Les 7 droits des personnes sur leurs données
Au delà des droits d’accès, de rectification, d’effacement et d’opposition déjà présent dans loi Informatique et Libertés de nouveaux droits s’ajoutent avec le RGPD. Il s’agit du :
- Droit à la portabilité,
- Droit à la limitation du traitement,
- Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.
1. Droit d’accès (RGPD - article 15)
L’exercice du droit d’accès permet aux personnes :
- De savoir si les données les concernants sont traitées,
- d’en obtenir la communication dans un format compréhensible,
- de contrôler l’exactitude des données,
- de rectifier ou d’effacer des données personnelles.
Toute personne peut s’adresser directement au responsable de traitement pour exercer son droit d’accès. Le responsable de traitement doit lui fournir une copie des données la concernant, ainsi que les informations suivantes :
- Les finalités du traitement,
- Les catégories de données concernées,
- La durée de conservation des données,
- L’existence du droit de rectification, d’effacement, de limitation, ou d’opposition au traitement des données,
- L’origine des données quand elles n’ont été collectées indirectement,
- L’existence éventuelle d’une prise de décision automatisée (comme le profilage),
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle,
- Les destinataires auxquels les données ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers.
2. Droit de rectification (RGPD - article 16)
Le droit de rectification permet :
- De corriger les données inexactes,
- De compléter des données en lien avec la finalité du traitement.
3. Droit d’opposition (RGPD - article 21)
Les personnes peuvent s’opposer au traitement de leurs données.
Exemple en prospection commerciale :
la personne n’a pas besoin de fournir de motif pour exercer son droit d’opposition.
Il ne s’agit pas d’un droit à la suppression simple et définitive de toutes les données. S’il ne s’agit pas de prospection, l’organisme pourra justifier son refus d’opposition en justifiant :
- De motifs légitimes et impérieux à traiter les données (nécessaires à la constatation, l’exercice ou la défense des droits en justice)
- Que la personne a consenti (il faudra alors retirer son consentement)
- Que le contrat lie la personne avec l’organisme (et que la personne ne peut pas mettre fin au contrat)
- Qu'une obligation légale l’impose à traiter ces données,
- Que le traitement est nécessaire à la sauvegarde des intérêts vitaux.
4. Droit à l’effacement ou droit à l’oubli (RGPD - article 17)
Le droit à l'effacement s’applique uniquement dans l’une de ces 6 situations :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou traitées,
- La personne retire son consentement au traitement de ses données,
- La personne s’oppose au traitement, et il n’existe pas de motif légitime impérieux,
- Le traitement est illicite,
- Les données doivent être effacées pour respecter une obligation légale
- Les données ont été collectées auprès de mineurs dans le cadre de l’offre de services de la société de l’information
Le droit à l'effacement (ou droit à l'oublie) ne peut pas s’appliquer s’il va à l’encontre :
- De la liberté d’expression et d’information,
- Du respect d’une obligation légale,
- D’un motif d’intérêt public dans le domaine de la santé publique,
- De fins archivistiques dans l’intérêt public, de fins statistiques, de recherche scientifique ou historique,
- De la constatation, de l’exercice ou de la défense de droits en justice.
5. Droit à la portabilité (RGPD - article 20)
RGPD - Article 20
L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des personnes.
Le droit à la portabilité permet aux personnes :
- De gérer leurs données en les ré-utilisant pour un usage personnel par exemple,
- De faciliter la libre circulation des données d’un prestataire à un autre *(par exemple afin de stimuler la concurrence entre responsables de traitement),
- De récupérer les données personnes qu’elle a fournies à un responsable de traitement,
- De transmettre ces données à un nouveau responsable de traitement.
Ces données doivent être transmises dans un format :
- Structuré
- Couramment utilisé
- Lisible par une machine.
Les responsables de traitement doivent donc travailler ensemble à l’élaboration de formats interopérables pour permettre l’exercice effectif de ce droit.
Deux conditions à l’exercice de ce droit sont cumulatives :
- Le traitement est fondé sur le consentement de la personne ou sur un contrat,
- et le traitement est effectué à l’aide de procédés automatisés.
Les données concernées par le droit à la portabilité sont :
- Les données fournies par la personnes
- Les données générées par son activité (localisation, rythme cardiaque, etc).
Les données non concernées par le droit à la portabilité sont :
- Les données anonymes,
- Les données déduites ou dérivées.
6. Droit à la limitation du traitement (RGPD - article 18)
Il s’agit d’un droit complémentaire aux autres droits, qui oblige l’organisme à traiter les demandes d’opposition, de suppressions ou de rectification dans un délai de un mois. Pendant ce délai, la personne accède à son droit à la limitation : Elle peut geler l’utilisation de ces données. L’organisme ne devra plus utiliser les données, mais devra les conserver.
Inversement, il est possible de limiter le traitement de certaines données lorsque l’organisme souhaite les effacer, notamment en cas de procédure judiciaire.
Quatre conditions non-cumulatives pour l’exercice du droit à la limitation du traitement existent :
- Lorsque la personne fait valoir son droit de rectification,
- Lorsque la personne fait valoir son droit d’opposition,
- Lorsque les données, sur le point d’être effacées, concernent la constatation, l’exercice ou la défense de droit en justice,
- Lorsque le traitement est illicite.
L'exception au gel temporaire est effective si :
- La personne donne son consentement à une autre forme de traitement,
- Le traitement de ces données est nécessaire à la constatation, l’exercice, à la défense des droits en justice, à la protection des droits d’une personne, ou pour des motifs importants d’intérêt public de l’union, ou d’un Etat membre.
7. Décision individuelle automatisée (RGPD - article 22)
Le profilage consiste à utiliser les données personnes d’un individu en vue d’analyser et de prédire son comportement.
Exemple de profilage :
Déterminer ses performances au travail, situation financière, santé, ses préférences, ses habitudes de vie, etc.
Définition
Toute personne a le droit de ne pas faire l’objet d’une décision entièrement automatisée - souvent basée sur un profilage - qui a un effet juridique ou qui l’affecte sensiblement.
Quatre conditions non-cumulatives de validation d’une décision automatisée existent. Un organisme peut automatiser ce type de décision si l’une de ces conditions est remplie :
- La personne concernée a donnée son consentement explicite,
- La décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne et l’organisme,
- La décision automatisée est autorisée par des dispositions légales spécifiques.
Exemples de risques de décisions produites de manière automatique :
- Entrave l’accès à un service (rejet d’un crédit)
- Désavantage financièrement la personne (absence de prime, hausse de coût d’un service)
- Ferme l’accès à un emploi
- Produit un effet juridique concernant la personne.
La personne concernée doit pouvoir :
- Être informée qu’une décision entièrement automatisée a été prise à son encontre,
- Demander à connaître la logique,
- Contester la décision et exprimer son point de vue,
- Demander l’intervention d’un être humain qui puisse réexaminer la décision.
Conclusion
Le responsable de traitement est tenu de faciliter l’accès à ces 7 droits, et s’il n’a pas l’obligation de lui transmettre ces informations selon les exceptions ci-dessous, il dispose d’un mois à compter de la réception de la demande pour lui indiquer les motifs de son inaction.
Quelques exceptions existent cependant :
- S’agissant du droit d’opposition pour des Motifs légitimes et impérieux prévalant sur les intérêts des droits et libertés des personnes, pour la constatation, l’exercice ou la défense des droits en justice,
- S’il est capable de démontrer qu’ils ne sont pas en mesure d’identifier la personne concernée,
- S’agissant du droit à l’effacement, lorsque leur mise en oeuvre porte atteinte à l’exercice d’un droit individuel ou s’oppose à un motif d’intérêt public.
- S’agissant des droits d’accès à la portabilité, lorsque sa mise en oeuvre porte atteinte aux droits ou libertés d’autrui.
- S’ils peuvent démontrer que les demandes d’une personne sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.
Le responsable de traitement doit notifier tous les organismes co-responsables (par exemple les sous-traitants ) qui il a transmis les données personnelles en question) de l’exercice des droits demandé par la personne concernée.
Les modalités de service des plaintes auprès de la CNIL sont les suivants :
- Il s'agit des plaintes envoyées entre particuliers, association, ou homologue DPOs,
- Il s'agit de plaintes sur le non respect de ces droits, mais aussi sur les obligations de sécurité.
Pour déposer une plainte à la CNIL : il suffit d'envoyer un courrier postal, ou de se plaindre directement sur le portail de la CNIL. La CNIL conseille cependant d’abord de contacter le responsable de traitement concerné.