Comment démontrer la conformité à l'article 17 du RGPD

Logiciel de conformité RGPD

Demander demo

photo,homme d'affaires,travail,sur,moderne,loft,bureau.,homme,assis,bois

L'article 17 traite de l'un des aspects les plus importants de l'UE et du Royaume-Uni. RGPD loi – le « droit à l'oubli » des personnes concernées, également appelé « droit à l'effacement ».

L'article 17 énumère plusieurs raisons pour lesquelles une personne concernée peut souhaiter être oubliée, ainsi que l'obligation d'une organisation d'informer les autres responsables du traitement qui peuvent également traiter les données d'une personne conformément à leurs propres opérations.

Article 17 du RGPD Texte juridique

Version RGPD de l'UE

Article 17 – Droit à l'effacement (« droit à l'oubli »)

  1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement des données personnelles la concernant dans les meilleurs délais et le responsable du traitement a l'obligation d'effacer les données personnelles dans les meilleurs délais lorsque l'un des motifs suivants s'applique :

    • les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;

    • la personne concernée retire le consentement sur lequel le traitement est fondé conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et lorsqu'il n'existe aucun autre fondement juridique pour le traitement ;

    • la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1 et il n'existe aucun motif légitime et impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2 ;

    • les données personnelles ont été traitées illégalement;

    • les données personnelles doivent être effacées pour le respect d'une obligation légale du droit de l'Union ou du droit de l'État membre à laquelle le responsable du traitement est soumis ;

    • les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

  2. Lorsque le responsable du traitement a rendu publiques les données à caractère personnel et est tenu, en vertu du paragraphe 1, de les effacer, le responsable du traitement, compte tenu de la technologie disponible et du coût de mise en œuvre, prend des mesures raisonnables, y compris des mesures techniques, pour informer les responsables du traitement qui sont traitant les données personnelles pour lesquelles la personne concernée a demandé l'effacement par ces contrôleurs de tout lien vers, ou la copie ou la réplication de ces données personnelles.

  3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où le traitement est nécessaire :

    • pour exercer le droit à la liberté d'expression et d'information;

    • pour le respect d'une obligation légale qui nécessite un traitement en vertu du droit de l'Union ou du droit des États membres à laquelle le responsable du traitement est soumis ou pour l'exécution d'une mission effectuée dans l'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

    • pour des raisons d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3 ;

    • à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de ce droit traitement; ou

    • pour l'établissement, l'exercice ou la défense de réclamations légales.

Version du RGPD au Royaume-Uni

Article 17 – Droit à l'effacement (« droit à l'oubli »)

  1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement des données personnelles la concernant dans les meilleurs délais et le responsable du traitement a l'obligation d'effacer les données personnelles dans les meilleurs délais lorsque l'un des motifs suivants s'applique :

    • les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;

    • la personne concernée retire le consentement sur lequel le traitement est fondé conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et lorsqu'il n'existe aucun autre fondement juridique pour le traitement ;

    • la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1 et il n'existe aucun motif légitime et impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2 ;

    • les données personnelles ont été traitées illégalement;

    • les données personnelles doivent être effacées pour respecter une obligation légale en vertu du droit national à laquelle le responsable du traitement est soumis ;

    • les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

  2. Lorsque le responsable du traitement a rendu publiques les données à caractère personnel et est tenu, en vertu du paragraphe 1, de les effacer, le responsable du traitement, compte tenu de la technologie disponible et du coût de mise en œuvre, prend des mesures raisonnables, y compris des mesures techniques, pour informer les responsables du traitement qui sont traitant les données personnelles pour lesquelles la personne concernée a demandé l'effacement par ces contrôleurs de tout lien vers, ou la copie ou la réplication de ces données personnelles.

