L’exercice des droits de la personne concernée : Transparence, communication et modalités :
Liste de contrôle pour le respect du droit à l’informationCe qu’il faut fournir :
☐ Si les données à caractère personnel ont été fournies directement par la personne concernée, fournir toutes les informations énumérées à l’article 13.1 du RGPD ; ☐ Si les données à caractère personneln’ont pas été fournies par la personne concernée, fournir toutes les informations énumérées à l’article 14.1 – 2 du RGPD ; ☐ Si les informations ont déjà été entièrement fournies à la personne concernée, il n’est plus nécessaire de se conformer à cette obligation. Quand les fournir : ☐ Au moment où les informations ont été collectées auprès de la personne concernée ; ☐ Lorsque les données ne sont pas collectées auprès de la personne concernée : ☐ dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais au plus tard dans un délai d’un mois ; ☐ si les données à caractère personnel doivent être utilisées pour la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne ; ☐ si une communication à un tiers est envisagée, au plus tard lors de la première communication des données à caractère personnel. Comment les fournir : ☐ De manière concise ; ☐ En toute transparence ; ☐ De manière intelligible ; ☐ Facilement accessible ; ☐ Dans un langage clair et simple. Exemptions : ☐ Lorsque la personne concernée dispose déjà de toutes les informations pertinentes ; ☐ Si les données à caractère personneln’ont pas été fournies par la personne concernée : ☐ Lorsque la fourniture d’informations est impossible ou disproportionnée. |
Liste de contrôle pour le traitement d’une demande d’accès :
L’exercice du droit d’accès est-il conforme au RGPD ? ☐ Avez-vous reçu une demande d’accès de la part d’une personne morale ? Dans l’affirmative, veuillez indiquer que la demande n’a pas été introduite par une personne physique et refuser la demande ; ☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ; ☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande (sans dépasser les délais prévus par le RGPD, voir section 6) ; ☐ La demande doit être satisfaite. Comment se conformer davantage à toutes les obligations liées au RGPD : ☐ Fournissez toutes les informations énumérées à l’article 15.1-2 du RGPD ; ☐ Si les informations s’entremêlent avec celles d’autres individus, veuillez effectuer un test d’équilibre pour déterminer si la divulgation à l’individu qui a déposé la demande n’affecte pas les données à caractère personnel de l’autre individu ; ☐ Fournissez à la personne concernée une copie des données personnelles traitées. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut facturer des frais raisonnables. Les bonnes pratiques : ☐ Fournissez un formulaire spécifique que la personne concernée pourra facilement remplir et soumettre ; ☐ Fournissez toutes les informations dans un format électronique communément utilisé, à moins que la personne concernée n’en fasse la demande. |
Liste de contrôle pour donner suite à une demande de rectification : L’exercice du droit de rectification est-il conforme au RGPD ? ☐ Avez-vous reçu une demande de rectification de la part d’une personne morale ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ; ☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ; ☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si non, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande ? ☐ Avez-vous besoin d’une preuve de l’inexactitude ou d’informations supplémentaires pour rectifier les données ? Si oui, demandez des informations complémentaires à la personne concernée. N’oubliez pas de ne pas imposer une charge de la preuve déraisonnable à la personne concernée. ☐ La demande doit être satisfaite. Comment se conformer davantage à toutes les obligations découlant du RGPD : ☐ Communiquer les données à chaque destinataire auquel les données à caractère personnel ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés. |
Liste de contrôle pour donner suite à une demande d’effacement :
L’exercice du droit à l’effacement est-il conforme au RGPD ? ☐ Avez-vous reçu une demande d’effacement de la part d’une personne morale ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ; ☐ Les personnes se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ; ☐ La demande relève-t-elle de l’un des scénarios prévus à l’article 17.1 du RGPD ? Si ce n’est pas le cas, veuillez informer et expliquer à la personne concernée que la demande sera refusée ; ☐ La demande satisfait-elle à l’une des exemptions prévues par l’article 17.3 du RGPD ? Si oui, veuillez informer et expliquer à la personne concernée que la demande sera refusée ; ☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande. ☐ La demande doit être satisfaite. Comment se conformer davantage à toutes les obligations découlant du RGPD : ☐ Rendre les données inutilisables d’une manière qui vous empêche, ainsi que toute autre partie, de (ré)accéder aux données et de les (re)traiter ; ☐ Communiquer l’effacement à chaque destinataire auquel les données à caractère personnel ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés. |
