Étape n°4 : Respecter les droits des personnes

Dès lors qu’une entreprise met en œuvre des traitements de données personnelles, elle doit respecter les droits des personnes concernées.
Publié le 03/05/2018

La première chose à faire est d’informer les personnes du traitement de leurs données.

Cette obligation prévue par le RGPD est une conséquence du principe de traitement loyal et transparent exigeant que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités.

Cette information doit avoir lieu avant le traitement et qu’importe le support utilisé (papier, site internet, etc.). Elle doit contenir, notamment, les éléments suivants :

  • Identité et coordonnées du responsable de traitement
  • Coordonnées du délégué à la protection des données (si l’entreprise en a un)
  • Finalité(s) du traitement, c’est-à-dire pourquoi l’entreprise collecte les données
  • Ce qui autorise l’entreprise à traiter les données (consentement express de la personne, exécution d’un contrat, obligation légale...)
  • Destinataire(s) des données (qui y a accès)
  • Durée de conservation des données
  • Existence des droits d’accès, de rectification, d’effacement et à la portabilité des données
  • Comment exercer ces droits (formulaire de contact, numéro de téléphone, adresse mail dédiée...)
  • Existence de transferts de données hors Union européenne (préciser le pays et l’encadrement juridique permettant la protection des données (BCR, clauses contractuelles types...).

Il est possible de donner un premier niveau d’information sur un formulaire et de renvoyer à une politique de gestion des données sur le site internet de l’entreprise.

Une fois ces informations obtenues, la personne concernée dispose de tous les éléments nécessaires pour décider en connaissance de cause.

L’opt-in est obligatoire

Le consentement de la personne doit être une démarche active et explicite de la part de la personne. Dans un formulaire en ligne, cela peut se matérialiser par un pop-up avec une case à cocher signifiant que la personne consent au traitement de ses données. 

L’opt-in est obligatoire ! Une case pré-cochée par défaut (opt-out) est à bannir. 

L’entreprise devant garder la preuve du consentement, un consentement écrit est préférable. 

Il est des cas où le consentement n’est pas requis :

  • lorsque le traitement est nécessaire pour la sauvegarde des intérêts vitaux de la personne
  • lorsque le traitement est nécessaire à l’exécution du contrat
  • lorsque que le traitement est le fruit d’une obligation légale
  • lorsqu’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement.

Enfin, on retrouve très souvent dans les CGV une ou des clauses sur les données collectées. L’acceptation des CGV ne vaut pas acceptation du traitement des données. Il faut obligatoirement une information spécifique à ce sujet, que ce soit dans un formulaire ou un encadré au moment de la commande en ligne par exemple.

Il est recommandé pour les entreprises de disposer d’une politique de gestion des données vers laquelle renvoyer.

Rendez-vous le 25 mai prochain pour la dernière étape concernant les relations avec les sous-traitants et les autres partenaires.

 
Article rédigé par Inforeg et Enterprise Europe Network
  
Atelier

Agenda de l'entreprise

Inscrivez-vous