Comment démontrer la conformité à l'article 18 du RGPD

Logiciel de conformité RGPD

Demander demo

photo,d'un,homme,travaillant,dans,un,bureau

RGPD L'article 18 traite de la possibilité pour une personne concernée de demander le blocage de données lorsque des activités de traitement ont été jugées illégales.

En vertu de la loi GDPR, les personnes concernées peuvent limiter la quantité de traitement effectué sur leurs données.

Si une personne demande à un responsable du traitement de restreindre ses activités de traitement, les organisations sont alors seulement autorisées à stocker ces données et ne peuvent pas les partager avec des tiers ou les traiter de toute autre manière sans le consentement exprès de la personne concernée.

Article 18 du RGPD Texte juridique

Version RGPD de l'UE

Droit à la restriction du traitement

  1. La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique :

    • l'exactitude des données personnelles est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données personnelles ;

    • le traitement est illicite et la personne concernée s'oppose à l'effacement des données personnelles et demande à la place la limitation de leur utilisation ;

    • le responsable du traitement n'a plus besoin des données personnelles aux fins du traitement, mais celles-ci sont nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;

    • la personne concernée s'est opposée au traitement conformément à l'article 21, paragraphe 1, dans l'attente de vérifier si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée.

  2. Lorsque le traitement a été limité en vertu du paragraphe 1, ces données personnelles ne sont traitées, à l'exception du stockage, qu'avec le consentement de la personne concernée ou pour la constatation, l'exercice ou la défense de droits en justice ou pour la protection des droits d'une autre personne physique ou morale. personne morale ou pour des raisons d’intérêt public important.

  3. La personne concernée qui a obtenu une limitation du traitement conformément au paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

Version du RGPD au Royaume-Uni

Droit à la restriction du traitement

  1. La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique :

    • l'exactitude des données personnelles est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données personnelles ;

    • le traitement est illicite et la personne concernée s'oppose à l'effacement des données personnelles et demande à la place la limitation de leur utilisation ;

    • le responsable du traitement n'a plus besoin des données personnelles aux fins du traitement, mais celles-ci sont nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;

    • la personne concernée s'est opposée au traitement conformément à l'article 21, paragraphe 1, dans l'attente de vérifier si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée.

  2. Lorsque le traitement a été limité en vertu du paragraphe 1, ces données personnelles ne sont traitées, à l'exception du stockage, qu'avec le consentement de la personne concernée ou pour la constatation, l'exercice ou la défense de droits en justice ou pour la protection des droits d'une autre personne physique ou morale. personne morale ou pour des raisons d’intérêt public important de l’Union ou d’un État membre.

  3. La personne concernée qui a obtenu une limitation du traitement conformément au paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

Commentaire technique

Les personnes concernées disposent de quatre fondements juridiques pour formuler une demande limitant le traitement de leurs données :

  1. l'exactitude des données ;

  2. activités de traitement illégales/illégales ;

  3. à l’appui de réclamations légales ;

  4. objections officielles (conformément à l’article 21 du RGPD).

Les organisations peuvent s'appuyer sur une série de conditions qui leur permettent de continuer à traiter les données de la même manière, même si une demande a été reçue pour restreindre ces opérations :

  • la personne concernée a donné son consentement à d'autres activités de traitement ;

  • à l’appui d’une action en justice ou d’une affaire judiciaire ;

  • la protection des droits et libertés individuels d’autrui ;

  • où il existe un intérêt public important.
Aller au sujet
Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

Clause 27701 de la norme ISO 7.2.2 et article 18 (2) du RGPD de l'UE

Identifier une base légale

Pour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent confirmer et documenter :

  1. le consentement des responsables des informations personnelles ;

  2. un contrat;

  3. toute autre obligation légale ;

  4. que les intérêts des différents responsables des informations personnelles sont protégés ;

  5. le fait que les tâches sont exécutées dans l'intérêt public ;

  6. que le traitement des informations personnelles constitue un intérêt légitime.

Clause 27701 de la norme ISO 7.3.2 et article 18 (3) du RGPD de l'UE

Détermination des informations pour les principaux PII

Les organisations doivent documenter les informations que les responsables des PII reçoivent, concernant le traitement des PII.

Les organisations doivent adhérer à un ensemble d'exigences qui dictent le moment où les informations doivent être fournies aux responsables des informations personnelles.

  • la finalité des données collectées ;

  • détails du contact;

  • comment les données ont été obtenues ;

  • toute exigence légale, contractuelle et/ou statutaire en vigueur ;

  • comment les individus peuvent retirer leur consentement ;

  • transferts de données à des organisations tierces, y compris les transferts internationaux ;

  • comment les individus peuvent déposer une plainte ;

  • comment l'organisation prend les décisions internes relatives au traitement des informations personnelles ;

  • durées de conservation des données.

ISO 27701, clause 7.3.4 et article 18 du RGPD de l'UE

Dans cette section, nous parlons des articles 18 (1)(a), 18 (1)(b), 18 (1)(c) et 18 (1)(d) du RGPD.

Fournir un mécanisme pour modifier ou retirer le consentement

Les organisations doivent fournir un mécanisme pour les personnes concernées qui souhaitent retirer leur consentement (conformément aux méthodes initialement utilisées pour collecter les données). Les personnes concernées devraient également pouvoir empêcher l'organisation d'effectuer certaines actions.

Lorsqu’elles facilitent les deux fonctions ci-dessus, les organisations doivent respecter des délais de réponse et de résolution raisonnables qui reflètent adéquatement le niveau de travail requis.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 18 (2) du RGPD de l’UEISO 27701 7.2.2Aucun
Article 18 (3) du RGPD de l’UEISO 27701 7.3.2Aucun
RGPD de l'UE, articles 18 (1)(a), 18 (1)(b), 18 (1)(c) et 18 (1)(d)ISO 27701 7.3.4Aucun

Comment ISMS.online vous aide

ISMS.online vous permet de vous lancer directement dans votre démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.

La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits. Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.

En savoir plus par réserver une courte démo aujourd'hui.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage