Rappels : les droits des personnes concernées

Suite à plusieurs sollicitations et interventions relatives aux droits des personnes concernées sur leurs données personnelles, il apparait indispensable de faire un petit rappel. Sur le terrain, nous constatons que les personnes ne connaissent pas leurs droits, mais pire que les responsables de traitement méconnaissent leurs devoirs et sont souvent maladroit dans leurs réponses … quand ils répondent !

Comme souvent, il est tout aussi important de s’attacher au fond comme à la forme. Le non-respect de l’un ou l’autre peut écailler l’image du responsable de traitement voire amener à une sanction de la part de la CNIL.

Dans un premier temps quels sont ces droits et que concernent-t-ils ? En effet, tous ne sont pas absolus et sont sujets à des limitations voire non applicables dans certains cas :

  • Le droit à l’information

Le responsable de traitement doit informer les individus concernant les données qui sont collectées, comment elles sont utilisées, combien de temps elles sont conservées et si elles seront ou non partagées avec des tiers. Ces informations doivent être communiquées de manière concise et dans un langage clair.

  • Le droit d’accès

Les personnes concernées peuvent soumettre une demande d’accès, obligeant le responsable de traitement à leur indiquer si ils traitent des données à caractère personnel et si oui, lesquelles.

  • Le droit de rectification

Si un individu découvre que les informations détenues à son sujet par un responsable de traitement sont inexactes ou incomplètes, il peut demander à ce qu’elles soient mises à jour.

  • La droit d’opposition

Un individu peut s’opposer au traitement des données personnelles collectées sur la base de l’intérêt légitime ou de l’exécution d’une tâche d’intérêt public ou relevant de l’exercice d’une autorité publique.

Le responsable de traitement doit alors arrêter de traiter des informations à moins de pouvoir démontrer qu’il a des raisons légitimes sérieuses au traitement, surpassant les intérêts, droits et libertés des individus ou si le traitement a pour but la mise en place ou l’exercice de la défense en cas de revendications juridiques.

A noter que si le droit d’opposition est relatif à un traitement de profilage ou de prospection commerciale, il est absolu et ne peut être contesté. Le responsable de traitement n’a aucune possibilité d’y déroger.

  • Le droit à la limitation

Une personne peut demander à un responsable de traitement de limiter l’utilisation de ses données personnelles. Il s’agit d’une alternative au droit d’effacement et peut être utile lorsqu’un individu conteste l’exactitude de ses données personnelles ou lorsque les informations ne sont plus utiles mais que le responsable de traitement en a besoin pour établir, exercer ou défendre une revendication légale (ce qui exclu de facto le droit à l’effacement).

  • Le droit à l’effacement

Dans certains cas, un individu peut demander à ce que le responsable de traitement supprime ses données. Par exemple lorsque les données ne sont plus nécessaires, lorsque les données sont traitées de manière illégitimes ou lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées. Cela comprend également les cas où les personnes concernées retirent leur consentement.

Le droit à l’effacement est également connu sous le nom de droit à l’oubli. Attention, si le responsable de traitement doit traitées (et  donc à fortiori conserver) les données pour faire face à une obligation légale, le droit à l’effacement ne sera pas applicable.

  • Le droit sur les décisions automatisées

Le RGPD comprend les dispositions concernant les décisions prises sans participation humaine, telles que le profilage, utilisant les données personnelles afin de faire des hypothèses calculées concernant les individus. Il y a des règles strictes concernant le type de traitement, et les individus peuvent contester et demander une révision du traitement s’ils croient que les règles ne sont pas suivies ou qu’elles génèrent une discrimination.

  • Le droit à la portabilité

Une personne peut obtenir et réutiliser ses données personnelles à ses propres fins et pour différents services. Ce droit ne s’applique qu’aux données personnelles qu’un individu a fourni au responsable du traitement via un contrat ou son consentement. De même ce droit ne concerne que les données qui ont été fournies par l’individu ou directement tirées de son activité. En aucun ce droit n’est applicable à des données dérivées, calculées ou extrapolées.

  • Le droit de définir le sort de ses données après son décès

Par défaut, les ayants droits récupère les droits sur les données, mais un individu peut, de son vivant, décider du sort de ses données après sa mort en donnant des instructions soit au responsable de traitement soit à un tiers qui sera en charge de faire appliquer les volontés du défunt.

Maintenant sur la forme :

  • Il faut répondre systématiquement. Si le droit n’est pas applicable il faut en informer le demandeur, de même sur une demande de droit d’accès, si vous n’avez pas de données, répondez que vous n’avez pas de données. A ce propos, si vous recevez une demande de droit d’accès d’une personne dont vous n’avez aucune information, cela doit allumer une lumière rouge, traitez la demande avec beaucoup de soin, vous êtes peut-être face à une demande test d’un organisme de contrôle
  • Répondre dans les délais. Un mois maximum sauf si la demande est complexe ou pas claire. Auquel revenez rapidement vers le demandeur pour l’informer et justifier le délai ou pour demander des éclaircissements
  • Ne pas demander systématiquement la pièce d’identité. Votre objectif est de vous assurer que le demandeur est bien le propriétaire des données. Pour ce faire, tout est bon en terme de justificatif d’identité : même adresse e-mail de demande, la personne fait la demande via son compte …. la pièce d’identité ne doit être utilisée qu’en dernier recours et si le doute est permis
  • N’envoyer que ce qui a été demandé, ni plus, ni moins. Une réponse claire, concise mais complète. Si le demandeur vous demande quelles sont les données que vous possédez sur ses achats, il ne vous est pas nécessaire de lui renvoyer ses historiques de connexion
  • Enfin, il faut informer le demandeur que pour traiter sa demande vous mettez en œuvre un nouveau traitement spécifique, relatif à la gestion des droits pour lequel vous allez traiter et conserver les données du demandeur pour une durée allant jusqu’à 5 ans (juste pour prouver que vous avez bien remplis vos obligations en la matière :))

N’hésitez pas à nous contacter si vous avez des questions ou si vous voulez en savoir plus

Abonnez-vous à ce blog

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 8 autres abonnés

Catégories