  3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où le traitement est nécessaire :

    • pour exercer le droit à la liberté d'expression et d'information;

    • pour le respect d'une obligation légale qui nécessite un traitement en vertu du droit national ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

    • pour des raisons d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3 ;

    • à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de ce droit traitement; ou

    • pour l'établissement, l'exercice ou la défense de réclamations légales.
Aller au sujet

Commentaire technique

Les personnes concernées ne peuvent pas exercer un droit général à l'effacement de leurs données. Les demandes doivent être conformes à l’un des critères légaux ci-dessous :

  • les données ne sont plus nécessaires aux finalités initiales ;

  • retrait du consentement (lorsque toute la base du traitement repose sur le consentement) ;

  • une objection au traitement ou l’absence de tout motif légitime de collecte et/ou de traitement ;

  • traitement illégal/illégal ;

  • le respect d'une autre obligation légale ;

  • fins liées à la protection de l’enfance.

Si une organisation a rendu publiques des données personnelles, pour quelque raison que ce soit, elle doit prendre des « mesures raisonnables » pour informer les autres responsables du traitement – ​​y compris les employés – et les tiers de la nécessité d'effacer les données, à la demande de la personne concernée.

ISO 27701, clause 7.2.2 et article 17 du RGPD de l'UE

Dans cette section, nous parlons des articles 17 (3)(a), 17 (3)(b), 17 (3)(c), 17 (3)(d) et 17 (3)(e) du RGPD.

Identifier une base légale

Pour former un documenté base légale pour le traitement des informations personnelles en premier lieu, les organisations doivent :

  1. demander le consentement ;

  2. lancer un contrat ;

  3. respecter toute autre obligation légale ;

  4. protéger les « intérêts vitaux » des responsables des informations personnelles en question ;

  5. n'effectuer que des tâches d'intérêt public ;

  6. garantir que les activités de traitement constituent un intérêt légitime.

Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à un système de classification des données (voir la norme ISO 27701, clause 7.2.8).

Prise en charge des clauses ISO 27701

  • ISO 27701 7.2.8

Voir notre plateforme
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

ISO 27701, clause 7.3.5 et article 17 du RGPD de l'UE

Dans cette section, nous parlons des articles 17 (1)(a), 17 (1)(b), 17 (1)(c), 17 (1)(d), 17 (1)(e), 17 ( 1)(f), 17(2)

Fournir des mécanismes pour s'opposer au traitement des informations personnelles

Les lois varient d'une région à l'autre, mais les juridictions accordent souvent aux individus le droit de soulever une objection concernant la manière dont leurs données sont collectées, traitées et partagées.

Conformément à cela, les organisations devraient :

  1. enregistrer toutes les exigences légales ou réglementaires traitant d’objections spécifiques ;

  2. fournir aux individus des instructions claires, concises et faciles à comprendre sur la manière de s'opposer à la collecte, au traitement ou au partage de leurs données.

Clause 27701 de la norme ISO 8.3.1 et article 17 (2) du RGPD de l'UE

Obligations envers les responsables des informations personnelles

Les organisations doivent s'assurer que les clients disposent des moyens appropriés pour remplir leurs obligations (c'est-à-dire l'organisation) en tant que contrôleur des informations personnelles, dans trois domaines opérationnels clés :

  1. législatif;

  2. réglementaire ;

  3. contractuel.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
RGPD de l’UE, articles 17 (3)(a) à 17 (3)(e)ISO 27701 7.2.2ISO 27701 7.2.8
RGPD de l’UE, articles 17 (1)(a) à 17 (2)ISO 27701 7.3.5Aucun
Article 17 (2) du RGPD de l’UEISO 27701 8.3.1Aucun

Comment ISMS.online vous aide

Le RGPD est généralement considéré comme la réglementation en matière de confidentialité et de sécurité la plus stricte au monde, les violations entraînant des amendes importantes. Il peut être ambigu et sujet à interprétation, suggérant que les organisations doivent fournir un niveau « raisonnable » de protection des données personnelles.

Mais voici la bonne nouvelle. ISMS.online vous permet de vous lancer directement dans votre démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.

La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits. Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.

En savoir plus par réserver une courte démo aujourd'hui.

Voyez comment nous pouvons vous aider

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Vous ne savez pas si vous devez construire ou acheter ?

Découvrez la meilleure façon de réussir votre SMSI

Obtenez votre guide gratuit

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage