Comment démontrer la conformité à l'article 22 du RGPD

Logiciel de conformité RGPD

Demander demo

entreprise, équipe, réunion., photo, professionnel, investisseur, travail, nouveau, démarrage, up

RGPD L'article 22 traite d'un concept appelé « profilage des données » – essentiellement une méthode utilisée pour établir le profil de la personnalité d'un individu. uniquement grâce à une analyse automatisée des données, qui a la possibilité de les affecter juridiquement ou financièrement (par exemple, la notation de crédit et les demandes de prêt hypothécaire).

En vertu de l'article 22, les individus ont le droit de ne pas faire l'objet d'un profilage de cette manière, sauf accord exprès par le biais d'un contrat entre l'intéressé et l'organisation qui effectue le profilage.

Article 22 du RGPD Texte juridique

Version RGPD de l'UE

Prise de décision individuelle automatisée, y compris le profilage

  1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de manière similaire.

  2. Le paragraphe 1 ne s'applique pas si la décision :

    • est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ;

    • est autorisé par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée ; ou

    • repose sur le consentement explicite de la personne concernée.

  3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée, au moins le droit d'obtenir une intervention humaine de la part de la personne concernée. responsable du traitement, d'exprimer son point de vue et de contester la décision.

  4. Les décisions visées au paragraphe 2 ne sont pas fondées sur des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées soient prises pour sauvegarder les droits de la personne concernée. et les libertés et les intérêts légitimes sont en place.

Version du RGPD au Royaume-Uni

Prise de décision individuelle automatisée, y compris le profilage

  1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de manière similaire.

  2. Le paragraphe 1 ne s'applique pas si la décision :

    • est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ;

    • est requis ou autorisé par le droit national qui prévoit également des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée ; ou

    • repose sur le consentement explicite de la personne concernée.

  3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée, au moins le droit d'obtenir une intervention humaine de la part de la personne concernée. responsable du traitement, d'exprimer son point de vue et de contester la décision.

    • 3A. L'article 14 de la loi de 2018 et les règlements pris en vertu de cet article prévoient la sauvegarde des droits, libertés et intérêts légitimes des personnes concernées dans les cas qui relèvent du point (b) du paragraphe 2 (mais pas du point (a) ou (c). de ce paragraphe).

  4. 4. Les décisions visées au paragraphe 2 ne sont pas fondées sur des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées soient prises pour protéger les données. les droits et libertés et les intérêts légitimes du sujet sont en place.
Aller au sujet
Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

Commentaire technique

Domaine

D'une manière générale, l'article 22 n'est pas pertinent si les décisions affectent plusieurs personnes concernées ou des groupes d'individus liés par certaines variables – par exemple l'âge, le sexe, le lieu.

La loi se concentre plutôt sur le droit de l'individu – c'est-à-dire d'une personne – de ne pas faire l'objet d'un profilage sans son consentement.

Qu'est-ce qu'une « décision »

Bien qu’il s’agisse du sujet principal, les décisions constituent en quelque sorte une zone grise. La loi n'est pas claire quant à ce qui constitue une décision. Il peut s'agir d'une décision d'une autorité gouvernementale ou de quelque chose de plus facilement reconnaissable, comme une cote de crédit ou des mesures prises concernant une demande de prêt hypothécaire.

Pour rendre les choses encore plus vagues, les décisions peuvent également constituer une attitude ou une opinion à l'égard d'une personne concernée, sur la base de ses données, mais seulement si cela a une probabilité d'être mise en œuvre.

Effets juridiques

Un « effet juridique » est une action contraignante prise à l'égard d'une personne. Les décisions sont des scénarios tels qu'une demande de prestations, une déclaration de revenus ou une évaluation des soins de santé.

Bien que certains ou tous ces éléments ne modifient pas spécifiquement le statut juridique de base d'une personne, ils peuvent néanmoins avoir un effet profond sur la vie de cette personne, notamment :

  • changer la situation d'une personne ou les choix qui s'offrent à elle ;

  • a un effet prolongé sur une personne au cours de sa vie ;

  • (dans certaines circonstances) conduisant à une discrimination ou à des actions injustes envers quelqu'un.

ISO 27701, clause 7.2.2 et article 22 du RGPD de l'UE

Dans cette section, nous parlons des articles 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) du RGPD.

Identifier une base légale

Pour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent documenter leurs actions et :

  1. demander le consentement ;

  2. rédiger un contrat, ou des contacts ;

  3. respecter toute autre obligation légale ;

  4. protéger les « intérêts vitaux » des individus et des groupes sur lesquels ils détiennent des données ;

  5. s'assurer qu'ils opèrent dans l'intérêt public et qu'il s'agit d'un intérêt légitime.

Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à leur organisation dans leur système de classification des données (voir ISO 27701, clause 7.2.8) (les classifications peuvent varier d'une région à l'autre).

Si les organisations constatent des changements dans les raisons sous-jacentes du traitement des informations personnelles, cela doit être immédiatement reflété dans leur base juridique documentée.

Prise en charge des clauses ISO 27701

  • ISO 27701 7.2.8

ISO 27701, clause 7.3.10 et article 22 du RGPD de l'UE

Dans cette section, nous parlons des articles 22 (1) et 22 (3) du RGPD.

Prise de décision automatisée

Les organisations doivent prendre en compte les différences juridictionnelles dans la prise de décision automatisée concernant les informations personnelles.

Les organisations doivent respecter le droit d'un individu de s'opposer et de demander une intervention humaine à la place de procédures automatisées.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
RGPD de l'UE, articles 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)ISO 27701 7.2.2ISO 27701 7.2.8
Articles 22 (1) et 22 (3) du RGPD de l’UEISO 27701 7.3.10Aucun

Comment ISMS.online vous aide

En ajoutant un PIMS à votre ISMS sur la plateforme ISMS.online, votre posture de sécurité reste centralisée et vous éviterez la duplication là où les normes se chevauchent.

Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27701 et ISO 27001 d'un simple clic.

Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27701 et ISO 27001 en utilisant ISMS.online en réserver une démo.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage