Le GDPR reconnaît un nouveau droit de protection des données pour la personne concernée, qui vise à donner à l’individu plus de contrôle sur ses données personnelles et un accès à celles-ci. Cet article examine quand les personnes peuvent faire valoir un droit à l’oubli, s’il offre une valeur ajoutée pour les citoyens de l’UE et comment les organisations peuvent créer un formulaire de « droit à l’oubli » pour assurer la conformité avec le GDPR. Le RGPD, également connu sous le nom de droit à l’effacement, donne aux individus la possibilité de demander à une organisation de supprimer certaines de leurs données personnelles. Si l’organisation peut justifier que la demande est infondée ou excessive, elle peut refuser la demande d’effacement des données personnelles et facturer des frais appropriés. Sources : 14, 16, 14, 14].
Les droits et libertés fondamentaux de la personne concernée priment toujours sur les intérêts, surtout lorsqu’il s’agit de données relatives aux enfants. La base juridique la plus souple est le droit à la vie privée, qui l’emporte sur les intérêts et les droits des personnes concernées lorsque l’impact sur leurs droits ou leurs intérêts est encore plus insignifiant. Sources : 16,9]
Découvrez nos solutions sans obligation d’achat
Si un employé existant doit consentir à un transfert international de données à caractère personnel et que la sanction prévue en cas de refus de consentir est le licenciement, le consentement donné ne sera probablement valable que s’il constitue une base juridique pour le traitement. Les travailleurs peuvent craindre que leur refus de donner leur consentement ait un impact négatif sur leurs droits à la liberté d’expression et à la discrimination. Le droit à l’effacement est lié au droit de révoquer les résultats de la recherche, de sorte que toute révocation d’une étude peut également inclure l’effacement des données des participants. La reconnaissance de ce droit irait au-delà du droit de retrait, mais poserait également des problèmes aux personnes concernées. Sources : 10,6,7]
La simple existence d’une situation d’urgence n’est pas une raison suffisante pour assurer une quelconque restriction des droits des personnes concernées. Sources : 3]
Les droits des personnes concernées ne doivent pas être affectés et doivent être sauvegardés afin de maintenir la confiance et l’acceptation des citoyens. Le droit de contrôler les données n’a pas de sens si les personnes n’agissent pas, si elles ne consentent plus au traitement, s’il y a une erreur significative dans les données ou si elles estiment que des informations sont stockées inutilement. En particulier, si vous n’avez pas connaissance du traitement et que vous ne pouvez donc pas exercer vos droits en matière de protection des données, cela rendrait probablement impossible l’exercice de vos droits. [Sources : 13,4,14,11]
Le gouvernement devrait réglementer le traitement des données personnelles par le secteur privé dans le cadre de lois claires et restreindre la collecte et l’utilisation des données personnelles par les entreprises afin de protéger ces droits. Si la personne concernée n’a pas vraiment d’autre choix que de donner son consentement, il est peu probable que celui-ci soit valable. Les droits prévus par le GDPR peuvent être révoqués si la collecte ou l’utilisation des données personnelles de la personne concernée consiste, entre autres, à obtenir son consentement. Toutefois, si le consentement de l’utilisateur était l’une des bases juridiques, nous devons nous assurer que le processus d’obtention de son consentement est considéré comme valide conformément à la politique de confidentialité. Sources : 19,2,6,1]
Si la loi oblige une organisation à rendre les données personnelles accessibles au public, nous avons le droit d’être informés sur l’accès et l’effacement, car il s’agit d’une prise de décision automatisée. Les droits de l’homme constituent la norme minimale en vertu de laquelle le consentement peut être levé si l’utilisation possible des données était prévisible. Par exemple, lorsque des données à caractère personnel sont traitées afin de maintenir un contrôle sur l’immigration, y compris l’examen des demandes concernant les personnes ayant droit à l’immigration, un organisme faisant autorité est soumis aux dispositions relatives à l’information et au traitement restreint des données, ainsi qu’à l’accès à l’information et à la protection de la vie privée. Sources : 19,5,5]
Si un responsable du traitement peut invoquer l’exception au RGPD, le traitement à des fins de recherche peut être entravé si la personne concernée conserve le droit de s’opposer à cette procédure. Le responsable du traitement doit cesser le traitement, à moins qu’il ne soit contraint de passer outre ou de demander les données afin de constater, d’exercer ou de défendre un droit légal. Sources : 18,13]
Bien que cela puisse sembler insignifiant pour certaines personnes, les renonciations peuvent vous aider à faire valoir vos droits. Si vous êtes une partie qui peut faire valoir un droit, vous devriez insérer une clause de renonciation pour vous assurer que vous ne perdez pas involontairement votre capacité à le faire à l’avenir. Sources : 17,17]
Dans certaines circonstances, les personnes concernées peuvent demander à recevoir une copie de leurs données personnelles dans un format électronique couramment utilisé. Les personnes peuvent demander que des informations soient fournies sur le traitement des données à caractère personnel, y compris sur la durée de leur stockage. Dans certains cas, les personnes concernées peuvent également exiger que les données personnelles soient fournies avant qu’elles puissent être transférées à un responsable du traitement. [Sources : 15,0,0]
Les organisations, comme les cabinets d « avocats, peuvent également demander des informations qu « elles considèrent comme légitimes, telles qu « une copie de la vie privée de leurs clients. Sources : 12]
Ce processus peut également être effectué si vous disposez d’une base juridique, mais il ne doit être effectué que si vous cherchez une raison de traiter les données. Ces droits ne s’appliquent que s’ils doivent se conformer aux exigences du règlement général sur la protection des données (RGPD) de l’UE lorsqu’ils stockent des données personnelles. Par exemple, lorsque les données ont été initialement collectées uniquement à des fins de soins de santé, il peut être nécessaire de contacter à nouveau les personnes concernées pour obtenir leur consentement au traitement de leurs informations. Toutefois, s’il n’existe pas de base juridique pour le consentement, la personne concernée peut retirer son consentement à tout moment, même s’il a été révoqué. Sources : 11,8,11,0]
Sources :
- [0] : https://smartwaiver.com/gdpr
- 1] : https://www.privacypolicies.com/blog/dpa-2018/
- 2] : https://www.mrllp.com/blog-GDPR-Compliance-Strategy-Lyon
- [4] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/the-right-to-be-informed/are-there-any-exceptions/
- [5] : https://www.knowyourprivacyrights.org/exemptions/
- [6] : https://www.twobirds.com/en/news/articles/2006/use-of-consent-in-data-protection
- [8] : https://www.varonis.com/blog/transcript-attorney-sara-jodka-gdpr-hr-data/
- [9] : https://www.globallegalinsights.com/practice-areas/employment-and-labour-laws-and-regulations/hungary
- [10] : https://gdpr-info.eu/issues/consent/
- [11] : https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7470233/
- [12] : https://www.lawscot.org.uk/members/business-support/gdpr-general-data-protection-regulation/gdpr-guide/requests-for-client-personal-data/
- [13] : https://whitelabelconsultancy.com/2020/04/research-exemption-and-restrictions-to-data-subject-rights/
- [14] : https://gdpr.eu/right-to-be-forgotten/
- [15] : https://www.linklaters.com/en-us/legal-notices/data-protection-standards
- [16] : https://gdpr.eu/what-is-gdpr/
- [17] : https://www.contractscounsel.com/t/us/waiver
- [18] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/germany
- [19] : https://www.hrw.org/news/2018/06/06/eu-general-data-protection-regulation