Comment démontrer la conformité à l'article 21 du RGPD

Logiciel de conformité RGPD

Demander demo

mélange,culturel,de,jeunes,personnes,travaillant,dans,une,entreprise

RGPD L'article 21 contient les conditions qui doivent être remplies avant qu'une personne concernée puisse s'opposer avec succès au traitement de ses données.

Il est important de noter que les personnes concernées ne bénéficient pas d'un droit général de s'opposer aux activités de traitement, le droit d'opposition étant limité à un ensemble spécifique de scénarios.

Article 21 du RGPD Texte juridique

Version RGPD de l'UE

Droit d'opposition

  1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons liées à sa situation particulière, au traitement de données à caractère personnel la concernant qui est fondé sur le point (e) ou (f) de l'article 6, paragraphe 1. , y compris le profilage fondé sur ces dispositions. Le responsable du traitement ne traitera plus les données à caractère personnel, à moins qu'il ne démontre des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée ou pour la constatation, l'exercice ou la défense de droits en justice.

  2. Lorsque les données personnelles sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer à tout moment au traitement des données personnelles la concernant à des fins de marketing direct, y compris le profilage dans la mesure où il est lié à ce marketing direct.

  3. Si la personne concernée s'oppose au traitement à des fins de marketing direct, les données personnelles ne seront plus traitées à de telles fins.

  4. Au plus tard lors de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 sera explicitement porté à la connaissance de la personne concernée et sera présenté clairement et séparément de toute autre information.

  5. Dans le cadre de l'utilisation des services de la société de l'information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d'opposition par des moyens automatisés utilisant des spécifications techniques.

  6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, la personne concernée, pour des raisons tenant à sa situation particulière, a le droit de s'opposer au traitement des données à caractère personnel la concernant ou elle, sauf si le traitement est nécessaire à l'exécution d'une mission réalisée pour des raisons d'intérêt public.

Version du RGPD au Royaume-Uni

Le RGPD britannique est en grande partie similaire à l'extrait du RGPD de l'UE, la seule différence est indiquée ci-dessous :

Droit d'opposition

5. Dans le cadre de l'utilisation des services de la société de l'information, la personne concernée peut exercer son droit d'opposition par des moyens automatisés utilisant des spécifications techniques, nonobstant la législation nationale adoptée avant le jour de clôture de la PI mettant en œuvre la directive 2002/58/CE du Parlement européen et du le Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Commentaire technique

Les particuliers peuvent s'opposer au traitement de leurs données pour trois motifs essentiels :

  1. un « intérêt légitime » ou une tâche d'intérêt public (voir ci-dessous) n'est pas identifié ;

  2. à des fins de marketing direct ;

  3. à des fins historiques ou statistiques (sauf si cela est dans l’intérêt public).

« Intérêts légitimes »

Le RGPD repose largement sur la nécessité pour la personne concernée d'établir un « intérêt légitime » avant de s'opposer au traitement de ses données. Cela doit inclure tout ou partie des éléments ci-dessous :

  • des scénarios liés à leur situation personnelle ;

  • des motifs légitimes et impérieux ;

  • les actions en poursuite d'une action en justice ;

  • profilage des données (une forme de traitement qui évalue certains aspects personnels relatifs à une personne physique, sur la base de données associées, sans données définitives sur lesquelles s'appuyer) ;

  • exercer leur droit de restreindre le traitement ou d’effacer.
Aller au sujet

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Clause 27701 de la norme ISO 7.3.2 et article 21 (4) du RGPD de l'UE

Détermination des informations pour les principaux PII

Les organisations doivent documenter une liste d'exigences qui régissent quand et comment les informations doivent être fournies aux responsables des PII, notamment :

  • le but des informations personnelles qui doivent être collectées et utilisées ;

  • comment entrer en contact avec le responsable du traitement ;

  • les circonstances dans lesquelles les informations personnelles ont été obtenues ;

  • toute exigence contractuelle et/ou légale en vigueur ;

  • comment les individus peuvent retirer leur consentement ;

  • comment les informations personnelles sont transférées d'une source à une autre ;

  • comment les personnes concernées peuvent déposer une plainte ;

  • le processus décisionnel interne de l'organisation ;

  • lorsque les données doivent être supprimées (périodes de conservation).

Clause 27701 de la norme ISO 7.3.3 et article 21 (4) du RGPD de l'UE

Fournir des informations aux responsables des informations personnelles

Les organisations doivent fournir des informations « claires et accessibles » qui établissent qui est le responsable du traitement des informations personnelles et comment elles sont traitées.

Toutes les informations doivent être fournies sans erreur, écrites dans un langage facile à comprendre (par exemple aussi exempt de jargon que possible) et transmises dans un format commun (voir ISO 27701 clause 7.3.2).

Prise en charge des clauses ISO 27701

  • ISO 27701 7.3.2

ISO 27701, clause 7.3.5 et article 21 du RGPD de l'UE

Dans cette section, nous parlons des articles 21 (1), 21 (2), 21 (3), 21 (5) et 21 (6) du RGPD.

Fournir un mécanisme pour s'opposer au traitement des informations personnelles

Les lois varient d'une région à l'autre, mais en règle générale, les juridictions accordent généralement aux individus le droit de soulever une objection quant à la manière dont leurs informations personnelles sont collectées et traitées.

Les organisations devraient :

  • documenter et respecter toutes les exigences légales ou réglementaires liées aux objections spécifiques soulevées ;

  • diffuser des informations faciles à comprendre sur la manière dont les individus peuvent s’opposer et pour quels motifs.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 21 (4) du RGPD de l’UEISO 27701 7.3.2Aucun
Article 21 (4) du RGPD de l’UEISO 27701 7.3.3ISO 27701 7.3.2
RGPD UE Article 21 (1), 21 (2), 21 (3), 21 (5) et 21 (6)ISO 27701 7.3.5Aucun

Comment ISMS.online vous aide

Nous sommes là pour vous aider lorsque vous en avez besoin. Si, pour une raison quelconque, vous ressentez un manque de confiance, de capacité ou de volonté d'agir au cours de votre parcours vers le RGPD, nous pouvons mettre à votre disposition notre équipe d'experts internes ou recommander l'un de nos partenaires de confiance pour donner un coup de pouce à vos efforts.

Nous faisons du mappage de données une tâche simple. Il est facile d'enregistrer et de réviser tout cela, en ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.

Si le pire arrive, vous serez prêt. Nous facilitons la planification et la communication de votre flux de travail en matière de violation, ainsi que la documentation et les enseignements tirés de chaque incident.

En savoir plus par réserver une démo pratique de 30 minutes.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Vous ne savez pas si vous devez construire ou acheter ?

Découvrez la meilleure façon de réussir votre SMSI

Obtenez votre guide gratuit

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage