Comment démontrer la conformité à l'article 15 du RGPD

Logiciel de conformité RGPD

Demander demo

groupe,de,heureux,collègues,discutant,dans,la,salle,de,conférence

L'article 15 traite de l'obligation d'une organisation de fournir des informations cohérentes, fiables et exactes concernant ses activités en tant que responsable du traitement.

Les informations que les organisations fournissent aux personnes concernées permettent aux individus de mieux prendre conscience de la manière dont leurs données sont utilisées, de contrôler la manière dont leurs données sont traitées et partagées et de garantir que leurs données sont traitées de manière licite.

Article 15 du RGPD Texte juridique

Version du RGPD au Royaume-Uni

Droit d'accès de la personne concernée

  1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation du traitement ou non des données personnelles la concernant et, le cas échéant, l'accès aux données personnelles et aux informations suivantes :

    • les objectifs du traitement;

    • les catégories de données à caractère personnel concernées;

    • les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, notamment les destinataires dans des pays tiers ou des organisations internationales ;

    • lorsque cela est possible, la période prévue pour le stockage des données personnelles ou, si ce n'est pas possible, les critères utilisés pour déterminer cette période;

    • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données personnelles ou la limitation du traitement des données personnelles concernant la personne concernée ou de s'opposer à un tel traitement ;

    • le droit de déposer une plainte auprès du commissaire;

    • lorsque les données personnelles ne sont pas collectées auprès de la personne concernée;

    • l'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que sur l'importance et les conséquences envisagées d'un tel traitement pour la personne concernée.
  2. Lorsque des données à caractère personnel sont transférées vers un pays tiers ou vers une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées conformément à l'article 46 relatif au transfert.

  3. Le responsable du traitement fournit une copie des données personnelles faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut facturer des frais raisonnables basés sur les frais administratifs. Lorsque la personne concernée fait la demande par des moyens électroniques, et sauf demande contraire de la personne concernée, les informations sont fournies sous une forme électronique couramment utilisée.

  4. Le droit d'obtenir une copie visé au paragraphe 3 ne doit pas porter atteinte aux droits et libertés d'autrui.

Version RGPD de l'UE

Droit d'accès de la personne concernée

  1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation du traitement ou non des données personnelles la concernant et, le cas échéant, l'accès aux données personnelles et aux informations suivantes :

    • les objectifs du traitement;

    • les catégories de données à caractère personnel concernées;

    • les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, notamment les destinataires dans des pays tiers ou des organisations internationales ;

    • lorsque cela est possible, la période prévue pour le stockage des données personnelles ou, si ce n'est pas possible, les critères utilisés pour déterminer cette période;

    • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données personnelles ou la limitation du traitement des données personnelles concernant la personne concernée ou de s'opposer à un tel traitement ;

    • le droit de déposer une plainte auprès d'une autorité de contrôle ;

    • lorsque les données personnelles ne sont pas collectées auprès de la personne concernée;

    • l'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que sur l'importance et les conséquences envisagées d'un tel traitement pour la personne concernée.
  2. Lorsque des données à caractère personnel sont transférées vers un pays tiers ou vers une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées conformément à l'article 46 relatif au transfert.

  3. Le responsable du traitement fournit une copie des données personnelles faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut facturer des frais raisonnables basés sur les frais administratifs. Lorsque la personne concernée fait la demande par des moyens électroniques, et sauf demande contraire de la personne concernée, les informations sont fournies sous une forme électronique couramment utilisée.

  4. Le droit d'obtenir une copie visé au paragraphe 3 ne doit pas porter atteinte aux droits et libertés d'autrui.
Aller au sujet

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Commentaire technique

L'article 15 contient trois droits fondamentaux dont dispose la personne concernée :

  1. le droit d'accès (y compris le droit de recevoir une confirmation du traitement et des informations complémentaires sur le traitement) ;

  2. le droit de recevoir des informations sur les garanties ;

  3. le droit de recevoir une copie des données personnelles ;

L'article 15 définit également certaines limites au droit d'accès (voir ci-dessus). Lorsqu'un tel accès porte atteinte aux droits et libertés d'autrui, les organisations peuvent refuser les demandes de copies de données.

En outre, lorsque de telles demandes sont jugées excessives ou manifestement infondées, les organisations peuvent facturer des « frais raisonnables », afin de lutter contre le caractère répétitif des demandes d'informations.

ISO 27701, clause 7.3.2 et article 15 du RGPD de l'UE

Dans cette section, nous parlons des articles 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h) et 15 (2)

Les organisations doivent définir un ensemble détaillé d'exigences qui régissent comment et quand les informations doivent être fournies aux responsables des PII.

Voici quelques exemples:

  • la finalité sous-jacente des données collectées et traitées ;

  • détails du contact;

  • comment et où les informations personnelles ont été obtenues ;

  • les exigences contractuelles et/ou statutaires ;

  • comment le consentement peut être retiré ;

  • Transferts de données personnelles ;

  • comment déposer une plainte ;

  • comment l'organisation prend des décisions sur le traitement des informations personnelles ;

  • durées de conservation des informations.

Clause 27701 de la norme ISO 7.3.8 et article 15 (3) et (4) du RGPD de l'UE

Les organisations doivent fournir des copies des données PII dans un format convivial et facilement accessible.

Les organisations doivent s'assurer que toute information fournie concerne uniquement au donneur d'ordre des PII qui l'a demandé en premier lieu.

Si les informations personnelles ont été anonymisées, aucune tentative de réidentification ne doit être effectuée, à moins que l'organisation ne soit légalement tenue de le faire.

Les organisations devraient également explorer des méthodes de transfert des informations personnelles directement à une autre organisation, si cela vous est demandé.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISO 27701, clause 7.3.9 et article 15 du RGPD de l'UE

Dans cette section, nous parlons des articles 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h)

Les demandes peuvent inclure une copie des informations personnelles ou l'enregistrement d'une plainte et doivent être traitées dans un délai de réponse raisonnable.

Les organisations peuvent également facturer des frais de traitement, mais ceux-ci sont généralement limités aux demandes excessives ou répétitives et dépendent de la juridiction dans laquelle l'organisation opère.

Clause 27701 de la norme ISO 7.4.5 et article 15 (2) du RGPD de l'UE

Les organisations doivent soit détruire toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.

Clause 27701 de la norme ISO 7.5.1 et article 15 (2) du RGPD de l'UE

Il peut s’avérer nécessaire de transférer des informations personnelles entre deux juridictions distinctes. Lorsque cela se produit, les organisations doivent justifier et documenter la nécessité de le faire.

Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu’elles ont besoin de transférer des données entre juridictions. Les organisations doivent également documenter le recours à une autorité de surveillance désignée, le cas échéant.

Clause 27701 de la norme ISO 8.3.1 et article 15 (3) du RGPD de l'UE

Les organisations doivent garantir des moyens adéquats pour remplir leurs obligations, dans trois domaines clés :

  • législation;

  • régulation;

  • contrats.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 15 (1)(a) à 15 (2) du RGPD de l’UEISO 27701 7.3.2Aucun
Article 15 (3) et 15 (4) du RGPD de l’UEISO 27701 7.3.8Aucun
Article 15 (1)(a) à 15 (1)(h) du RGPD de l’UEISO 27701 7.3.9Aucun
Article 15 (2) du RGPD de l’UEISO 27701 7.4.5Aucun
Article 15 (2) du RGPD de l’UEISO 27701 7.5.1Aucun
Article 15 (3) du RGPD de l’UEISO 27701 8.3.1Aucun

Comment ISMS.online vous aide

ISMS.online fournit un environnement prédéfini pour vous permettre de décrire et de démontrer votre approche de la protection des données de vos clients européens et britanniques, qui s'intègre parfaitement dans votre système de gestion.

RGPD est généralement considérée comme la réglementation en matière de confidentialité et de sécurité la plus stricte au monde, les violations entraînant des amendes importantes. Il peut être ambigu et sujet à interprétation, suggérant que les organisations doivent fournir un niveau « raisonnable » de protection des données personnelles.

ISMS.online vous permet de vous lancer directement dans votre démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un seul endroit sécurisé.

Découvrez comment ISMS.online peut vous aider à démontrer votre conformité au RGPD en réserver une démo pratique.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage