DASTRA
Français
Français
  • Introduction à Dastra
  • 🇪🇺Rappels utiles
    • Introduction au RGPD
    • Notions clefs du RGPD
      • Donnée personnelle
      • Registre des traitements
      • Analyse d'impact
      • Durées de conservation
      • Droits des personnes
      • Confidentialité dès la conception et par défaut
      • Mesures de sécurité
      • Violations de données
    • Gestion des risques
      • Définition des risques
      • Evaluation d'un risque
      • Risques sous-traitants
  • 👨‍💻Bien commencer
    • Mise en place
      • Les notions importantes
      • Créer et paramétrer un espace de travail
      • Créer et paramétrer les unités organisationnelles
      • Désigner un DPO
      • Ajouter une autorité chef de file
      • Inviter des utilisateurs
      • Gérer les rôles et permissions
      • Créer puis affecter des équipes
      • Questions fréquentes
    • Tutoriel
      • Etape 1 : La mise en place
      • Etape 2 : Cartographier vos traitements de données à caractère personnel et établir le registre
      • Etape 3 : Gérer les risques
      • Etape 4 : Prioriser les actions à mener
      • Etape 5 : Implémenter les processus internes
      • Etape 6 : Documenter la conformité
    • Support
      • L'assistant dastronaute
      • L'aide en ligne
      • Demande de support
      • Le processus de support client
  • ⚙️Les fonctionnalités
    • Tableau de bord
    • Généralités
      • Filtres avancés
      • Importer vos données (Excel, Csv)
      • Gestion des tags
      • Champs personnalisés
      • Assistant IA
      • Modèles email
      • 😇Foire aux questions
      • Discussions internes
    • Cartographie des données
      • Référentiels
    • Registre des traitements
      • Registre "Responsable de traitement"
      • Registre "Sous-traitant"
      • Etablissez votre registre
      • Exporter / importer le registre
      • Utiliser un modèle de traitement
      • Déclarer un traitement
      • Compléter un traitement
        • Général
        • Parties prenantes
        • Finalités
        • Actifs
        • Données et conservation
        • Personnes concernées
        • Droits des personnes
        • Destinataires
          • Transferts de données hors UE
        • Mesures de sécurité
        • Analyse d'impact
        • Documents
        • Récapitulatif
      • Créer des relations entre les traitements
      • Fraicheur des traitements
      • Partager le registre
      • Visualisation des données
        • Visualiser l'arborescence des traitements
        • Visualiser la cartographie des données du registre
        • Visualiser la carte des transferts
      • Questions fréquentes
    • Gestion de documents (GED)
      • Modèles de documents
    • Questionnaires et PIA
      • Créer ou modifier un modèle de questionnaire ou un PIA
        • Créer ou modifier un modèle de PIA
      • Planifier un questionnaire ou un PIA
      • Partager un rapport d'audit ou PIA
      • Supprimer un audit ou un modèle d'audit
      • Questions fréquentes
    • Privacy hubs
      • Créer un Privacy hub
      • Paramétrer votre Privacy hub
        • Page d'accueil et configuration générale
        • Questionnaires
        • Exercice des droits
        • Registre des traitements
        • Documents
        • Organigramme
        • Contacts
        • Sécurité
        • Apparence et design
      • Prévisualiser et partager votre Privacy hub
      • Collecter des projets de traitements, d'incidents, d'actifs ou de contrats
    • Contrats
      • Déclarer un contrat
      • Structure d'un contrat
      • Les documents
      • Les actifs
      • Les signataires
      • Utilisateurs associés
      • Signer le contrat
      • Intégration avec Docusign
      • Versionner le contrat
      • Revue régulière du contrat
      • Modèles de contrats dynamiques
    • Gestion des risques
      • Glossaire
      • Le processus de gestion des risques
        • 1. Identifier
        • 2. Evaluer
        • 3. Maîtriser
        • 4. Contrôler
        • Récapitulons
      • Comparaison Dastra / eBios RM
      • Associer un risque à un traitement
      • Questions fréquentes
    • Planification
      • Créez ou modifier une tâche
      • Créer ou modifier un projet ou une itération
      • Suivre, filtrer ou exporter les tâches
      • Personnaliser le workflow des tâches
      • Synchroniser avec d'autres calendriers
      • Questions fréquentes
    • Exercices des droits
      • Gestion des demandes d'exercices de droits
      • Formulaire de collecte de demandes
      • Intégration technique
      • Intégration de l'API
    • Violations de données
      • Documenter une nouvelle violation de données
      • Exportez vos violations de données
    • Cookies
      • Mise en place de la bannière
        • Etude préliminaire
        • Scannez les cookies déposés sur votre site Web
        • Classifiez les cookies par catégories de consentement
        • Les finalités des cookies
        • Configurez un widget de consentement aux cookies
        • Collectez les preuves de consentement cookies
        • Allez plus loin sur le consentement des cookies
        • En cas d'indisponibilité
      • Intégration technique
        • Fonctionnement de la bannière
        • Démarrage rapide
          • Wordpress
        • Gestion de la langue
        • Tester l'intégration d'un widget
        • Blocage des cookies
          • Blocage des iframes (twitter/youtube...)
          • Google Tag Manager
        • Design avancé
        • Gérer le consentement programmatiquement
        • Identification des utilisateurs
        • Applications mobiles
          • Applications hybrides
          • Applications natives
        • TCF 1.1/2.0
      • Conformité RGAA
      • Dépannage
    • Revue régulière (fraicheur)
    • Rapports personnalisés
      • Intégration dans les outils d'analyse de données (BI)
    • Systèmes d'IA
      • Etablir un registre des Systèmes d'IA
      • Analyse de risque et valeur ajoutée
      • Notice de transparence
      • Le référentiel des modèles d'IA
    • Configuration avancée
      • Rôles et permissions
      • Single Sign On (SSO)
        • SAML 2
        • OpenId
        • ADFS
        • Active Directory (MS Entra)
        • Okta
        • Problèmes connus
      • SCIM
      • Gestion des clés d'API
      • Notifications
      • Adresses emails de collecte
      • Intégrations OneDrive/Google Drive
      • Etapes de processus
      • Webhooks
      • Configuration du SMTP
      • Règles de workflows
      • Modèles de messages
      • Domaines emails
  • PARTENAIRES
    • Portail partenaire
  • 📄La documentation API
    • Liste des endpoints d'API
    • Cas d'usage de l'API
    • Configuration API
    • Authentification
    • API References
    • Intégrations via Zapier
      • Questions fréquentes
  • 🛡️La sécurité
    • Sécurité chez Dastra
    • Authentification forte
    • Qualité de nos services
  • Certifications
  • 🤖DIVERS
    • Foire aux questions
    • Problèmes connus
    • Notes de version
    • Webinaires
Propulsé par GitBook
Sur cette page
  • Deux obligations majeures pour le responsable de traitement:
  • 3 règles opérationnelles communes pour les droits des personnes:
  • Le droit d'accès à l'information
  • Le droit d'accès peut être exercé:
  • Comment restituer les données ?
  • Les limites du droit d'accès
  • La collecte du consentement
  • Le droit à l'opposition
  • Le droit d'accès et de rectification
  • Le droit de portabilité
  • Pour aller plus loin

