Garantir les droits des personnes
Le règlement tient l’organisme responsable pour obtenir le consentement explicite des personnes concernées par le traitement et pouvoir en apporter la preuve. Pour les mineurs de moins de 16 ans, le consentement d’un parent ou d’un tuteur légal est obligatoire. La charge de la preuve du consentement incombe à l’organisme.
Le droit à l’oubli oblige le responsable du traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé.
Le règlement instaure aussi un droit à la portabilité : soit la possibilité d’obtenir les données personnelles le concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.
Le responsable du traitement doit informer les personnes concernées de l’existence de ce droit. Il a l’obligation de préciser le type de données susceptibles de l’objet d’un transfert.
Dans le cadre d’une demande d’une personne relative à ses données personnelles, le responsable de traitement a l’obligation de demander tout justificatif pour garantir l’identité du demandeur et éviter ainsi les fraudes. En cas de transmission à un tiers non autorisé, sa responsabilité pourrait être engagée.
Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou d’un de ses sous-traitants réparation du préjudice subi.
Tenir un registre des traitements (pour les entreprises ayant plus de 250 employés).
Chaque organisation doit prendre toutes les mesures pour garantir la conformité des traitements de données personnelles. Elle doit être en mesure de le démontrer en tenant un registre à jour de l’ensemble de ses traitements.
Ce registre liste tous les traitements de données personnelles. Il doit comporter notamment le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et le but du traitement (analyse statistique, objectif commercial …). Ce registre est consultable à tout moment par la Cnil.
Principe du « privacy by design »
L’organisation s’engage à prendre les mesures techniques et organisationnelles appropriées :
- Pseudonymisation des données en remplaçant un attribut par un autre afin d’éviter l’identification directe d’un individu.
- Contrairement au principe du « privacy by default », le « privacy by design » ne concernera que les traitements initiés à partir de cette date.