GaelleOttan
commented
4 years ago Demande de rajout PE Rajouter dans les acteurs du consentement RGPD "opérateur de service public"
Note d'Ines
Consentement : Article 4 RGPD = le consentement = toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement · Libre : offrir un vrai choix à la personne sans avoir à craindre les conséquences négatives d’un refus. · Spécifique : le consentement ne peut pas être noyé dans les CGV d’un site. Il faut que cela soit présenté de façon spécifique. Le consentement doit être donné pour chaque finalité envisagée par le responsable de traitement. Si le responsable de traitement fusionne les finalités dans une demande de consentement, l’accord ne sera pas spécifique. · Éclairé : cela renvoie à la nécessité d’informer la personne sur :
- l’identité du responsable de traitement
- la finalité du traitement
- le type de donnée
- la possibilité de retirer le consentement
- le ou les destinataires ou catégorie(s) de destinataires des données
- les éventuels transferts de données hors EEE (espace économique européen)
- les durées de conservation
- la possibilité de demander l’accès, la rectification, l’effacement des données ou encore la limitation du traitement
- le droit d’introduire une réclamation auprès de l’autorité de contrôle
- si la personne concernée est tenue de fournir les informations demandées et les éventuelles conséquences de son refus
- l’existence d’une prise de décision automatisée y compris le profilage. · Univoque : aucune ambiguïté quant à l’expression du consentement ne peut demeurer. Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques : les cases pré-cochées ou pré-activées, les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts), l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement). C’est au responsable de traitement de fournir la preuve d’un consentement irréprochable en pouvant attester : qui a consenti, ce à quoi la personne a consenti, le moment où elle a consenti.
Type de données : Au regard des textes, il ne semble pas que les données traitées soient des données sensibles. Toutefois, il convient de rappeler que la CNIL a tendance à être un peu extrémiste et alarmiste, beaucoup de données en lien direct ou indirect avec le domaine de la santé peuvent être qualifiées de sensibles. Dans le choix des modules d’évaluation, il faut essayer de rester neutre et de ne pas établir de jugement trop prononcé en matière de résultat. Aucun diagnostique ne doit être posé formellement. Votre évaluation doit rester apparentée à des tests ludiques avec des scores assez généraux. Formalités de connexion : Possibilité de mettre en place un numéro en tant qu’identifiant. Possibilité de se connecter avec nom et prénom.
Durée de conservation : En principe, la durée de conservation permet d’assurer un traitement loyal des données. Il est important de mettre en place une durée nécessaire à la réalisation de la finalité du traitement (le but est de pouvoir justifier de cette durée).
Contribue au gros sujet RGPD/ AIPD #695