La Le Bureau du commissaire à l'information a mis à jour la section du RGPD sur le droit de la personne à être informée de la collecte et de l'utilisation de ses données personnelles.
Jetons un coup d'œil aux nouveautés.
Nous savons donc tous désormais que c'est la transparence qui est au cœur de RGPD. Permettez aux individus d’accéder aux détails les plus profonds et les plus sombres des données personnelles que nous détenons sur eux, soyez clair sur la manière dont elles sont utilisées et redonnez le contrôle. Aujourd’hui, le RGPD va plus loin dans cette promesse, avec le droit à l’information.
Dans les articles 13 et 14 du RGPD, vous trouverez les détails de ce dont les individus doivent être informés – appelés par le Bureau du commissaire à l'information (ICO) informations sur la confidentialité. Selon la manière dont vous avez obtenu les données en premier lieu (directement auprès de l'individu ou via une autre source tierce), cela déterminera ce que vous devez partager.
| Les informations que vous devez fournir | Données personnelles obtenues auprès de particuliers | Données personnelles obtenues à partir d'autres sources |
| Le nom et les coordonnées de l'organisation | ✓ | ✓ |
| Les coordonnées du représentant de l'organisation | ✓ | ✓ |
| La protection des données Nom et coordonnées du responsable (DPO) | ✓ | ✓ |
| Ce que vous envisagez de faire avec les données que vous traitez | ✓ | ✓ |
| Disposez-vous d’une base légale pour traiter les données personnelles ? | ✓ | ✓ |
| As tu un intérêt légitime pour le traitement des données personnelles ? | ✓ | ✓ |
| Les catégories de données personnelles obtenues | ✓ | |
| Les destinataires ou catégories de destinataires des données personnelles | ✓ | ✓ |
| Les détails de tout transfert de données personnelles vers des pays tiers ou des organisations internationales | ✓ | ✓ |
| Combien de temps prévoyez-vous de conserver les données personnelles | ✓ | ✓ |
| Les droits dont disposent les personnes physiques concernant le traitement | ✓ | ✓ |
| Le droit de retirer son consentement | ✓ | ✓ |
| Le droit d'introduire une réclamation auprès d'une autorité de contrôle | ✓ | ✓ |
| La source des données personnelles | ✓ | |
| Les détails indiquant si les individus sont soumis à une obligation légale ou contractuelle de fournir les données personnelles | ✓ | |
| Les détails de l'existence d'une prise de décision automatisée, y compris le profilage | ✓ | ✓ |
Il est conseillé ici de considérer le contexte dans lequel les données ont été collectées en premier lieu et, si possible, d'utiliser le même support pour communiquer les informations confidentielles. Par-dessus tout, il est important de rester clair et simple et d'utiliser un langage que le public cible comprendrait.
Par exemple, si vous utilisez des appareils mobiles et intelligents, vous pouvez utiliser des fenêtres contextuelles, des alertes vocales et des gestes sur l'appareil. De plus, les graphiques et les icônes peuvent grandement contribuer à communiquer ces informations de manière simple et intuitive.
L'ICO fait également référence à un « avis juste à temps » dans lequel des informations pertinentes et ciblées sont présentées à l'utilisateur au moment de la collecte de données personnelles ou lorsqu'il décide de donner son consentement. Vous pouvez également utiliser l'approche en couches, similaire à cette image d'appareil mobile. Les points clés et concis sont répertoriés, avec des couches supplémentaires ou des liens vers des informations plus détaillées ailleurs.
La manière la plus courante de permettre aux individus de accès et contrôle la manière dont leurs données personnelles sont utilisées consiste à utiliser des outils de gestion des préférences ou des zones de tableau de bord sur un site Web.
Comme nous l'avons indiqué ci-dessus, l'une des exigences lors de la collecte de données personnelles est de garantir que l'individu a accès à informations de confidentialité à ce moment là. Si vous avez obtenu leurs données personnelles auprès d'une autre source tierce, vous devez alors respecter d'autres exigences :
Cependant, dans le cas d’obtention de données provenant d’une autre source, le RGPD ne vous oblige pas à dire aux individus ce qu’ils savent déjà. Cela signifie que la fourniture d’informations confidentielles n’est pas requise si :
Si vous respectez cette exigence, non seulement vous respecterez de nombreux aspects du RGPD, mais cela vous aidera également à démontrer à une clientèle plus engagée que vous pouvez faire confiance à ses données personnelles.
ISMS.online propose un outil de suivi de l'inventaire des données personnelles et du traitement des dossiers pour vous aider à faire exactement cela.
Les informations contenues dans ce blog sont fournies à titre indicatif et ne constituent pas des conseils juridiques.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup