GDPR Checklist for Websites and Apps

Le règlement général sur la protection des données (RGPD) est un règlement par lequel le Parlement européen, le Conseil de l'Union européenne et la Commission européenne ont l'intention de renforcer et d'unifier la protection des données pour tous les individus au sein de l'Union européenne. Le nouveau régime de protection des données de l'UE proposé étend la portée de la loi de la protection des données de l'UE à toutes les sociétés étrangères qui traitent les données des résidents de l'UE.

• L'application a une déclaration de confidentialité.
• L'application ne collecte ni ne traite plus de données ou pour une durée plus longue que ce qui est strictement nécessaire à l'objectif prévu comme communiqué à l'utilisateur.
• Les utilisateurs finaux ont explicitement convenu avec le traitement des données personnelles. (Les boîtes pré-cueillies ne sont pas autorisées.)
• L'application fournit des coordonnées sur le contrôleur facile à trouver.
• L'application a une case à cocher distincte sur le formulaire d'enregistrement pour chaque activité de traitement particulière.
• Il est clair à l'utilisateur final sur ce qu'il / elle donne la permission. Ceci est expliqué de manière transparente, concise et compréhensible. Le support visuel est utilisé le cas échéant. Surtout lorsque des informations sont destinées à un enfant.
• Le cas échéant, il est indiqué qu'un enfant ne peut autoriser la permission que s'il / elle a 16 ans ou plus. Sinon, l'autorisation d'un parent est nécessaire. Il convient de démontrer raisonnablement qu'un parent a donné la permission.
• Si la demande comprend la prise de décision, il devrait être clair comment cette décision est prise. (Exemple)
• Si l'application comprend des publicités programmatiques, elle doit être clairement autorisée par l'utilisateur.
• L'application permet aux utilisateurs finaux d'afficher et ajuster les données activement partagées (par l'utilisateur).
• Une évaluation appropriée a été effectuée lorsque les données sont pseudonymisées et ce processus est réglé. (Exemple)
• Des mesures techniques et organisationnelles appropriées sont prises pour garantir un niveau de sécurité approprié au risque, y compris entre autres, le cas échéant:
  • La pseudonymisation et le chiffrement des données personnelles.
  • La capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
  • La possibilité de restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique.
  • Un processus pour tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Droit d'accès par le sujet de données
La personne concernée a le droit d'obtenir une confirmation d'un contrôleur que les données sont traitées à son sujet. Dans ce cas, les informations suivantes doivent être fournies:

• le but du traitement
• Quelles catégories de données personnelles sont traitées
• quelles tiers ont également reçu ces données personnelles

En outre, il est de l'intention que la personne concernée ait un «accès» aux données traitées à son sujet. Cela pourrait être fait, par exemple, en exportant le fichier créé sur la personne concernée.

Droit à la rectification
La personne concernée a le droit de faire corriger ses données si elles ne sont pas correctes ou incomplètes. Si vous avez partagé ces informations avec des tiers en tant que contrôleur, vous devez informer ces parties de cette rectification si possible.

Droit à l'effacement («droit d'être oublié»)
En raison du droit d'effacement, également connu sous le nom de «droit à être oublié», la personne concernée a le droit de demander la suppression de ses données. Le droit peut être utilisé dans les cas suivants:

• Les données ne sont plus nécessaires en relation avec le but du traitement
• Le sujet de données a retiré son consentement au traitement
• Le sujet de données s'oppose au traitement, et il n'y a pas d'intérêt légitime démontrable pour poursuivre ce traitement
• Les données ont été traitées illégalement
• Les données doivent être supprimées en raison d'une obligation légale

Droit à la restriction du traitement
La personne concernée peut demander un blocage du traitement. Cela signifie que sauf que les données sont conservées, aucun autre traitement ne peut avoir lieu (y compris aucune suppression).

Droit à la portabilité des données
La personne concernée a le droit de recevoir les données personnelles qu'il a mises à la disposition du contrôleur, dans un format structuré et largement utilisé (ce format doit être lisible à la machine, par exemple un fichier CSV ou au format JSON). Il a le droit de transférer ces données vers un autre contrôleur.

Droit de s'opposer
Le sujet de données peut s'opposer au traitement de ses données si le traitement a été effectué sur la base des points suivants:

• Le traitement est nécessaire pour une tâche d'intérêt général ou pour une tâche dans l'exercice de l'autorité publique confiée au contrôleur
• Le traitement est nécessaire pour la représentation des intérêts légitimes du contrôleur ou d'un tiers

Si l'objection d'une personne concernée est bien fondée, le traitement doit être interrompu, sauf si vous pouvez prouver qu'il existe des raisons légitimes démontrables de continuer avec le traitement, ou parce que les données sont nécessaires pour les réclamations légales. S'il concerne une objection liée au marketing direct, le traitement doit être arrêté au moment où l'objection entre.

