Comment démontrer la conformité à l'article 21 du RGPD

La conformité à l'article 21 du RGPD explique le droit des individus à s'opposer au traitement des données, en particulier pour des intérêts légitimes et du marketing direct, et décrit comment les organisations doivent gérer et documenter les objections pour garantir la conformité.

Demander demo
Auteur
Max Edwards
Mise à jour 6 mars 2025
LinkedIn Twitter Twitter

Comprendre l'article 21 du RGPD : votre droit de vous opposer au traitement des données

GDPR L'article 21 contient les conditions qui doivent être remplies avant qu'une personne concernée puisse s'opposer avec succès au traitement de ses données.

Il est important de noter que les personnes concernées ne bénéficient pas d'un droit général de s'opposer aux activités de traitement, le droit d'opposition étant limité à un ensemble spécifique de scénarios.

Article 21 du RGPD Texte juridique

Version RGPD de l'UE

Droit d'opposition

  1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons liées à sa situation particulière, au traitement de données à caractère personnel la concernant qui est fondé sur le point (e) ou (f) de l'article 6, paragraphe 1. , y compris le profilage fondé sur ces dispositions. Le responsable du traitement ne traitera plus les données à caractère personnel, à moins qu'il ne démontre des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée ou pour la constatation, l'exercice ou la défense de droits en justice.
  2. Lorsque les données personnelles sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer à tout moment au traitement des données personnelles la concernant à des fins de marketing direct, y compris le profilage dans la mesure où il est lié à ce marketing direct.
  3. Si la personne concernée s'oppose au traitement à des fins de marketing direct, les données personnelles ne seront plus traitées à de telles fins.
  4. Au plus tard lors de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 sera explicitement porté à la connaissance de la personne concernée et sera présenté clairement et séparément de toute autre information.
  5. Dans le cadre de l'utilisation des services de la société de l'information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d'opposition par des moyens automatisés utilisant des spécifications techniques.
  6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, la personne concernée, pour des raisons tenant à sa situation particulière, a le droit de s'opposer au traitement des données à caractère personnel la concernant ou elle, sauf si le traitement est nécessaire à l'exécution d'une mission réalisée pour des raisons d'intérêt public.

Version du RGPD au Royaume-Uni

Le RGPD britannique est en grande partie similaire à l'extrait du RGPD de l'UE, la seule différence est indiquée ci-dessous :

Droit d'opposition

5. Dans le cadre de l'utilisation des services de la société de l'information, la personne concernée peut exercer son droit d'opposition par des moyens automatisés utilisant des spécifications techniques, nonobstant la législation nationale adoptée avant le jour de clôture de la PI mettant en œuvre la directive 2002/58/CE du Parlement européen et du le Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Commentaire technique

Les particuliers peuvent s'opposer au traitement de leurs données pour trois motifs essentiels :

  1. un « intérêt légitime » ou une tâche d'intérêt public (voir ci-dessous) n'est pas identifié ;
  2. à des fins de marketing direct ;
  3. à des fins historiques ou statistiques (sauf si cela est dans l’intérêt public).

« Intérêts légitimes »

Le RGPD repose largement sur la nécessité pour la personne concernée d'établir un « intérêt légitime » avant de s'opposer au traitement de ses données. Cela doit inclure tout ou partie des éléments ci-dessous :

  • des scénarios liés à leur situation personnelle ;
  • des motifs légitimes et impérieux ;
  • les actions en poursuite d'une action en justice ;
  • profilage des données (une forme de traitement qui évalue certains aspects personnels relatifs à une personne physique, sur la base de données associées, sans données définitives sur lesquelles s'appuyer) ;
  • exercer leur droit de restreindre le traitement ou d’effacer.


Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo


Clause 27701 de la norme ISO 7.3.2 et article 21 (4) du RGPD de l'UE

Détermination des informations pour les principaux PII

Les organisations doivent documenter une liste d'exigences qui régissent quand et comment les informations doivent être fournies aux responsables des PII, notamment :

  • le but des informations personnelles qui doivent être collectées et utilisées ;
  • comment entrer en contact avec le responsable du traitement ;
  • les circonstances dans lesquelles les informations personnelles ont été obtenues ;
  • toute exigence contractuelle et/ou légale en vigueur ;
  • comment les individus peuvent retirer leur consentement ;
  • comment les informations personnelles sont transférées d'une source à une autre ;
  • comment les personnes concernées peuvent déposer une plainte ;
  • le processus décisionnel interne de l'organisation ;
  • lorsque les données doivent être supprimées (périodes de conservation).

Clause 27701 de la norme ISO 7.3.3 et article 21 (4) du RGPD de l'UE

Fournir des informations aux responsables des informations personnelles

Les organisations doivent fournir des informations « claires et accessibles » qui établissent qui est le responsable du traitement des informations personnelles et comment elles sont traitées.

Toutes les informations doivent être fournies sans erreur, écrites dans un langage facile à comprendre (par exemple aussi exempt de jargon que possible) et transmises dans un format commun (voir ISO 27701 clause 7.3.2).

Prise en charge des clauses ISO 27701

  • ISO 27701 7.3.2

ISO 27701, clause 7.3.5 et article 21 du RGPD de l'UE

Dans cette section, nous parlons des articles 21 (1), 21 (2), 21 (3), 21 (5) et 21 (6) du RGPD.

Fournir un mécanisme pour s'opposer au traitement des informations personnelles

Les lois varient d'une région à l'autre, mais en règle générale, les juridictions accordent généralement aux individus le droit de soulever une objection quant à la manière dont leurs informations personnelles sont collectées et traitées.

Les organisations devraient :

  • documenter et respecter toutes les exigences légales ou réglementaires liées aux objections spécifiques soulevées ;
  • diffuser des informations faciles à comprendre sur la manière dont les individus peuvent s’opposer et pour quels motifs.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 21 (4) du RGPD de l’UE ISO 27701 7.3.2Aucun
Article 21 (4) du RGPD de l’UE ISO 27701 7.3.3 ISO 27701 7.3.2
RGPD UE Article 21 (1), 21 (2), 21 (3), 21 (5) et 21 (6) ISO 27701 7.3.5Aucun

Comment ISMS.online vous aide

Nous sommes là pour vous aider lorsque vous en avez besoin. Si, pour une raison quelconque, vous ressentez un manque de confiance, de capacité ou de volonté d'agir au cours de votre parcours vers le RGPD, nous pouvons mettre à votre disposition notre équipe d'experts internes ou recommander l'un de nos partenaires de confiance pour donner un coup de pouce à vos efforts.

Nous faisons du mappage de données une tâche simple. Il est facile d'enregistrer et de réviser tout cela, en ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.

Si le pire arrive, vous serez prêt. Nous facilitons la planification et la communication de votre flux de travail en matière de violation, ainsi que la documentation et les enseignements tirés de chaque incident.

En savoir plus par réserver une démo pratique de 30 minutes.

Aller au sujet

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Visite de la plateforme ISMS

Intéressé par une visite de la plateforme ISMS.online ?

Commencez dès maintenant votre démo interactive gratuite de 2 minutes et découvrez la magie d'ISMS.online en action !

Testez-le gratuitement

Nous sommes un leader dans notre domaine

Les utilisateurs nous aiment
Grid Leader - Printemps 2025
Momentum Leader - Printemps 2025
Responsable régional - Printemps 2025 Royaume-Uni
Responsable régional - Printemps 2025 UE
Meilleure estimation. ROI Entreprise - Printemps 2025
Les plus susceptibles de recommander Enterprise - Printemps 2025

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

-Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

-Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

-Ben H.

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !