==== Protocoles d'exercice des droits à l'effacement et à la portabilité des données ==== === Introduction === Dans cette partie, nous détaillerons les processus prévus au sein de l'équipe dans le cas de l'expression par l'un des participants de la volonté d'exercer l'un de ses droits fondamentaux assurés par le Règlement Général sur la Protection des Données. Nous passerons ainsi en revue à la fois les méthodes et les moyens mis en place pour assurer que nous puissions répondre à une telle demande dans des délais raisonnables. Il est à noter que ce document est nécessaire pour pouvoir prouver la conformité aux droits fondamentaux issus du Règlement Général sur la Protection des Données. === Protocole d'exercice du droit à l'effacement (ou à l'oubli) === Dès lors que l'un des participants fait valoir au responsable de la protection des données personnelles de sa volonté d'effacement des données personnelles le concernant, le DPO de l'équipe en fait part le plus rapidement possible (sous une semaine au maximum) et avant toute action à l'équipe projet. Pour cela, il peut utiliser le canal de communication de son choix ou l'annoncer à l'oral pendant une réunion organisée en séance de projet. Ensuite, le responsable de la protection des données personnelles (ou une personne déléguée par lui) devra utiliser la procédure de nommage définie dans le protocole concernant la manière de crypter et décrypter les données enregistrées afin de retrouver le nom du fichier du demandeur. Il devra alors procéder à l'effacement définitif du fichier csv contenant les données ainsi que des fichiers associés (la clé publique et la clé privée associée à ce traitement). Il devra enfin avertir par e-mail le demandeur que sa demande a bien été prise en compte et réalisée. === Protocole d'exercice du droit à la portabilité et à l'accès aux données === De la même manière que pour le droit à l'effacement, dès lors que l'un des participants fait valoir au responsable de la protection des données personnelles de sa volonté de recevoir les des données personnelles le concernant, le DPO de l'équipe en fait part le plus rapidement possible (sous une semaine au maximum) et avant toute action à l'équipe projet. Pour cela, il peut utiliser le canal de communication de son choix ou l'annoncer à l'oral pendant une réunion organisée en séance de projet. Ensuite, le responsable de la protection des données personnelles (ou une personne déléguée par lui) devra utiliser la procédure de nommage définie dans le protocole concernant la manière de crypter et décrypter les données enregistrées afin de retrouver le nom du fichier du demandeur. Il sera alors en mesure de décrypter le fichier de la manière prévue par le protocole de cryptage et décryptage des données personnelles. Il pourra ainsi envoyer au demandeur le fichier csv correspondant à ses enregistrements EEG. Cet envoi devra se faire de la manière la plus sécurisée possible. Par exemple, il pourra se faire via un support de messagerie permettant le cryptage des données ou via un service de transfert de fichiers sécurisé (permettant l'envoi de fichiers par l'intermédiaire d'un lien sécurisé qui lui est envoyé par mail). Une grande attention sera portée à la politique de confidentialité du service choisi pour le transfert du fichier. En outre, celui-ci devra être localisé au sein de l'Union Européenne : le RGPD sera ainsi applicable à ce service. Il devra enfin avertir par e-mail le demandeur que sa demande a bien été prise en compte et réalisée. === Protocole d'exercice du droit à l'opposition et du droit à la limitation === De la même manière que pour les deux droits décrits précédemment, dès lors que l'un des participants fait valoir au responsable de la protection des données personnelles de sa volonté de s'opposer au traitement des données personnelles le concernant ou de limiter leur traitement, le DPO de l'équipe en fait part le plus rapidement possible (sous une semaine au maximum) et avant toute action à l'équipe projet. Pour cela, il peut utiliser le canal de communication de son choix ou l'annoncer à l'oral pendant une réunion organisée en séance de projet. Ensuite, le responsable de la protection des données personnelles (ou une personne déléguée par lui) devra utiliser la procédure de nommage définie dans le protocole concernant la manière de crypter et décrypter les données enregistrées afin de retrouver le nom du fichier du demandeur. Le fichier concernant les données EEG du demandeur sera alors placé dans un dossier à part, respectivement "Opposition" et "Limitation" pour les droits à l'opposition et à la limitation. Il sera alors simple de distinguer les données dont le traitement est autorisé et celles dont le traitement est interdit ou limité. De plus, un fichier accessible sur mot de passe connu uniquement du DPO de l'équipe (par exemple via la fonctionnalité de cryptage par mot de passe des fichiers odt proposée par Microsoft Word) et nommé "data_protection_claims" sera crée afin de répertorier les demandes d'opposition et de limitation. Pour chaque cas, des informations seront précisées : nom du fichier concerné par la mesure, date de la demande, date de la mise en place de la mesure et détail de la limitation demandée (dans le cas de l'exercice du droit à la limitation). === Concernant l'exercice du droit à la rectification === Pour ce qui est du droit à la rectification, sur demande de la personne concernée par mail il pourra être proposée à cette dernière un entretien afin de repasser l'expérience et ainsi de procéder à une nouvelle acquisition des données. Ceci pourra seulement être réalisable dans la limite du possible en ce qui concerne nos emplois du temps étudiants, les disponibilités de la personne concernées et les contraintes temporelles de notre projet.