Le GDPR entrera en vigueur dans quelques jours et donnera aux citoyens de l'UE beaucoup plus de contrôle sur la façon dont leurs données sont stockées et traitées.
Le GDPR changera radicalement les droits de la personne concernée. En vertu de l'article 17 du GDPR, les individus ont le droit de faire effacer leurs données personnelles, autrement connu sous le nom de "droit à l'oubli".
Cette clause permet aux personnes de demander que tout dossier détenu sur elles par une entreprise soit définitivement supprimé s'il n'existe aucune raison légitime pour l'entreprise de continuer à traiter ces informations.
Les organisations doivent donner suite à la demande dans un délai d'un mois après son introduction.
Le droit à l'oubli s'applique lorsque :
- Les données à caractère personnel ne sont plus nécessaires pour la finalité pour laquelle elles ont été collectées à l'origine.
- La personne retire expressément son consentement au traitement et il n'y a pas d'autre base juridique pour traiter ces informations.
- La personne utilise son droit d'opposition au traitement des données.
- Les données personnelles ont été traitées illégalement
- Les données doivent être effacées pour respecter des obligations légales.
- La personne était un enfant au moment de la collecte des données.
Il existe toutefois un certain nombre d'exceptions où les données peuvent ne pas être effacées si l'une des situations suivantes s'applique :
- Le droit à la liberté et à l'expression
- La nécessité de se conformer à une obligation légale
- Raisons d'intérêt public ou dans l'exercice d'une autorité publique
- à des fins d'archivage à des fins historiques, de recherche scientifique ou d'intérêt public
- Si les données soutiennent les revendications légales
- Si le traitement est nécessaire à des fins de santé publique
Lorsqu'un citoyen de l'UE demande le droit à l'oubli, un responsable du traitement des données doit supprimer toutes les données personnelles qu'il détient sur cette personne. Toutefois, il ne s'agit pas d'un processus simple. Les informations relatives à une personne peuvent être réparties entre plusieurs services au sein d'une organisation et la sauvegarde de ces données peut se trouver sur un tout autre système.
La suppression des données peut être un processus difficile et long si les organisations ne disposent pas des systèmes appropriés pour localiser et gérer efficacement ces informations.
Pour répondre efficacement à ces demandes, les entreprises devront effectuer un audit approfondi de leurs systèmes afin de s'assurer que les données peuvent être facilement localisées et supprimées.
Les organisations devront déterminer quelles données elles possèdent, où elles sont stockées et comment elles sont traitées afin de se conformer aux exigences du GDPR. Il sera également important de se débarrasser de toutes les données obsolètes et inutiles tout en sauvegardant les informations critiques qui sont encore nécessaires.
Le droit à l'oubli est complexe et comporte de nombreuses exceptions et limitations. Cependant, si les entreprises ont mis en place les bons processus, elles seront en mesure de se conformer à la législation et de s'assurer qu'elles peuvent exercer efficacement le droit à l'oubli d'un individu.
Si vous souhaitez plus d'informations sur la façon dont votre organisation peut améliorer son approche de la conformité au GDPR, cliquez ici, pour découvrir comment MetaCompliance peut vous aider.
CLAUSE DE NON-RESPONSABILITÉ : Le contenu et les opinions de ce blog sont uniquement destinés à des fins d'information. Ils ne sont pas destinés à constituer un conseil juridique ou professionnel, et ne doivent pas être considérés comme un substitut à un conseil spécifique adapté à des circonstances particulières, à la loi sur la protection des données ou à toute autre législation actuelle ou future. MetaCompliance n'accepte aucune responsabilité pour toute erreur, omission ou déclaration trompeuse, ou pour toute perte qui pourrait résulter de la confiance accordée aux documents contenus dans ce blog.
