Les droits des personnes sur leurs données

Garantir aux personnes le plein exercice de leurs droits sur leurs données personnelles

Afin d’assurer à tous le contrôle de ses données à caractère personnel, le RGPD a défini 7 droits fondamentaux.

1. Droit d’accès
2. Droit de rectification
3. Droit à l’effacement
4. Droit d’opposition
5. Droit à la portabilité
6. Droit à la limitation du traitement
7. Droit à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé

Le droit d’accès

Il assure aux personnes le droit de connaître l’existence d’une collecte et d’un traitement de leurs DP et de pouvoir les consulter à tout moment dans un format compréhensible afin de les corriger ou de demander leur suppression le cas échéant.
Pour cela, les personnes doivent pouvoir en faire la demande facilement au Responsable du traitement.
En retour, et dans un délai raisonnable, le responsable du traitement doit leur fournir une copie des informations suivantes :

1. les finalités du traitement;
2. les catégories de données à caractère personnel concernées;
3. les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
4. lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
5. l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;
6. le droit d’introduire une réclamation auprès d’une autorité de contrôle;
7. lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
8. l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
   Source : RGPD Article 15 – Droit d’accès de la personne concernée

Le droit de rectification

Il assure aux personnes la possibilité de rectifier ses données si elles sont inexactes ou de les compléter avec des informations en lien avec le traitement du traitement prévu.

Le droit à l’effacement

Plus connu sous le terme de « droit à l’oubli », il assure aux personnes le droit de demander la suppression de leurs données à caractère personnel dans 6 situations exclusivement :

1. Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
2. La personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;
3. La personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;
4. Les données à caractère personnel ont fait l’objet d’un traitement illicite;
5. Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
6. Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
   Source : RGPD Article 17 – Droit à l’effacement («droit à l’oubli»)

A noter que la loi prévoit que le droit d’effacement ne puisse s’exercer dans certains cas (par exemple: obligation légale, motif d’intérêt publique ou juridique…).

Le droit d’opposition

Le RGPD assure à tous le droit de s’opposer à la collecte et au traitement de ses données à caractère personnel. Ce droit peut s’exercer à tout moment.
Si le traitement est réalisé dans le cadre d’une prospection, aucun motif ne peut être réclamé par le responsable du traitement à la personne qui en fait la demande.
Attention : le droit d’opposition n’implique pas l’effacement des données mais l’arrêt du traitement qui est fait des DP.

Le responsable du traitement a-t-il le droit de refuser à la personne son droit d’opposition ?

• Non si les données à caractère personnel sont traitées à des fins de prospection.
• Oui si le responsable du traitement « démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice ». Source : RGPD Article 21 – Droit d’opposition

Le droit à la portabilité

Si les 4 premiers points étaient déjà présents dans la loi Informatique et libertés, le RGPD introduit de nouveaux droits, dont celui de la portabilité.

Le droit à la portabilité permet à la personne concernée de pouvoir récupérer ses données personnelles dans un format structuré et couramment utilisé sur les supports de traitement (informatique par exemple).

Le droit à la portabilité introduit donc la légitimité de récupérer ses données pour soi-même, pour les transmettre à un prestataire ou à un nouveau responsable de traitement, et l’obligation pour les responsables de traitement de travailler avec des outils et fichiers répandus et largement compatibles.

Les données qui peuvent faire l’objet d’une portabilité sont :

• les données directement fournies par la personne,
• les données générées par son activité (historique d’achats, géolocalisation, etc…)

Les données non-concernées :

• les données anonymes,
• les données déduites ou dérivées (par exemple : issues de traitements d’analyse et statistiques)

Le droit à la limitation du traitement

Lorsqu’une personne souhaite exercer son droit de rectification, d’opposition, ou pour s’opposer à l’effacement, ou encore en cas de traitement illicite (et seulement dans ces 4 cas de figure), elle peut exercer son droit à la limitation du traitement durant la période nécessaire au responsable du traitement d’effectuer les opérations demandées.
Le responsable du traitement dispose d’un mois pour effectuer les opérations demandées. Durant cette période, l’organisme chargé du traitement des DP ne pourra donc plus les utiliser.

Le droit à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé

Toute personne a le droit de ne pas faire l’objet d’un traitement entièrement automatisé (par exemple un profilage) qui a un effet juridique ou qui l’affecte personnellement, sauf

• si elle a donné son consentement explicite,
• si ce traitement est nécessaire à l’exécution d’un contrat,
• si le traitement automatisé est autorisé par des dispositions légales spécifiques.

En outre, la personne doit être informée qu’elle a fait l’objet d’un traitement entièrement automatisé et doit pouvoir en connaître la logique, demander une intervention corrective et contester la décision qui a découlé de ce traitement entièrement automatisé.

La réponse du responsable du traitement en cas de demande d’exercice d’un droit sur les données à caractère personnel

L’article 12 du RGPD indique dans le détail les obligations du responsable du traitement à la suite d’une demande d’une personne. Notamment :

• le responsable du traitement a un délai d’un mois à compter de la réception de la demande pour répondre à la personne concernée,
• il doit l’informer de sa décision concernant la demande et justifier cette décision s’il ne peut y répondre favorablement,
• il peut dans ce délai effectuer un recours juridictionnel ou une réclamation auprès d’un organisme de contrôle,
• il doit informer tous les organismes auxquels il a transmis les données personnelles de la personne.

Comment faire une demande pour exercer l’un de ses droits ?

Afin d’aider les personnes à exercer leurs droits sur leurs données personnelles, la CNIL propose un grand nombre de modèles de courriers : https://www.cnil.fr/fr/modeles/courrier.

Comment déposer plainte auprès de la CNIL ?

• en utilisant le formulaire en ligne de dépôt de plainte : https://www.cnil.fr/fr/adresser-une-plainte
• en envoyant un courrier postal à la CNIL

Dans tous les cas, la personne doit préalablement avoir tenté d’exercer ses droits auprès du responsable du traitement et apporter des justificatifs à la CNIL sur le fait que ses demandes n’ont pas abouti ou que ses droits concernant ses DP ne sont pas respectés.