Sensibilisation des parties prenantes et des consommateurs

Mettez à jour votre flux d'enregistrement pour obtenir le consentement légal et rédigez une demande d'accès des personnes concernées.

Un certain nombre de vos traitements de données seront probablement basés sur le principe du consentement.

Le consentement légal ne s'applique que s'il est "donné librement, spécifique, éclairé et sans ambiguïté", sans coercition. Il peut être donné au moyen d'une déclaration ou d'un acte affirmatif, comme le fait de cocher une case, si des informations suffisantes sont également fournies. La présomption automatique et implicite de consentement ou l'utilisation de cases à cocher pré-remplies ne suffisent pas à obtenir un consentement valable.

Vous devez être en mesure de démontrer que vous avez obtenu le consentement valide des personnes concernées pour traiter leurs données personnelles.

En outre, les personnes concernées ont le droit de retirer leur consentement à tout moment. Cela doit être aussi simple que de donner son consentement, et avant que les personnes concernées ne donnent leur consentement, elles doivent être informées de ce droit. Dans le cas contraire, le consentement n'est pas valable : vous devez tout mentionner dans votre politique de demande d'accès des personnes concernées (voir le Demande d'accès des personnes concernées (formulaire)).

Vérifiez vos sous-traitants et les accords de traitement des données

Un sous-traitant est un tiers qui traite des données à caractère personnel pour le compte d'une organisation. Il peut s'agir de prestataires de services qui s'occupent de la comptabilité des salaires, mais aussi de toutes sortes de services en nuage ou d'autres services informatiques où le prestataire de services stocke vos données personnelles ou peut y accéder.

Vous devez donc envoyer un courriel ou un courrier demandant si le sous-traitant est conforme au GDPR (voir nos lettre de préparation et le liste des preuves de préparation).