Depuis la mise en place du RGPD, l'exercice des droits des personnes et le traitement des données personnelles font l'objet d'un cadre réglementaire strict. Ne pas le respecter, c'est courir le risque d'être notifié à la CNIL 😱.
Les personnes concernées par des traitements de données personnelles disposent maintenant de droits leur permettant de garder la maîtrise des informations les concernant. Comment leur permettre de les exercer concrètement et comment y répondre ? On vous explique tout, le plus simplement possible 👌.
Les 2 questions de départ
En matière de gestion des droits des personnes :
- Comment permettre à mes contacts d'exercer leurs droits ?
- Comment assurer un bon traitement de leurs demandes et éviter une notification à la CNIL ?
L'exercice des droits des personnes et leur traitement
Le RGPD intègre, pour les entreprises, l’obligation de permettre à leurs contacts d’exercer leurs droits sur leurs données personnelles et l'obligation d’y répondre dans un délai maximum d’un mois ⏱. Passé ce délai, la personne peut adresser une plainte à la CNIL (avec un risque d’amende pour l'entreprise).
Rappelez-vous que tous, nous apprécions, à titre personnel, de pouvoir exercer nos droits sur nos données personnelles auprès d’une entreprise à qui nous les avons confiées.
Vos contacts doivent à tout moment pouvoir vous demander par voie électronique :
>> la mise à jour ou la modification de leurs informations
>> l'accès ou la restitution de leurs données
>> la suppression partielle ou complète de leurs données personnelles
>> l'opposition à certains traitements (profilage, personnalisation...)
Les actions consécutives à ces demandes doivent être historisées par l'entreprise et horodatées. En cas de demande de suppression de données personnelles, vous devrez placer celles-ci dans une liste d’opposition. Si vous êtes contrôlé, vous devrez en effet être en capacité de justifier de ces traitements.
Un traitement manuel de ces demandes est souvent privilégié compte-tenu du caractère potentiellement sensible de ces demandes et de la nécessité de vérification au sein de vos services et logiciels.
Actions préconisées
1. Mise en place d’un formulaire de recueil des demandes d'exercice sur votre site Internet
2. Mise en place d’un dispositif d’alerte pour chaque demande
3. Mise en place d’un suivi des demandes permettant de les traiter et de les historiser
4. Effacer les demandes de suppression de vos systèmes et conserver la capacité à justifier de l’effacement en cas de contrôle.
5. Puis suppression ou anonymisation des données
Quel sera le bénéfice en sortie ?
En appliquant ces actions, vous respecterez les droits des personnes et assurerez votre conformité légale.
________________________________
Pour avoir une base de données de qualité, active, régulièrement nettoyée et conforme au RGPD,
> TÉLÉCHARGEZ NOTRE DOSSIER INTÉGRAL
Vous y trouverez cet article ainsi que les 3 suivants :
>> Comment collecter les bonnes données de contactabilité ?
enrichissement et mise à jour des données de contactabilité, mise en place d’opt-in horodatés par canal et par finalité de traitement
>> Comment conserver une base active et qualifiée ?
calcul des actifs, inactifs et candidats à l'obsolescence, scénarios de réactivation
>> Comment nettoyer votre base de données ?
suppression ou anonymisation de vos contacts éligibles au droit à l'oubli
