Articles 18, 19 et considérant 67 du Le RGPD documente les dispositions pour les organisations à suivre lorsqu'un individu exerce son droit à restreindre le traitement de ses données personnelles.
Jetons un coup d'œil rapide aux nouveautés.
La Règlement Général de Protection des Données (RGPD) vise à donner à l’individu (personne concernée) plus de contrôle sur le sort de ses données personnelles. L'article 18 du règlement détaille le droit de l'individu d'imposer des restrictions à une organisation et de limiter la manière dont il utilise les données.
La personne concernée doit avoir une raison pour restreindre les données, par exemple, elle peut penser que les données sont inexactes ou elle ne pense pas avoir donné son consentement pour que ses données soient utilisées de la manière dont elles l'ont été. Regardons cela plus en détail.
Le Bureau du commissaire à l'information (ICO) déclare que :
Bien qu'il existe des distinctions claires, vous pouvez constater que la limitation du traitement est liée au droit de rectification du RGPD (article 16) et au droit d'opposition (article 21, paragraphe 1). Cela signifie qu'il est recommandé que si vous recevez une demande de rectification ou d'opposition, vous limitez automatiquement le traitement pendant que la demande est en cours d'examen.
L'efficace gestion de cet aspect du RGPD, comme beaucoup d’autres, se résume à la planification des processus. Le traitement des données personnelles comprend la collecte, la structuration, la diffusion et l'effacement, vous devez donc en tenir compte lors de la création de votre processus.
De plus, la méthode de stockage que vous utilisez est tout aussi importante. Si vous recevez une demande de restriction, vous pouvez temporairement déplacer ces données vers un système de traitement distinct. Vous pouvez également choisir de rendre les données indisponibles ou de les supprimer de l'endroit où elles sont actuellement visibles, comme sur un site Web par exemple.
Si vous avez déjà partagé ces données avec une autre organisation, vous devez l'informer de la demande.
Normalement, une restriction au traitement est un état temporaire si elle est fondée sur l’exactitude ou la nécessité. Une fois que ces questions auront été résolues et que vous aurez informé la personne, vous pourrez choisir de lever la restriction.
Vous pouvez refuser une demande de restriction si vous la jugez infondée ou excessive. L'ICO déclare :
Si vous considérez qu’une demande est manifestement infondée ou excessive vous pouvez :
Dans les deux cas, vous devrez justifier votre décision.
Vous devez baser les frais raisonnables sur les coûts administratifs liés au respect de la demande. Si vous décidez de facturer des frais, vous devez contacter la personne rapidement et l'en informer. Vous n’êtes pas tenu de donner suite à la demande tant que vous n’avez pas reçu les frais.
Si vous refusez une demande, vous devez expliquer à la personne pourquoi vous avez pris cette décision, expliquer son droit de déposer une plainte auprès de l'ICO et l'informer de ses droits judiciaires.
Nous avons parlé de la nécessité de mettre en place des politiques pour faciliter le traitement de ces demandes. Mais votre organisation maîtrise-t-elle les données personnelles qu’elle détient ? ISMS.online a une solution pour ça.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
ISMS.online propose un outil de suivi de l'inventaire des données personnelles et du traitement des dossiers pour vous aider à faire exactement cela.
Les informations contenues dans ce blog sont fournies à titre indicatif et ne constituent pas des conseils juridiques.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup