RGPD – Quels sont les droits des personnes ?
Le Règlement Européen sur la Protection des Données permet à chaque individu de bénéficier de droits sur le traitement de ses données personnelles. Les personnes concernées peuvent ainsi maîtriser et contrôler le traitement de leurs données. Le responsable du traitement des données dispose d’un délai de deux mois pour répondre à la demande.
L’envoi des informations est par principe gratuit. Toutefois, si les demandes sont manifestement infondées ou excessives notamment en raison de leur caractère répétitif, le responsable de traitement à la possibilité d’exiger le paiement de frais raisonnables calculés en fonction des coûts administratifs.
Le droit d’accès
La personne concernée a le droit d’obtenir du responsable de traitement la confirmation que ses données personnelles sont ou ne sont pas traitées.
Vous devez être en mesure de transmettre les informations suivantes :
- les finalités de traitement,
- les catégories des données personnelles et les destinataires des données ou catégorie de destinataires,
- les transferts de données hors UE et existence des garanties appropriées,
- la durée de conservation des données,
- l’existence du droit de rectification ou d’effacement, de limitation ou d’opposition du traitement,
- le droit d’introduire une réclamation auprès de la CNIL,
- l’origine des données,
- l’existence d’une prise de décision automatisée.
Le responsable de traitement peut refuser cette demande si cette dernière est abusive ou excessive, si le traitement des données est à des fonds statistiques, de recherche scientifique ou historique et si la demande porte atteinte à la liberté d’autrui.
Le droit de rectification
Ce droit s’applique lorsque les données sont inexactes ou incomplètes. Le responsable de traitement peut refuser cette demande en cas d’impossibilité technique, à justifier.
Le droit d’opposition
La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant. Le droit d’opposition s’applique lors de la collecte des données ou ultérieurement pour les cas suivants :
- aucun consentement n’a été donné pour le traitement des données,
- le traitement des données est à des fins de prospection commerciale et de profilage.
Le droit à la portabilité
Les personnes ont le droit d’obtenir une copie des données personnelles les concernant sous un format structuré, électronique et interopérable. Par exemple, le droit à la portabilité peut être utilisé pour pouvoir changer de fournisseur de service. Ce droit est prévu pour :
- les données fournies par la personne concernée,
- le traitement effectué à l’aide de procédés automatisés,
- les données traitées sur la base du consentement ou de l’exécution d’un contrat.
Le responsable de traitement peut refuser dans les cas suivants :
- le traitement est réalisé sur papier,
- le traitement résulte d’une obligation vitale, d’une obligation légale, de la sauvegarde des intérêts vitaux de la personne concernée ou d’une mission d’intérêt public,
- la demande porte atteinte à la liberté d’autrui.
Le droit à l’effacement ou droit à l’oubli
La personne concernée a le droit de demander l’effacement de ses données dans les meilleurs délais et dans plusieurs hypothèses :
- les données ne sont plus nécessaires à la poursuite des finalités,
- le retrait du consentement,
- l’exercice du droit d’opposition reconnu valable,
- le traitement est dépourvu de fondement juridique valable,
- le respect d’une obligation légale auquel est soumis le responsable de traitement.
Si le responsable de traitement à rendu publique les données, il doit prendre les mesures nécessaires pour informer les autres personnes ou organismes qui traitent ces données.
Le refus est possible dans les cas suivants :
- le traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information
- le traitement est prévu pour respecter une obligation légale ou pour exécuter une mission d’intérêt public
- le traitement concerne des motifs d’intérêt public dans le domaine de la santé publique
- le traitement est fait à des fins archivistes dans l’intérêt public, à des fins de recherche scientifique, historique ou à des fins statistiques
Le droit à la limitation
La personne concernée a le droit, dans certains cas prévus par la loi, d’obtenir du responsable du traitement la limitation de ses données. Ce droit s’applique si :
- l’exactitude des données à caractère personnel est contestée par la personne concernée, de sorte que la limitation doit s’appliquer pendant une durée permettant de vérifier l’exactitude des données,
- les données font l’objet d’un traitement illicite mais la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation,
- les données personnelles ne sont plus nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice,
- la personne concernée s’est opposée au traitement en vertu de son droit d’opposition.
Lorsque le traitement a été limité, les données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice ou la protection des droits d’une autre personne physique.
Droit de formuler des directives anticipées sur le sort des données personnelles après son décès
Dans ce cas, vous devez :
- informer la personne concernée de ce droit au moment de la collecte des données,
- mettre en place un processus spécifique d’enregistrement des directives particulières,
- recueillir le consentement spécifique,
- permettre aux personnes concernées de modifier les directives à tout moment.
Sécurité des données personnelles – A retenir
Des solutions existent pour protéger les données, elles ont été conçues pour être faiblement intrusives :
- Le firewall
- La gestion des accès aux données
- Un chiffrage de données sur le support ou pendant le transfert sur le réseau
La mise à disposition des moyens nécessaires pour que les personnes concernées puissent exercer leur droits est un vrai sujet qui pourrait être plus intrusif dans les systèmes d’information.
- Répondre à une demande d’effacement des données peut être dans certains cas très complexe à réaliser et nécessiter des évolutions profondes du système d’information.
- Lorsque les ERP sont utilisés, les évolutions devront être réalisées en partie par les éditeurs.
- Lorsque les données sont également dans des clones des bases de données, la demande d’effacement doit être propagée partout.