• Si un utilisateur final a fait la demande de supprimer les données, le contrôleur est responsable de la suppression des données de lui-même et d'autres parties.
• Si le contrôleur poursuit un objectif différent avec les données, alors a été signalé à l'avance, cela doit être communiqué à l'utilisateur final avant de commencer le traitement des données à cette fin.
• Dans le cas d'une violation de données personnelle, le contrôleur doit sans délai excessif et, lorsqu'il est possible, au plus tard 72 heures après avoir pris conscience de celui-ci, en informer la violation de données personnelles à l'autorité de surveillance.
• Le contrôleur doit prendre des mesures techniques et orgiastiques appropriées et devrait être en mesure de démontrer que le traitement est effectué conformément à ce règlement.
• Le processeur n'utilise pas un autre processeur sans le consentement écrit préalable du contrôleur.
• Le traitement des données personnelles provenant de catégories spéciales est interdite à moins que la personne ait explicitement autorisé l'autorisation de confidentialité des données personnelles à une ou plusieurs fins bien définies ou les données apparemment rendues publiques par la personne lui-même.

Une déclaration de confidentialité doit être conforme aux caractéristiques suivantes:

• court
• transparent
• compréhensible
• facilement accessible

L'énoncé de confidentialité doit au moins contenir les informations suivantes:

• Identité et coordonnées du contrôleur qui permettra aux utilisateurs de soulever toutes les questions qu'ils pourraient avoir en relation avec leur protection de la vie privée ou d'exercer leurs droits pour accéder, corriger et supprimer leurs données, et leur droit à la portabilité des données
• Une description claire des objectifs pour lesquels les données personnelles seront traitées
• Les intérêts légitimes du contrôleur (le cas échéant)
• Tous les destinataires (ou catégories de destinataires) des données personnelles (par exemple des processeurs possibles comme des tiers)
• Des informations sur le transfert des données personnelles à un pays tiers (en dehors de l'UE), le cas échéant
• La période de rétention, ou les critères par lesquels la période de rétention est déterminée
• La personne concernée doit être informée des droits qu'il a
• La personne concernée doit être informée du droit de retirer son consentement au traitement
• La personne concernée doit être informée de son droit de déposer une plainte auprès du superviseur
• Si la prise de décision automatisée est utilisée, cela doit être mentionné
• Les données personnelles ne peuvent pas être stockées plus longtemps que strictement nécessaires aux fins pour lesquelles ces données ont été traitées à l'origine. S'il n'y a pas de période de stockage «difficile» à déterminer, la déclaration de confidentialité doit spécifier les critères qui déterminent la période de rétention.

• Origination raciale ou ethnique
• Opinions politiques
• Convictions religieuses ou philosophiques
• Adhésions aux syndicats
• Génétique
• Biométrie (lorsqu'il est utilisé à des fins d'identification)
• Santé
• Comportement sexuel ou orientation sexuelle

Toute personne, autorités publiques ou agences autres que l'utilisateur final, le contrôleur ou le processeur qui sont autorisés à traiter les données personnelles. Penser à:

• Google Analytics
• Hotjar
• Mailchimp
• etc.

Dans le cas d'une application hypothécaire où l'utilisateur remplit plusieurs données, puis le système décide si l'utilisateur est admissible ou non à une hypothèque. La façon dont cette décision est arrivée doit être transparente.

Après qu'un utilisateur final ne soit pas connecté depuis un demi-an, les données, par exemple, leurs résultats d'un test, sont pseudonymisées.

Toute forme d'informations relatives à une personne naturelle identifiée ou identifiable («sujet de données»). Pensez au nom, un numéro d'identification, des données de localisation, un identifiant en ligne, mais également des facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne naturelle.

Le traitement des données personnelles de telle manière que les données personnelles ne peuvent plus être attribuées à une personne spécifique sans utiliser d'informations supplémentaires.

La personne naturelle ou légale, l'autorité publique, l'agence ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les objectifs et moyens de traitement des données personnelles.

Une personne naturelle ou légale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles au nom du contrôleur;

Toute opération ou ensemble d'opérations qui est effectué sur des données personnelles ou sur des ensembles de données personnelles.

Une violation de la sécurité conduisant à la destruction accidentelle ou illégale, à la perte, à l'altération, à la divulgation non autorisée ou à l'accès aux données personnelles transmises, stockées ou autrement traitées.