Comment démontrer la conformité à l'article 15 du RGPD

La conformité à l'article 15 du RGPD décrit les droits des personnes concernées à accéder à leurs données personnelles et détaille les obligations des responsables du traitement des données de fournir ces informations de manière transparente et rapide.

Demander demo
Auteur
Max Edwards
Mise à jour 5 mars 2025
LinkedIn Twitter Twitter

Comprendre l'article 15 du RGPD : vos droits d'accès aux données personnelles

L'article 15 traite de l'obligation d'une organisation de fournir des informations cohérentes, fiables et exactes concernant ses activités en tant que responsable du traitement.

Les informations que les organisations fournissent aux personnes concernées permettent aux individus de mieux prendre conscience de la manière dont leurs données sont utilisées, de contrôler la manière dont leurs données sont traitées et partagées et de garantir que leurs données sont traitées de manière licite.

Article 15 du RGPD Texte juridique

Version du RGPD au Royaume-Uni

Droit d'accès de la personne concernée

  1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation du traitement ou non des données personnelles la concernant et, le cas échéant, l'accès aux données personnelles et aux informations suivantes :

    • les objectifs du traitement;
    • les catégories de données à caractère personnel concernées;
    • les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, notamment les destinataires dans des pays tiers ou des organisations internationales ;
    • lorsque cela est possible, la période prévue pour le stockage des données personnelles ou, si ce n'est pas possible, les critères utilisés pour déterminer cette période;
    • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données personnelles ou la limitation du traitement des données personnelles concernant la personne concernée ou de s'opposer à un tel traitement ;
    • le droit de déposer une plainte auprès du commissaire;
    • lorsque les données personnelles ne sont pas collectées auprès de la personne concernée;
    • l'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que sur l'importance et les conséquences envisagées d'un tel traitement pour la personne concernée.
  2. Lorsque des données à caractère personnel sont transférées vers un pays tiers ou vers une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées conformément à l'article 46 relatif au transfert.
  3. Le responsable du traitement fournit une copie des données personnelles faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut facturer des frais raisonnables basés sur les frais administratifs. Lorsque la personne concernée fait la demande par des moyens électroniques, et sauf demande contraire de la personne concernée, les informations sont fournies sous une forme électronique couramment utilisée.
  4. Le droit d'obtenir une copie visé au paragraphe 3 ne doit pas porter atteinte aux droits et libertés d'autrui.

Version RGPD de l'UE

Droit d'accès de la personne concernée

  1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation du traitement ou non des données personnelles la concernant et, le cas échéant, l'accès aux données personnelles et aux informations suivantes :

    • les objectifs du traitement;
    • les catégories de données à caractère personnel concernées;
    • les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, notamment les destinataires dans des pays tiers ou des organisations internationales ;
    • lorsque cela est possible, la période prévue pour le stockage des données personnelles ou, si ce n'est pas possible, les critères utilisés pour déterminer cette période;
    • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données personnelles ou la limitation du traitement des données personnelles concernant la personne concernée ou de s'opposer à un tel traitement ;
    • le droit de déposer une plainte auprès d'une autorité de contrôle ;
    • lorsque les données personnelles ne sont pas collectées auprès de la personne concernée;
    • l'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que sur l'importance et les conséquences envisagées d'un tel traitement pour la personne concernée.
  2. Lorsque des données à caractère personnel sont transférées vers un pays tiers ou vers une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées conformément à l'article 46 relatif au transfert.
  3. Le responsable du traitement fournit une copie des données personnelles faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut facturer des frais raisonnables basés sur les frais administratifs. Lorsque la personne concernée fait la demande par des moyens électroniques, et sauf demande contraire de la personne concernée, les informations sont fournies sous une forme électronique couramment utilisée.
  4. Le droit d'obtenir une copie visé au paragraphe 3 ne doit pas porter atteinte aux droits et libertés d'autrui.


Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo


Commentaire technique

L'article 15 contient trois droits fondamentaux dont dispose la personne concernée :

  1. le droit d'accès (y compris le droit de recevoir une confirmation du traitement et des informations complémentaires sur le traitement) ;
  2. le droit de recevoir des informations sur les garanties ;
  3. le droit de recevoir une copie des données personnelles ;

L'article 15 définit également certaines limites au droit d'accès (voir ci-dessus). Lorsqu'un tel accès porte atteinte aux droits et libertés d'autrui, les organisations peuvent refuser les demandes de copies de données.

En outre, lorsque de telles demandes sont jugées excessives ou manifestement infondées, les organisations peuvent facturer des « frais raisonnables », afin de lutter contre le caractère répétitif des demandes d'informations.

