Consentement
Lorsqu'une personne s'apprête à soumettre ses informations personnelles, le responsable du traitement des données (en général, une entreprise) doit veiller à obtenir son consentement. Le RGDP durcit les normes de divulgation lors de l'obtention du consentement, qui doit se « manifester de façon libre, spécifique, éclairée et univoque », et exige que les responsables du traitement utilisent des termes juridiques « clairs et simples » qui se « distinguent clairement » d'autres questions. Les responsables du traitement doivent également établir que leurs processus sont conformes et suivis dans chaque cas. Auparavant, en vertu de la DPD, le consentement pouvait être déduit d'une action ou d'une inaction lorsque cette action ou inaction signifiait clairement un consentement. Par conséquent, la Directive a laissé la possibilité de mettre en place un mécanisme de retrait. Toutefois, cela changera avec le RGPD qui exige que la personne concernée donne son accord par « une déclaration ou par un acte positif clair ».
En bref, le consentement de votre client ne peut être forcé, et ce dernier doit être conscient qu'il accepte le traitement de ses données personnelles. De plus, il doit savoir exactement ce à quoi il consent et il doit être informé à l'avance de son droit à retirer ce consentement. Le consentement doit être obtenu par une indication positive, c'est-à-dire qu'il ne peut être déduit du silence, de cases précochées ou de l'inactivité. Cela signifie qu'il sera plus important à l'avenir d'informer l'utilisateur pendant le processus d'inscription.
Nouveaux droits pour les personnes
Le règlement intègre aussi deux nouveaux droits pour les personnes concernées : un « droit à l'oubli » exigeant des responsables du traitement qu'ils informent les destinataires de telles demandes d'effacement, et un « droit à la portabilité des données » qui permet aux personnes concernées de demander une copie de leurs données dans un format couramment utilisé. Grâce à ces deux droits, il sera désormais plus facile pour les utilisateurs de demander que les informations stockées soient supprimées ou que les informations collectées soient partagées avec eux.
Demandes d'accès
Les personnes concernées ont toujours eu le droit de demander à accéder à leurs données. Le RGPD renforce ce droit. Dans la plupart des cas, vous ne pourrez faire payer le traitement d'une demande d'accès, sauf si vous êtes en mesure de prouver que le coût de cette demande sera excessif. De plus, le délai de traitement d'une demande d'accès diminuera considérablement par rapport au délai actuel de 40 jours. Dans certains cas, les entreprises peuvent refuser l'accès à des données, lorsque la demande est jugée infondée ou abusive par exemple. Toutefois, les entreprises devront définir des clauses et des procédures de refus claires, et démontrer en quoi la demande répond à ces critères de refus.