Gérer les droits des personnes concernées par le traitement
Recette RGPD Etape 4 : Pétrissez la pâte
Votre recette continue avec une étape indispensable à la réussite de votre préparation : la gestion des droits des personnes concernées par le traitement.
Ces droits commencent dès la collecte de l’information. Il vous faut désormais obtenir le consentement explicite des personnes concernées par le traitement et les informer des traitements qui seront effectués.
L’objectif : qu’elles puissent donner leur consentement de manière explicite.
Cette obligation renforcée de recueillir le consentement doit vous amener à auditer pratiques actuelles et éventuellement les revoir. Vous mettre en conformité nécessite de passer en revue vos contrats de prestations, conditions générales de vente, devis mais aussi probablement le formulaire de contact de votre site internet et de les adapter aux nouvelles obligations.
Vous devrez aussi être en mesure de prouver que la personne concernée a donné son consentement.
Comme pour mettre en forme votre pâte et lui assurer un aspect bien lisse, il conviendra enfin de vous assurer que les personnes concernées par la collecte des données personnelles puissent exercer la multitude de droits que consacre le règlement européen.
Ces droits, quels sont-ils ?
Qu’est-ce que le RGPD ?
Le droit d’accès : la personne concernée a le droit d’obtenir de votre part la confirmation que des données personnelles la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à ces données. Elle peut également vous demander : la finalité du traitement, les destinataires auxquels ces données seront communiquées, la durée de conservation…
Le droit de rectification : il vous incombe de mettre à jour les informations à sa demande. Cela semble évident et pourtant nous entendons régulièrement lors du déploiement de nouveaux clients d’un logiciel tiers vers Ximi, à l’occasion de la migration de données : « Ah, mon fichier client n’est pas vraiment à jour, certains sont décédés, d’autres ont déménagé. Il faudrait que je profite du changement de logiciel pour me remettre au carré ».
Le droit d’effacement : c’est le fameux droit à l’oubli, consacré par le règlement européen. Fondamental pour le respect du droit à la vie privée, il pourra par exemple être exercé lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
Le droit à la limitation du traitement : la personne concernée est en droit de demander la suspension du traitement de données la concernant.
Le droit d’opposition : c’est la possibilité pour la personne concernée de demander à ce que le traitement la concernant soit arrêté. Le cas le plus classique : le prospect qui avait accepté à un moment donné de recevoir des sollicitations de votre part et ne souhaite désormais plus figurer dans votre fichier de prospection commerciale.
Le droit à la portabilité des données : nouveau droit institué par le règlement européen, il s’agit de la possibilité pour une personne d’obtenir les données personnelles la concernant, dans un format lisible et structuré, afin de pouvoir les transmettre à un autre acteur.
Comment traiter ces demandes ?
Toute demande doit faire l’objet d’une réponse respectant certaines modalités :
Délai : un mois maximum à compter de la réception de la demande. La personne concernée pourra introduire une réclamation auprès d’une autorité de contrôle en cas de refus de réponse de votre part.
Format : la réponse doit être concise, transparente, compréhensible, en des termes clairs et simples. Elle peut être apportée par écrit ou par voie électronique.
Nous vous conseillons de formaliser une procédure de gestion et de traitement des demandes d’exercice de leurs droits par les personnes concernées.
Vous êtes maintenant à la moitié du chemin… Ne vous découragez pas, votre recette prend forme !
Ximi vous accompagnera pour définir les différentes manières pour permettre aux personnes concernées d’exercer leurs droits, les documenter avec des formulaires ou encore définir le délai sous lequel vous vous engagez à traiter la demande d’exercice de droit.
A titre d’information, Ximi a réalisé un audit des pratiques d’emailing dans ses applications. Ce dernier a révélé de nombreux envois de mails sans recueil du consentement de la personne concernée, ni possibilité d’exercer pour la personne son droit d’accès ou de rectification.
La recette du RGPD
Vous souhaitez en savoir plus sur le RGPD ? Retrouvez la recette complète du RGPD sur notre page dédiée !
Chacune des étapes décrites ci-dessus s’accompagne d’un article explicatif.
N’en perdez plus une miette en consultant notre site régulièrement !
Inscription Webinars
A chaque étape jusqu’au 25 mai, nous proposons un webinar pour reprendre les points importants et voir des exemples concrets d’application à mettre en pratique dans votre structure de services à la personne.
Astuces du chef !
Attention : toutes nos communications et notre accompagnement ont vocation à vous aider mais ils ne sauraient se substituer aux conseils d’un professionnel sur le sujet. Nous ne garantissons pas que ce que nous communiquons est exhaustif. Suivre nos conseils ne saurait garantir une conformité au RGPD qui relève in fine du responsable du traitement.