☐ Si les données à caractère personnel ont été fournies directement par la personne concernée, fournir toutes les informations énumérées à l’article 13.1 du RGPD ;

☐ Si les données à caractère personneln’ont pas été fournies par la personne concernée, fournir toutes les informations énumérées à l’article 14.1 – 2 du RGPD ;

☐ Si les informations ont déjà été entièrement fournies à la personne concernée, il n’est plus nécessaire de se conformer à cette obligation.

Quand les fournir :

☐ Au moment où les informations ont été collectées auprès de la personne concernée ;

☐ Lorsque les données ne sont pas collectées auprès de la personne concernée :

☐ dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais au plus tard dans un délai d’un mois ;

☐ si les données à caractère personnel doivent être utilisées pour la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne ;

☐ si une communication à un tiers est envisagée, au plus tard lors de la première communication des données à caractère personnel.

Comment les fournir :

☐ De manière concise ;

☐ En toute transparence ;

☐ De manière intelligible ;

☐ Facilement accessible ;

☐ Dans un langage clair et simple.

Exemptions :

☐ Lorsque la personne concernée dispose déjà de toutes les informations pertinentes ;

☐ Si les données à caractère personneln’ont pas été fournies par la personne concernée :

☐ Lorsque la fourniture d’informations est impossible ou disproportionnée.

L’exercice du droit d’accès est-il conforme au RGPD ?

☐ Avez-vous reçu une demande d’accès de la part d’une personne morale ? Dans l’affirmative, veuillez indiquer que la demande n’a pas été introduite par une personne physique et refuser la demande ;

☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ;

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande (sans dépasser les délais prévus par le RGPD, voir section 6) ;

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations liées au RGPD :

☐ Fournissez toutes les informations énumérées à l’article 15.1-2 du RGPD ;

☐ Si les informations s’entremêlent avec celles d’autres individus, veuillez effectuer un test d’équilibre pour déterminer si la divulgation à l’individu qui a déposé la demande n’affecte pas les données à caractère personnel de l’autre individu ;

☐ Fournissez à la personne concernée une copie des données personnelles traitées. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut facturer des frais raisonnables.

Les bonnes pratiques :

☐ Fournissez un formulaire spécifique que la personne concernée pourra facilement remplir et soumettre ;

☐ Fournissez toutes les informations dans un format électronique communément utilisé, à moins que la personne concernée n’en fasse la demande.

Liste de contrôle pour donner suite à une demande de rectification : L’exercice du droit de rectification est-il conforme au RGPD ?

☐ Avez-vous reçu une demande de rectification de la part d’une personne morale ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ;

☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ;

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si non, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande ?

☐ Avez-vous besoin d’une preuve de l’inexactitude ou d’informations supplémentaires pour rectifier les données ? Si oui, demandez des informations complémentaires à la personne concernée. N’oubliez pas de ne pas imposer une charge de la preuve déraisonnable à la personne concernée.

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations découlant du RGPD :

☐ Communiquer les données à chaque destinataire auquel les données à caractère personnel ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés.

L’exercice du droit à l’effacement est-il conforme au RGPD ?

☐ Avez-vous reçu une demande d’effacement de la part d’une personne morale ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ;

☐ Les personnes se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ;

☐ La demande relève-t-elle de l’un des scénarios prévus à l’article 17.1 du RGPD ? Si ce n’est pas le cas, veuillez informer et expliquer à la personne concernée que la demande sera refusée ;

☐ La demande satisfait-elle à l’une des exemptions prévues par l’article 17.3 du RGPD ? Si oui, veuillez informer et expliquer à la personne concernée que la demande sera refusée ;

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande.

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations découlant du RGPD :

☐ Rendre les données inutilisables d’une manière qui vous empêche, ainsi que toute autre partie, de (ré)accéder aux données et de les (re)traiter ;

☐ Communiquer l’effacement à chaque destinataire auquel les données à caractère personnel ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés.

L’exercice du droit à la limitation du traitement est-il conforme au RGPD ?

☐ Avez-vous reçu une demande de limitation du traitement des données de la part d’une entité juridique ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ;

☐ Les personnes se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ;

☐ La demande relève-t-elle de l’un des scénarios prévus à l’article 18.1 du RGPD ? Si ce n’est pas le cas, veuillez informer la personne concernée que la demande sera refusée ;

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande ?

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations découlant du RGPD :

☐ N’oubliez pas que la limitation n’englobe pas le stockage des données ;

☐ Lorsque la limitation est en cours, les données à caractère personnel peuvent encore être traitées dans les circonstances prévues à l’article 18.2 du RGPD ;

☐ Communiquer la limitation du traitement à chaque destinataire auquel les données à caractère personnel ont été divulguées conformément à l’article 19 du RGPD, sauf si cela s’avère impossible ou implique des efforts disproportionnés.

L’exercice du droit à la portabilité des données est-il conforme au RGPD ?

☐ Avez-vous reçu une demande de portabilité des données de la part d’un individu ? Si ce n’est pas le cas, veuillez indiquer que la demande n’a pas été introduite par un individu et préciser que la demande doit être faite conformément à la législation pertinente ;

☐ La demande de portabilité est-elle faite par plusieurs personnes concernées ? Si oui, assurez-vous qu’elles sont toutes d’accord sur la demande ;

☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ;

☐ Les données sont-elles traitées sur l’une des bases légitimes prévues à l’article 20.1 du RGPD ? Si ce n’est pas le cas, veuillez informer la personne concernée que la demande sera refusée ;

☐ Le traitement des données est-il nécessaire à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dont est investi le responsable du traitement ? Dans l’affirmative, veuillez informer la personne concernée que sa demande sera rejetée ;

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si non, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande ?

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations découlant du RGPD :

☐ Si les informations s’entremêlent avec celles d’autres personnes, veuillez procéder à un test d’équilibre ;

☐ Transmettre les données dans des formats structurés, couramment utilisés et lisibles par machine ;

☐ Transmettre les données de manière sécurisée.

L’exercice du droit d’opposition est-il conforme au RGPD ?

☐ Avez-vous reçu une demande d’opposition de la part d’une personne morale ? Dans la négative, veuillez indiquer que la demande n’a pas été introduite par une personne physique.

☐ La demande relève-t-elle de l’une des exceptions prévues à l’article 21.2-6 du RGPD ? Si oui, veuillez informer la personne concernée que la demande sera refusée.

☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité.

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande.

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations liées au RGPD :

☐ Vérifier la situation particulière des personnes concernées vise à mettre en balance leurs droits et les droits légitimes d’autrui dans le traitement de leurs données.

Comment se conformer à toutes les obligations liées au RGPD :

☐ La prise de décision automatisée relève-t-elle d’une des exemptions prévues aux articles 22.2 et 22.4 ? Si oui, vous pouvez procéder au traitement des données ;

☐ Informer la personne concernée de l’existence de la prise de décision automatisée, en incluant également une explication de la logique impliquée et des conséquences potentielles pour la personne concernée.