Cet article vous a-t-il été utile ?

  1. Rappels utiles
  2. Notions clefs du RGPD

Droits des personnes

Découvrez les différents droits introduits par le RGPD.

Le RGPD réaffirme les droits des individus, introduit le droit à la portabilité des données et renforce les obligations incombant au responsable du traitement. Les personnes concernées ont le droit de garder le contrôle de leurs données. Le responsable du traitement doit leur expliquer comment les exercer. Lorsqu'ils exercent leurs droits, les personnes demandeuses doivent obtenir une réponse avant un mois (allongé de deux mois en cas de demandes complexes).

Deux obligations majeures pour le responsable de traitement:

  • Informer les personnes concernées sur l'utilisation de leurs données (finalité, durée d'archivage etc.) et sur les modalités d'exercice de leurs droits

  • Informer les personnes concernées de l'exécution d'opérations conformes à l'exercice des droits de rectification, d'effacement ou de limitation

3 règles opérationnelles communes pour les droits des personnes:

  • Délai de réponse d'un mois à compter de la demande (allongé de 2 mois en cas de demande complexe)

  • Pas de frais pour l'exercice des droits, sauf en cas de réclamations manifestement infondées ou excessives

  • Traçabilité des demandes et des réponses

Le droit d'accès à l'information

Pour être licite, la collecte de données personnelles doit être accompagnée d'informations claires et précises des personnes sur:

  • l'identité de la personne responsable du traitement ;

  • la finalité du traitement ;

  • le caractère obligatoire ou facultatif des réponses et les conséquences d'un défaut de réponse ;

  • les destinataires des données ;

  • leurs droits (droit d'accès, de rectification, d'opposition etc.) ;

  • transferts de données possibles vers des pays tiers.

L'information est préalable à la collecte de données en cas de collecte directe. En cas de collecte indirecte, elle doit être donnée dans un délai d'un mois. Le support de ces informations varie selon les caractéristiques du traitement des données (exemple, panneau d'information pour la vidéosurveillance, mention d'informations sur un formulaire, lecture de ces informations en cas de collecte de données par téléphone.)

Le droit d'accès peut être exercé:

  • Par écrit : courrier postal, accompagné d'une copie d'une pièce d'identité en cas de suspicion de fraude. Idéalement, par courrier recommandé avec accusé de réception. La demande peut être faite par courriel également.

  • Sur place : avec présentation d'une pièce d'identité en cas de doute sur la personne. Il est possible d'être accompagné de la personne de son choix. La consultation devrait durer suffisamment longtemps pour en prendre note de manière pratique et complète. Il est possible de demander une copie des données.

  • En ligne : directement depuis la plateforme en mode connecté.

Le responsable de traitement dispose d'un délai de réponse maximum d'un mois à compter de la date de réception de la demande. Si la demande est incomplète (absence de la pièce d'identité par exemple), le responsable peut demander des compléments : le délai est alors suspendu et recommence une fois ces éléments fournis.

Comment restituer les données ?

Les éléments communiqués doivent être facilement compréhensibles. Les codes, acronymes et abréviations utilisés doivent être expliqués (éventuellement par le biais d'un lexique). Par exemple, "Segmentation: A +" signifie que vous êtes considéré comme un client VIP.

Les limites du droit d'accès

Le responsable du traitement peut:

  • refuser la demande d'accès: dans ce cas, il doit justifier sa décision.

  • Ne pas répondre aux demandes manifestement déraisonnables en termes de nombre, de nature répétitive ou systématique (par exemple, demander une copie complète d'un enregistrement chaque semaine).

Lorsque le responsable du traitement ne dispose d'aucune donnée sur la personne exerçant le droit d'accès (par exemple, les données ont été supprimées ou que l'organisation ne dispose d'aucune donnée sur la personne), il doit répondre au demandeur dans un délai d'un mois. Le droit d'accès doit être exercé dans le respect des droits des tiers: un salarié d'une entreprise ne peut pas obtenir de données relatives à un autre salarié.

La collecte du consentement

Le consentement est une action active, explicite et de préférence écrite de l'utilisateur qui doit être libre, spécifique et informée. Dans un formulaire en ligne, cela peut se produire, par exemple, par une case à cocher non cochée par défaut. Le consentement est «préalable» à la collecte de données.

Le consentement préalable de la personne concernée est requis, en particulier:

  • En cas de collecte de données sensibles

  • Réutilisation des données à d'autres fins

  • Utilisation de cookies à certaines fins

  • Utilisation des données pour la prospection commerciale électronique

Le droit à l'opposition

Les personnes doivent pouvoir s'opposer à la réutilisation par le responsable du dossier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d'une commande ou de la signature d'un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d'exprimer leur choix directement sur le formulaire ou le bon de commande à compléter. La simple mention de l'existence de ce droit dans les conditions générales ne suffit pas. Toute personne a le droit de s'opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex: dossiers fiscaux).

Le droit d'accès et de rectification

Tout le monde peut, l'accès à toutes les informations le concernant, connaître l'origine des informations le concernant, accéder aux informations sur lesquelles le responsable du dossier s'est appuyé pour prendre une décision le concernant (par exemple, les éléments qui auraient été utilisés pour ne pas vous accorder de promotion ou le score attribué par une banque ayant conduit au rejet de votre crédit) application), obtenir une copie (des frais ne dépassant pas le coût de reproduction peuvent être demandés) exiger que ses données soient, selon le cas, rectifiées, complétées, mises à jour ou supprimées.

Le droit de portabilité

  • Les personnes concernées peuvent demander à recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données les concernant qu'elles ont fournies à un responsable de traitement.

  • Lorsque cela est techniquement possible, ils peuvent également demander que ces données soient transmises directement d'un responsable de traitement à un autre.

Pour aller plus loin

Dernière mise à jour il y a 3 ans

Cet article vous a-t-il été utile ?

🇪🇺
Exercices des droits
Droits des personnes