinataire(s) des données (qui y a accès)
Durée de conservation des données
Existence des droits d’accès, de rectification, d’effacement et à la portabilité des données
Comment exercer ces droits (formulaire de contact, numéro de téléphone, adresse mail dédiée...)
Existence de transferts de données hors Union européenne (préciser le pays et l’encadrement juridique permettant la protection des données (BCR, clauses contractuelles types...).

Il est possible de donner un premier niveau d’information sur un formulaire et de renvoyer à une politique de gestion des données sur le site internet de l’entreprise.

Une fois ces informations obtenues, la personne concernée dispose de tous les éléments nécessaires pour décider en connaissance de cause.

L’opt-in est obligatoire

Le consentement de la personne doit être une démarche active et explicite de la part de la personne. Dans un formulaire en ligne, cela peut se matérialiser par un pop-up avec une case à cocher signifiant que la personne consent au traitement de ses données.

L’opt-in est obligatoire ! Une case pré-cochée par défaut (opt-out) est à bannir.

L’entreprise devant garder la preuve du consentement, un consentement écrit est préférable.

Il est des cas où le consentement n’est pas requis :

lorsque le traitement est nécessaire pour la sauvegarde des intérêts vitaux de la personne
lorsque le traitement est nécessaire à l’exécution du contrat
lorsque que le traitement est le fruit d’une obligation légale
lorsqu’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement.

Enfin, on retrouve très souvent dans les CGV une ou des clauses sur les données collectées. L’acceptation des CGV ne vaut pas acceptation du traitement des données. Il faut obligatoirement une information spécifique à ce sujet, que ce soit dans un formulaire ou un encadré au moment de la commande en ligne par exemple.

Il est recommandé pour les entreprises de disposer d’une politique de gestion des données vers laquelle renvoyer.

Rendez-vous le 25 mai prochain pour la dernière étape concernant les relations avec les sous-traitants et les autres partenaires.

Article rédigé par Inforeg et Enterprise Europe Network

Étape n°4 : Respecter les droits des personnes

L’opt-in est obligatoire

A lire également

Étape n°1 : Préparez-vous à gérer et protéger les données personnelles de vos clients !

Étape n°2 : Les nouvelles obligations des entités mettant en œuvre des traitements de données à caractère personnel

Étape n°3 : Le DPO, chef d’orchestre de la protection des données personnelles

Étape n°5 : Les relations entre les acteurs du traitement de données

Agenda de l'entreprise

Inscrivez-vous