Vous avez sûrement déjà entendu parler du GDPR, la loi sur la protection des données la plus solide à ce jour dans l’UE. Au niveau le plus élémentaire, le règlement définit ce qui constitue un traitement licite des données à caractère personnel (comment elles sont collectées, utilisées, protégées ou traitées en général) et accorde aux personnes dont les données à caractère personnel sont traitées certains droits, appelés “droits des personnes concernées“.
👀 Dans cet article, nous examinons quels sont ces droits et comment vous pouvez les respecter légalement en tant qu’entreprise.
Avant de plonger dans le vif du sujet, définissons ce qu’est une personne concernée. A qui fait-elle référence ?
Le terme “personne concernée” a été utilisé dans le texte du GDPR pour décrire une “personne physique identifiée ou identifiable”. Il s’agit essentiellement de la personne dont les données personnelles (c’est-à-dire l’adresse électronique) sont collectées, traitées ou stockées par une entreprise.
Les données personnelles au sens du GDPR comprennent des éléments d’information qui, lorsqu’ils sont rassemblés, peuvent conduire à l’identification d’une personne.
🔍 Lisez notre article pour en savoir plus sur ce qui est considéré comme des informations personnelles à travers les principales lois sur la vie privée.
Le GDPR reconnaît la nécessité de protéger les données personnelles et de veiller à ce que les individus en aient le contrôle.
Elle permet aux personnes concernées de prendre certaines mesures à l’égard des données personnelles que les entreprises détiennent sur elles et leur a accordé une liste de 8 droits de la personne concernée : droit d’être informé, droit d’accès, droit de rectification, droit d’effacement, droit de restriction du traitement, droit à la portabilité des données, droit d’opposition, droits liés à la prise de décision automatisée et au profilage. Continuez à lire pour plus de détails.
Vous devez informer les utilisateurs que leurs données sont collectées, quelles données en particulier, et pourquoi. Cela signifie également que vos avis de confidentialité doivent être concis, faciles à comprendre et aisément accessibles sur l’ensemble de votre site web/application.
Les utilisateurs ont le droit d’accéder à leurs données personnelles et aux informations sur la manière dont ces données sont traitées.
Les utilisateurs ont le droit de faire rectifier leurs données personnelles si elles sont inexactes ou incomplètes.
Lorsque les données ne sont plus pertinentes pour leur finalité initiale ou lorsque les utilisateurs ont retiré leur consentement, les utilisateurs ont le droit de demander que leurs données soient effacées.
Les utilisateurs ont le droit de restreindre le traitement de leurs données personnelles dans des cas spécifiques.
Sous certaines conditions, les utilisateurs ont le droit d’obtenir (dans un format lisible par machine) et d’utiliser leurs données personnelles à leurs propres fins.
Les utilisateurs ont le droit de s’opposer à certaines activités en rapport avec leurs données personnelles.
Les utilisateurs ont le droit de ne pas être soumis à une décision fondée sur un traitement automatisé ou un profilage, et qui produit un effet juridique ou un effet similaire significatif sur l’utilisateur.
🔍 Vous pouvez trouver tous les détails sur les droits ci-dessus en termes simplifiés dans notre guide GDPR ici, ou vous pouvez lire le texte officiel du GDPR ici.
Que signifient ces droits pour votre entreprise, en pratique ?
Un délégué à la protection des données (DPD ) est généralement désigné par une entreprise pour veiller à ce que les données personnelles soient traitées conformément aux règles applicables en matière de protection des données. Cela inclut les données personnelles :
Vous devez savoir que si le GDPR s’applique à votre entreprise et si vous traitez une quantité importante de données personnelles, vous êtes légalement tenu de désigner un DPO.
En ce qui concerne les personnes concernées et les droits des personnes concernées, le DPD fait souvent office de point de contact principal et doit traiter les demandes des personnes qui souhaitent exercer leurs droits.
🔍 Nous avons compilé un guide rapide pour savoir ce qu’il faut rechercher lors du choix de votre DPO. Découvrez-le ici!
Le dépôt d’une demande d’accès aux données par les personnes concernées est une étape que les personnes peuvent franchir pour exercer leur droit d’accès essentiel, conformément au GDPR. Les personnes concernées peuvent envoyer une demande écrite et demander les informations suivantes :
En tant qu’entreprise, vous devez fournir gratuitement à une réponse une copie des données personnelles de l’individu.
La demande doit être satisfaite sans retard excessif et, au plus tard, dans le mois qui suit sa réception.
🔍 Apprenez-en plus sur la façon de traiter les DSAR ici.
Il va sans dire que vous êtes tenu de respecter les droits de la personne concernée au titre du GDPR. Vous devriez :
✅ Prendre ces droits au sérieux et mettre en place des mesures techniques et organisationnelles appropriées pour les respecter ;
✅ Superviser la formation de votre personnel ( le cas échéant) sur les questions de protection des données et le traitement des demandes des personnes concernées ;
✅ Assurez-vous que vos documents de confidentialité sont complets et à jour!
Le non-respect de ces droits peut entraîner des amendes et des atteintes à la réputation.
Le respect des droits des personnes concernées n’est qu’une partie de la conformité au GDPR.
🚀 Voici 5 choses que vous devez faire maintenant pour vous conformer au GDPR.