ISO 27701, clause 7.3.2 et article 15 du RGPD de l'UE

Dans cette section, nous parlons des articles 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h) et 15 (2)

Les organisations doivent définir un ensemble détaillé d'exigences qui régissent comment et quand les informations doivent être fournies aux responsables des PII.

Voici quelques exemples:

  • la finalité sous-jacente des données collectées et traitées ;
  • détails du contact;
  • comment et où les informations personnelles ont été obtenues ;
  • les exigences contractuelles et/ou statutaires ;
  • comment le consentement peut être retiré ;
  • Transferts de données personnelles ;
  • comment déposer une plainte ;
  • comment l'organisation prend des décisions sur le traitement des informations personnelles ;
  • durées de conservation des informations.

Clause 27701 de la norme ISO 7.3.8 et article 15 (3) et (4) du RGPD de l'UE

Les organisations doivent fournir des copies des données PII dans un format convivial et facilement accessible.

Les organisations doivent s'assurer que toute information fournie concerne uniquement au donneur d'ordre des PII qui l'a demandé en premier lieu.

Si les informations personnelles ont été anonymisées, aucune tentative de réidentification ne doit être effectuée, à moins que l'organisation ne soit légalement tenue de le faire.

Les organisations devraient également explorer des méthodes de transfert des informations personnelles directement à une autre organisation, si cela vous est demandé.



La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


ISO 27701, clause 7.3.9 et article 15 du RGPD de l'UE

Dans cette section, nous parlons des articles 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h)

Les demandes peuvent inclure une copie des informations personnelles ou l'enregistrement d'une plainte et doivent être traitées dans un délai de réponse raisonnable.

Les organisations peuvent également facturer des frais de traitement, mais ceux-ci sont généralement limités aux demandes excessives ou répétitives et dépendent de la juridiction dans laquelle l'organisation opère.

Clause 27701 de la norme ISO 7.4.5 et article 15 (2) du RGPD de l'UE

Les organisations doivent soit détruire toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.

Clause 27701 de la norme ISO 7.5.1 et article 15 (2) du RGPD de l'UE

Il peut s’avérer nécessaire de transférer des informations personnelles entre deux juridictions distinctes. Lorsque cela se produit, les organisations doivent justifier et documenter la nécessité de le faire.

Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu’elles ont besoin de transférer des données entre juridictions. Les organisations doivent également documenter le recours à une autorité de surveillance désignée, le cas échéant.

Clause 27701 de la norme ISO 8.3.1 et article 15 (3) du RGPD de l'UE

Les organisations doivent garantir des moyens adéquats pour remplir leurs obligations, dans trois domaines clés :

  • législation;
  • régulation;
  • contrats.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 15 (1)(a) à 15 (2) du RGPD de l’UE ISO 27701 7.3.2Aucun
Article 15 (3) et 15 (4) du RGPD de l’UE ISO 27701 7.3.8Aucun
Article 15 (1)(a) à 15 (1)(h) du RGPD de l’UE ISO 27701 7.3.9Aucun
Article 15 (2) du RGPD de l’UE ISO 27701 7.4.5Aucun
Article 15 (2) du RGPD de l’UE ISO 27701 7.5.1Aucun
Article 15 (3) du RGPD de l’UE ISO 27701 8.3.1Aucun

Comment ISMS.online vous aide

ISMS.online fournit un environnement prédéfini pour vous permettre de décrire et de démontrer votre approche de la protection des données de vos clients européens et britanniques, qui s'intègre parfaitement dans votre système de gestion.

GDPR est généralement considérée comme la réglementation en matière de confidentialité et de sécurité la plus stricte au monde, les violations entraînant des amendes importantes. Il peut être ambigu et sujet à interprétation, suggérant que les organisations doivent fournir un niveau « raisonnable » de protection des données personnelles.

ISMS.online vous permet de vous lancer directement dans votre démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un seul endroit sécurisé.

Découvrez comment ISMS.online peut vous aider à démontrer votre conformité au RGPD en réserver une démo pratique.

Aller au sujet

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Visite de la plateforme ISMS

Intéressé par une visite de la plateforme ISMS.online ?

Commencez dès maintenant votre démo interactive gratuite de 2 minutes et découvrez la magie d'ISMS.online en action !

Testez-le gratuitement

Nous sommes un leader dans notre domaine

Les utilisateurs nous aiment
Grid Leader - Printemps 2025
Momentum Leader - Printemps 2025
Responsable régional - Printemps 2025 Royaume-Uni
Responsable régional - Printemps 2025 UE
Meilleure estimation. ROI Entreprise - Printemps 2025
Les plus susceptibles de recommander Enterprise - Printemps 2025

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

-Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

-Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

-Ben H.

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !