RGPD Article 7 traite des « conditions de consentement » qui doivent être remplies pour qu'il soit établi qu'une organisation a obtenu l'autorisation requise avant de traiter les données d'un individu.
Conditions de consentement
- Lorsque le traitement est basé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données personnelles.
- Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite portant également sur d'autres sujets, la demande de consentement est présentée d'une manière qui se distingue clairement des autres sujets, sous une forme intelligible et facilement accessible, en utilisant des moyens clairs et langage clair. Toute partie d'une telle déclaration qui constitue une violation du présent règlement n'est pas contraignante.
- La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement fondé sur le consentement avant son retrait. Avant de donner son consentement, la personne concernée en sera informée. Il sera aussi facile de se retirer que de donner son consentement.
- Lors de l'évaluation du caractère libre du consentement, il est tenu le plus grand compte de savoir si, entre autres, l'exécution d'un contrat, y compris la fourniture d'un service, est conditionnée au consentement au traitement de données à caractère personnel qui ne sont pas nécessaires à l'exécution de ce contrat.
Conditions de consentement
- Lorsque le traitement est basé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données personnelles.
- Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite portant également sur d'autres sujets, la demande de consentement est présentée d'une manière qui se distingue clairement des autres sujets, sous une forme intelligible et facilement accessible, en utilisant des moyens clairs et langage clair. Toute partie d'une telle déclaration qui constitue une violation du présent règlement n'est pas contraignante.
- La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement fondé sur le consentement avant son retrait. Avant de donner son consentement, la personne concernée en sera informée. Il sera aussi facile de se retirer que de donner son consentement.
- Lors de l'évaluation du caractère libre du consentement, il est tenu le plus grand compte de savoir si, entre autres, l'exécution d'un contrat, y compris la fourniture d'un service, est conditionnée au consentement au traitement de données à caractère personnel qui ne sont pas nécessaires à l'exécution de ce contrat.
Le consentement est traité dans l’article 7 du RGPD dans 3 domaines clés :
Les organisations doivent recueillir le consentement de manière à permettre aux sujets PII de demander facilement des informations sur la manière dont elles ont été obtenues (horodatage, qui l'a demandé, etc.) (voir ISO 27701, clause 7.3.3).
Le consentement repose sur trois stipulations juridiques sous-jacentes : il doit être librement fourni, lié au motif du traitement et clair dans son intention.
Les organisations doivent fournir un mécanisme qui décrit les droits de tout mandant de PII qui souhaite retirer son consentement, ainsi que des instructions sur la façon de le faire qui sont conformes aux méthodes utilisées pour collecter des PII (par exemple, e-mail, téléphone).
Les responsables des informations personnelles devraient également pouvoir « modifier » le consentement, c'est-à-dire empêcher le responsable du traitement d'effectuer certaines actions, telles que la suppression des informations personnelles. Ces demandes doivent être documentées conformément aux procédures de retrait du consentement.
Les organisations doivent s’engager à publier un délai de réponse pour toute modification ou retrait de demande de consentement.
Les organisations doivent obtenir l'autorisation du principe PII avant d'utiliser les données fournies à des fins de marketing ou de publicité, et s'assurer que l'acceptation d'une telle utilisation n'est pas une condition préalable au traitement des PII.
Les stipulations de marketing et de publicité doivent être clairement documentées dans tout contrat ou accord de service, conformément à l'objectif ci-dessus.
Les organisations doivent rechercher un « consentement exprès » basé sur une représentation transparente et à jour de la manière dont les informations personnelles doivent être utilisées.
Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
---|---|---|
Article 7 (1) et 7 (2) du RGPD de l’UE | ISO 27701 7.2.4 | Aucun |
Article 7 (3) du RGPD de l’UE | ISO 27701 7.3.4 | Aucun |
Article 7 (4) du RGPD de l’UE | ISO 27701 8.2.3 | Aucun |
La plateforme ISMS.online comprend des conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapter, Ajouter », ce qui facilite considérablement la démonstration de votre conformité au RGPD. Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.
Grâce à notre plateforme intuitive, vous pouvez mapper votre travail sur plusieurs normes et cadres afin de pouvoir atteindre plusieurs objectifs de sécurité des informations et de confidentialité en un minimum de temps.
Si, à tout moment de votre parcours vers le RGPD, pour quelque raison que ce soit, vous ressentez un manque de confiance, de capacité ou de volonté d'agir, nous pouvons mettre notre équipe d'experts internes à votre disposition ou recommander l'un de nos partenaires de confiance pour vous aider. vous dans la réalisation de vos objectifs.
En savoir plus par réserver une courte démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo