Article 19 du RGPD
Article 19 – Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
L’article pénible et à problème par excellence. En effet, il faut que vous maîtrisiez tous les process externalisés pour vous assurer que l’information soit bien passée. Cela implique que si votre sous-traitant ou partenaire à été racheté par exemple que vous ayez gardé la relation.
L’idée d’utiliser « l’impossibilité » pour se soustraire à l’obligation d’informer les tiers doit être réelle et l’idée de l’utiliser comme outil pour justifier l’absence de procédure de suivi des transmissions vous expose gravement.
Petite précision, imaginons que identifiant client soit l’email, l’information ne doit être transmise qu’aux partenaires à qui elle a été fournie. Sinon, vous vous retrouvez avec cette donnée personnelle fournie a des partenaires qui pourraient en abuser.
A n’en pas douter, les audits informatiques et de flux seront précis dans leur analyse de contenus et de finalités.
