Explication de l'article 11 du RGPD : la clé de la minimisation des données
GDPR L'article 11 traite des principes de minimisation des données, qui limitent largement le traitement des données à ce qui est jugé nécessaire.
Les responsables du traitement doivent supprimer ou masquer toute référence à la personne concernée dès que les données ne sont plus nécessaires. Lorsque cela se produit, les responsables du traitement doivent également obtenir des informations supplémentaires sur la personne concernée pour rester en conformité.
Si les sujets souhaitent être réidentifiés, les contrôleurs doivent en tenir compte et formuler des mesures pour répondre à la demande.
Il est important de noter que si la personne concernée n'est pas identifiée, l'article 11 s'applique en partie, mais si la personne concernée demande une réidentification, le responsable du traitement doit tenter de le faire (à moins que, du fait de la charge de la preuve, cela s'avère impossible).
Article 11 du RGPD Texte juridique
Version RGPD de l'UE
Traitement ne nécessitant pas d’identification
- Si les finalités pour lesquelles un responsable du traitement traite des données à caractère personnel ne nécessitent pas ou plus l'identification d'une personne concernée par le responsable du traitement, le responsable du traitement n'est pas obligé de conserver, d'acquérir ou de traiter des informations supplémentaires afin d'identifier la personne concernée pour le dans le seul but de se conformer au présent règlement.
- Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est en mesure de démontrer qu'il n'est pas en mesure d'identifier la personne concernée, il en informe la personne concernée, si possible. Dans de tels cas, les articles 15 à 20 ne s'appliquent pas, sauf lorsque la personne concernée, aux fins de l'exercice de ses droits en vertu de ces articles, fournit des informations supplémentaires permettant son identification.
Version du RGPD au Royaume-Uni
Traitement ne nécessitant pas d’identification
- Si les finalités pour lesquelles un responsable du traitement traite des données à caractère personnel ne nécessitent pas ou plus l'identification d'une personne concernée par le responsable du traitement, le responsable du traitement n'est pas obligé de conserver, d'acquérir ou de traiter des informations supplémentaires afin d'identifier la personne concernée pour le dans le seul but de se conformer au présent règlement.
- Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est en mesure de démontrer qu'il n'est pas en mesure d'identifier la personne concernée, il en informe la personne concernée, si possible. Dans de tels cas, les articles 15 à 20 ne s'appliquent pas, sauf lorsque la personne concernée, aux fins de l'exercice de ses droits en vertu de ces articles, fournit des informations supplémentaires permettant son identification.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Article 11 (1) du RGPD de l'UE et clause 27701 de la norme ISO 7.4.5
Désidentification et suppression des informations personnelles à la fin du traitement
Lorsque les informations personnelles ne remplissent plus un objectif déclaré, les organisations doivent soit détruire complètement les données, soit les modifier de manière à empêcher toute forme d'identification de quelque manière que ce soit, en interne ou en externe.
Dès que l'organisation a établi que les informations personnelles ne doivent plus être traitées à l'avenir, les informations doivent être supprimées ou modifiées de manière à rendre impossible l'identification de la personne concernée.
Article 11 (2) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.2
Détermination des informations pour les principaux PII
Les organisations doivent documenter les informations que les responsables des PII reçoivent, qui décrivent comment les PII sont traitées.
Il doit y avoir un ensemble d'exigences qui régissent le moment où les informations doivent être fournies et la nature précise de ces informations, telles que :
- Le but de la collecte et du traitement des informations personnelles.
- Détails du contact.
- Comment les informations personnelles ont été obtenues.
- Exigences écrites (contractuelles, statutaires).
- Le processus par lequel le consentement est retiré.
- Transferts de données.
- Une procédure de réclamation.
- Le processus de décision interne.
- Durées de conservation des données.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Article 11 (2) du RGPD de l'UE et clause 27701 de la norme ISO 7.3.3
Fournir des informations aux responsables des informations personnelles
Les organisations doivent indiquer qui est le responsable du traitement des informations personnelles et comment les données sont traitées, par des moyens « clairs et accessibles » qui n'empêchent pas la diffusion d'informations cruciales.
Les informations doivent être faciles à suivre et présentées en termes simples afin que toute personne qui les lit puisse comprendre la nature de ce qui est transmis, ainsi que toutes les spécificités techniques ou opérationnelles (voir ISO 27701 Clause 7.3.2).
Prise en charge des clauses ISO 27701
- ISO 27701 7.3.2
Prise en charge des contrôles de la norme ISO 27701
| Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
|---|---|---|
| Article 11 (1) du RGPD de l’UE | ISO 27701 7.4.5 | Aucun |
| Article 11 (2) du RGPD de l’UE | ISO 27701 7.3.2 | Aucun |
| Article 11 (2) du RGPD de l’UE | ISO 27701 7.3.3 | ISO 27701 7.3.2 |
Comment ISMS.online vous aide
Notre environnement prédéfini vous permet de décrire et de démontrer votre approche de la protection de vos données clients européennes et britanniques d'une manière qui s'intègre parfaitement dans votre système de gestion.
La plateforme ISMS.online contient des conseils intégrés à chaque étape, ainsi que notre approche de mise en œuvre « Adopter, Adapter, Ajouter », qui réduit la quantité d'efforts requis pour se conformer au RGPD. Vous bénéficierez également de nombreux avantages qui vous feront gagner du temps.
Que vous rencontriez des difficultés à vous conformer au RGPD en raison d'un manque de confiance, de capacité ou de motivation à agir, nous pouvons vous aider en mettant à votre disposition nos experts internes ou en vous recommandant l'un de nos partenaires de confiance.
En savoir plus par réserver une démo.
