Le jour de l’application du Règlement général sur la protection des données approche à grands pas. Le 25 mai, toutes les entreprises qui collectent des données sur un citoyen de l’UE devront se conformer à la nouvelle loi. Malgré sa présence imminente, de nombreuses entreprises, en particulier les plus petites, ne sont pas préparées à ses besoins. Le respect de la loi nécessite d’énormes changements dans la façon dont les données sont collectées, stockées et traitées.
Le libellé officiel complet du règlement peut être consulté ici et sa profondeur est sans doute la raison pour laquelle tant de gens n’ont pas mis en œuvre tous les changements nécessaires et la confusion existe toujours. Ainsi, afin de réduire le bruit et de fournir aux petites entreprises des conseils pratiques simples, nous avons fait le travail difficile de lire le règlement et avons identifié les points clés.
Article 15 – Droit d’accès
Cet article concerne la gestion des demandes des clients et d’autres parties prenantes concernant les données que vous détenez sur eux, à la fois numériquement et physiquement. Les demandes peuvent inclure simplement la confirmation que leurs informations sont stockées et traitées, ou ils peuvent demander à voir exactement quelles données sont détenues. Toute personne a le droit de faire une telle demande à toute organisation. Les données doivent être fournies dans un format lisible et envoyées via le canal de préférence du demandeur. En règle générale, il ne peut pas y avoir de frais associés et les entreprises doivent répondre dans les 28 jours.
Les entreprises doivent avoir accès à des outils capables de rechercher et de consolider toutes les données dans un format lisible. Cela garantit que toutes les informations client peuvent être trouvées sans effort en cas de besoin, avec des modèles disponibles pour rationaliser la création de correspondance en quelques clics.
Article 16 – Droit de rectification
Une personne a le droit de demander que les renseignements qu’elle détient soient modifiés ou rectifiés sans délai. Cela signifie également que toutes les données détenues qui sont incomplètes doivent être complétées dans le cadre de la demande. Les organisations disposent de 28 jours pour exécuter les modifications demandées.
Une fois les données rectifiées, la législation stipule également que la personne concernée doit être informée qu’elles ont été complétées. Dans la plupart des cas, la demande de rectification découlera d’une demande d’information sur les données détenues.
Afin de rectifier et de modifier toutes les informations détenues sur un individu, vous devez pouvoir accéder facilement à toutes les données en question pour vous assurer qu’aucune n’est autorisée à passer à travers les mailles du filet. Les solutions qui fournissent l’automatisation des processus robotiques garantiront que rien n’est manqué.
Article 17 – Droit à l’effacement
Le « droit à l’effacement » est également connu sous le nom de « droit à l’oubli ». Le mandat général de cet article est que toute personne a le droit de demander que toutes les données détenues sur elle soient supprimées. Il convient de noter que cet article doit être respecté s’il n’y a pas de raison impérieuse de conserver les données.
Encore une fois, pour compléter cette demande, il faut des outils capables d’accéder à toutes les informations stockées sur un client. Les données peuvent être réparties entre plusieurs programmes et documents, de sorte que s’assurer que tout est supprimé n’est pas nécessairement simple. De plus, toute information incomplète ou en double doit être supprimée dans le cadre de toute demande.
Dans le prochain blog de cette série, nous examinerons d’autres articles clés – droit à la restriction, obligation de notification et protection des données dès la conception.
