Consentement : pour obtenir le consentement en vue de l’utilisation des données, les entreprises ne peuvent pas utiliser des termes et conditions indéchiffrables remplis de jargon juridique. Il doit être aussi facile de retirer son consentement que de le donner.
Notification de violation : en cas de violation des données, les personnes chargées du traitement des données doivent informer leurs contrôleurs et clients de tout risque sous 72 heures.
Droit d’accès : les conducteurs ont le droit d’obtenir d’un contrôleur des données la confirmation que leurs données personnelles sont en cours de traitement. Le contrôleur des données devrait fournir gratuitement une copie électronique des données à caractère personnel aux personnes concernées.
Droit à l’oubli : lorsque les données ne sont plus pertinentes par rapport à leur finalité initiale, les conducteurs peuvent demander au contrôleur des données d’effacer leurs données personnelles et de cesser leur diffusion.
Portabilité des données : permet aux conducteurs d’obtenir et de réutiliser leurs données personnelles pour leurs propres besoins en les transférant dans différents environnements informatiques.
Vie privée dès la conception : demande l’inclusion de la protection des données dès le début de la conception des systèmes, par la mise en œuvre de mesures techniques et infrastructurelles appropriées.
Préposés à la protection des données : des agents qualifiés sur le plan professionnel doivent être nommés par des autorités publiques, ou des organisations qui s’engagent dans un contrôle ou un traitement systématique à grande échelle (>250 employés) de données personnelles sensibles. Chez Arval, chaque entité nationale a nommé un collaborateur hautement qualifié pour gérer les demandes relatives au RGPD.