RGPD L'article 22 traite d'un concept appelé « profilage des données » – essentiellement une méthode utilisée pour établir le profil de la personnalité d'un individu. uniquement grâce à une analyse automatisée des données, qui a la possibilité de les affecter juridiquement ou financièrement (par exemple, la notation de crédit et les demandes de prêt hypothécaire).
En vertu de l'article 22, les individus ont le droit de ne pas faire l'objet d'un profilage de cette manière, sauf accord exprès par le biais d'un contrat entre l'intéressé et l'organisation qui effectue le profilage.
Prise de décision individuelle automatisée, y compris le profilage
Prise de décision individuelle automatisée, y compris le profilage
D'une manière générale, l'article 22 n'est pas pertinent si les décisions affectent plusieurs personnes concernées ou des groupes d'individus liés par certaines variables – par exemple l'âge, le sexe, le lieu.
La loi se concentre plutôt sur le droit de l'individu – c'est-à-dire d'une personne – de ne pas faire l'objet d'un profilage sans son consentement.
Bien qu’il s’agisse du sujet principal, les décisions constituent en quelque sorte une zone grise. La loi n'est pas claire quant à ce qui constitue une décision. Il peut s'agir d'une décision d'une autorité gouvernementale ou de quelque chose de plus facilement reconnaissable, comme une cote de crédit ou des mesures prises concernant une demande de prêt hypothécaire.
Pour rendre les choses encore plus vagues, les décisions peuvent également constituer une attitude ou une opinion à l'égard d'une personne concernée, sur la base de ses données, mais seulement si cela a une probabilité d'être mise en œuvre.
Un « effet juridique » est une action contraignante prise à l'égard d'une personne. Les décisions sont des scénarios tels qu'une demande de prestations, une déclaration de revenus ou une évaluation des soins de santé.
Bien que certains ou tous ces éléments ne modifient pas spécifiquement le statut juridique de base d'une personne, ils peuvent néanmoins avoir un effet profond sur la vie de cette personne, notamment :
Dans cette section, nous parlons des articles 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) du RGPD.
Pour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent documenter leurs actions et :
Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à leur organisation dans leur système de classification des données (voir ISO 27701, clause 7.2.8) (les classifications peuvent varier d'une région à l'autre).
Si les organisations constatent des changements dans les raisons sous-jacentes du traitement des informations personnelles, cela doit être immédiatement reflété dans leur base juridique documentée.
Dans cette section, nous parlons des articles 22 (1) et 22 (3) du RGPD.
Les organisations doivent prendre en compte les différences juridictionnelles dans la prise de décision automatisée concernant les informations personnelles.
Les organisations doivent respecter le droit d'un individu de s'opposer et de demander une intervention humaine à la place de procédures automatisées.
Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
---|---|---|
RGPD de l'UE, articles 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
Articles 22 (1) et 22 (3) du RGPD de l’UE | ISO 27701 7.3.10 | Aucun |
En ajoutant un PIMS à votre ISMS sur la plateforme ISMS.online, votre posture de sécurité reste centralisée et vous éviterez la duplication là où les normes se chevauchent.
Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27701 et ISO 27001 d'un simple clic.
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27701 et ISO 27001 en utilisant ISMS.online en réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides