Droits des personnes
Découvrez les différents droits introduits par le RGPD.
Le RGPD réaffirme les droits des individus, introduit le droit à la portabilité des données et renforce les obligations incombant au responsable du traitement. Les personnes concernées ont le droit de garder le contrôle de leurs données. Le responsable du traitement doit leur expliquer comment les exercer. Lorsqu'ils exercent leurs droits, les personnes demandeuses doivent obtenir une réponse avant un mois (allongé de deux mois en cas de demandes complexes).

Deux obligations majeures pour le responsable de traitement:

  • Informer les personnes concernées sur l'utilisation de leurs données (finalité, durée d'archivage etc.) et sur les modalités d'exercice de leurs droits
  • Informer les personnes concernées de l'exécution d'opérations conformes à l'exercice des droits de rectification, d'effacement ou de limitation

3 règles opérationnelles communes pour les droits des personnes:

  • Délai de réponse d'un mois à compter de la demande (allongé de 2 mois en cas de demande complexe)
  • Pas de frais pour l'exercice des droits, sauf en cas de réclamations manifestement infondées ou excessives
  • Traçabilité des demandes et des réponses

Le droit d'accès à l'information

Pour être licite, la collecte de données personnelles doit être accompagnée d'informations claires et précises des personnes sur:
  • l'identité de la personne responsable du traitement ;
  • la finalité du traitement ;
  • le caractère obligatoire ou facultatif des réponses et les conséquences d'un défaut de réponse ;
  • les destinataires des données ;
  • leurs droits (droit d'accès, de rectification, d'opposition etc.) ;
  • transferts de données possibles vers des pays tiers.
L'information est préalable à la collecte de données en cas de collecte directe. En cas de collecte indirecte, elle doit être donnée dans un délai d'un mois. Le support de ces informations varie selon les caractéristiques du traitement des données (exemple, panneau d'information pour la vidéosurveillance, mention d'informations sur un formulaire, lecture de ces informations en cas de collecte de données par téléphone.)

Le droit d'accès peut être exercé:

  • Par écrit : courrier postal, accompagné d'une copie d'une pièce d'identité en cas de suspicion de fraude. Idéalement, par courrier recommandé avec accusé de réception. La demande peut être faite par courriel également.
  • Sur place : avec présentation d'une pièce d'identité en cas de doute sur la personne. Il est possible d'être accompagné de la personne de son choix. La consultation devrait durer suffisamment longtemps pour en prendre note de manière pratique et complète. Il est possible de demander une copie des données.
  • En ligne : directement depuis la plateforme en mode connecté.
Le responsable de traitement dispose d'un délai de réponse maximum d'un mois à compter de la date de réception de la demande. Si la demande est incomplète (absence de la pièce d'identité par exemple), le responsable peut demander des compléments : le délai est alors suspendu et recommence une fois ces éléments fournis.

Comment restituer les données ?

Les éléments communiqués doivent être facilement compréhensibles. Les codes, acronymes et abréviations utilisés doivent être expliqués (éventuellement par le biais d'un lexique). Par exemple, "Segmentation: A +" signifie que vous êtes considéré comme un client VIP.

Les limites du droit d'accès

Le responsable du traitement peut:
  • refuser la demande d'accès: dans ce cas, il doit justifier sa décision.
  • Ne pas répondre aux demandes manifestement déraisonnables en termes de nombre, de nature répétitive ou systématique (par exemple, demander une copie complète d'un enregistrement chaque semaine).
Lorsque le responsable du traitement ne dispose d'aucune donnée sur la personne exerçant le droit d'accès (par exemple, les données ont été supprimées ou que l'organisation ne dispose d'aucune donnée sur la personne), il doit répondre au demandeur dans un délai d'un mois. Le droit d'accès doit être exercé dans le respect des droits des tiers: un salarié d'une entreprise ne peut pas obtenir de données relatives à un autre salarié.

La collecte du consentement

Le consentement est une action active, explicite et de préférence écrite de l'utilisateur qui doit être libre, spécifique et informée. Dans un formulaire en ligne, cela peut se produire, par exemple, par une case à cocher non cochée par défaut. Le consentement est «préalable» à la collecte de données.
Le consentement préalable de la personne concernée est requis, en particulier:
  • En cas de collecte de données sensibles
  • Réutilisation des données à d'autres fins
  • Utilisation de cookies à certaines fins
  • Utilisation des données pour la prospection commerciale électronique

Le droit à l'opposition

Les personnes doivent pouvoir s'opposer à la réutilisation par le responsable du dossier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d'une commande ou de la signature d'un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d'exprimer leur choix directement sur le formulaire ou le bon de commande à compléter. La simple mention de l'existence de ce droit dans les conditions générales ne suffit pas. Toute personne a le droit de s'opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex: dossiers fiscaux).

Le droit d'accès et de rectification

Tout le monde peut, l'accès à toutes les informations le concernant, connaître l'origine des informations le concernant, accéder aux informations sur lesquelles le responsable du dossier s'est appuyé pour prendre une décision le concernant (par exemple, les éléments qui auraient été utilisés pour ne pas vous accorder de promotion ou le score attribué par une banque ayant conduit au rejet de votre crédit) application), obtenir une copie (des frais ne dépassant pas le coût de reproduction peuvent être demandés) exiger que ses données soient, selon le cas, rectifiées, complétées, mises à jour ou supprimées.

Le droit de portabilité

  • Les personnes concernées peuvent demander à recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données les concernant qu'elles ont fournies à un responsable de traitement.
  • Lorsque cela est techniquement possible, ils peuvent également demander que ces données soient transmises directement d'un responsable de traitement à un autre.

Pour aller plus loin

Dernière mise à jour 3mo ago