Liste de contrôle pour le traitement d’une demande de limitation de traitement
L’exercice du droit à la limitation du traitement est-il conforme au RGPD ? ☐ Avez-vous reçu une demande de limitation du traitement des données de la part d’une entité juridique ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ; ☐ Les personnes se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ; ☐ La demande relève-t-elle de l’un des scénarios prévus à l’article 18.1 du RGPD ? Si ce n’est pas le cas, veuillez informer la personne concernée que la demande sera refusée ; ☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande ? ☐ La demande doit être satisfaite. Comment se conformer davantage à toutes les obligations découlant du RGPD : ☐ N’oubliez pas que la limitation n’englobe pas le stockage des données ; ☐ Lorsque la limitation est en cours, les données à caractère personnel peuvent encore être traitées dans les circonstances prévues à l’article 18.2 du RGPD ; ☐ Communiquer la limitation du traitement à chaque destinataire auquel les données à caractère personnel ont été divulguées conformément à l’article 19 du RGPD, sauf si cela s’avère impossible ou implique des efforts disproportionnés. |
Liste de contrôle pour se conformer à une demande de portabilité
L’exercice du droit à la portabilité des données est-il conforme au RGPD ? ☐ Avez-vous reçu une demande de portabilité des données de la part d’un individu ? Si ce n’est pas le cas, veuillez indiquer que la demande n’a pas été introduite par un individu et préciser que la demande doit être faite conformément à la législation pertinente ; ☐ La demande de portabilité est-elle faite par plusieurs personnes concernées ? Si oui, assurez-vous qu’elles sont toutes d’accord sur la demande ; ☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ; ☐ Les données sont-elles traitées sur l’une des bases légitimes prévues à l’article 20.1 du RGPD ? Si ce n’est pas le cas, veuillez informer la personne concernée que la demande sera refusée ; ☐ Le traitement des données est-il nécessaire à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dont est investi le responsable du traitement ? Dans l’affirmative, veuillez informer la personne concernée que sa demande sera rejetée ; ☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si non, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande ? ☐ La demande doit être satisfaite. Comment se conformer davantage à toutes les obligations découlant du RGPD : ☐ Si les informations s’entremêlent avec celles d’autres personnes, veuillez procéder à un test d’équilibre ; ☐ Transmettre les données dans des formats structurés, couramment utilisés et lisibles par machine ; ☐ Transmettre les données de manière sécurisée. |
Liste de contrôle pour donner suite à une demande d’opposition
L’exercice du droit d’opposition est-il conforme au RGPD ? ☐ Avez-vous reçu une demande d’opposition de la part d’une personne morale ? Dans la négative, veuillez indiquer que la demande n’a pas été introduite par une personne physique. ☐ La demande relève-t-elle de l’une des exceptions prévues à l’article 21.2-6 du RGPD ? Si oui, veuillez informer la personne concernée que la demande sera refusée. ☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité. ☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande. ☐ La demande doit être satisfaite. Comment se conformer davantage à toutes les obligations liées au RGPD : ☐ Vérifier la situation particulière des personnes concernées vise à mettre en balance leurs droits et les droits légitimes d’autrui dans le traitement de leurs données. |
Liste de contrôle pour la conformité à une demande de ne pas faire l’objet d’une prise de décision automatisée
Comment se conformer à toutes les obligations liées au RGPD : ☐ La prise de décision automatisée relève-t-elle d’une des exemptions prévues aux articles 22.2 et 22.4 ? Si oui, vous pouvez procéder au traitement des données ; ☐ Informer la personne concernée de l’existence de la prise de décision automatisée, en incluant également une explication de la logique impliquée et des conséquences potentielles pour la personne concernée. |