Le Règlement général sur la protection des données (RGPD) accorde une série de droits aux personnes concernées, c’est-à-dire aux individus dont les données sont traitées. Ces droits visent à offrir aux individus un contrôle sur leurs informations personnelles et à garantir une protection de leurs données. Voici les droits principaux :
Sommaire
1. Le droit d’être informé
Le droit d’être informé permet aux personnes de comprendre comment leurs données seront utilisées. Les entreprises et organisations doivent informer les individus des finalités du traitement de leurs données, des bases légales et des éventuels destinataires de ces données, conformément aux articles 13 et 14 du RGPD. Cette information doit être claire, transparente et compréhensible.
Source : CEPD
Exemple pratique :
Une entreprise de e-commerce doit inclure dans sa politique de confidentialité des informations détaillées sur la manière dont elle traite les données personnelles de ses clients, notamment pour des raisons marketing ou pour la gestion des commandes.
2. Le droit d’accès
Le droit d’accès (article 15 du RGPD) permet à une personne de demander si une organisation traite ses données personnelles, et si oui, d’accéder à ces données. La personne a également le droit de connaître la finalité du traitement, les catégories de données concernées, les destinataires de ces données, et la durée de conservation.
Checklist des mesures à prendre :
- Mettre en place un processus pour répondre rapidement aux demandes d’accès.
- Informer la personne concernée dans un délai d’un mois et fournir une copie des données demandées.
3. Le droit de rectification
Le droit de rectification (article 16 du RGPD) permet aux individus de demander la correction de leurs données personnelles si elles sont inexactes ou incomplètes.
Exemple pratique :
Si un client a changé d’adresse, il peut demander à l’entreprise de mettre à jour ses coordonnées dans ses bases de données.
4. Le droit à l’effacement (droit à l’oubli)
Le droit à l’effacement (article 17 du RGPD), souvent appelé droit à l’oubli, permet aux personnes de demander la suppression de leurs données personnelles dans certains cas, notamment si les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou si la personne retire son consentement.
Exemple pratique :
Un ancien utilisateur d’un service en ligne qui n’y accède plus peut demander la suppression de son compte et de ses données personnelles.
5. Le droit à la limitation du traitement
Le droit à la limitation (article 18 du RGPD) permet aux individus de demander la suspension temporaire de l’utilisation de leurs données, par exemple en cas de contestation de leur exactitude ou si le traitement est illicite mais que la personne concernée ne souhaite pas leur suppression.
Exemple pratique :
Si une personne conteste l’exactitude de ses données, elle peut demander à ce qu’elles ne soient plus utilisées tant que l’entreprise ne les a pas vérifiées.
6. Le droit à la portabilité des données
Le droit à la portabilité (article 20 du RGPD) permet à une personne de recevoir les données personnelles qu’elle a fournies à une organisation dans un format structuré, couramment utilisé et lisible par machine. Elle peut également demander que ces données soient transférées directement à un autre responsable de traitement.
Exemple pratique :
Un utilisateur d’un service de streaming peut demander que ses playlists soient transférées à un autre fournisseur de services.
7. Le droit d’opposition
Le droit d’opposition (article 21 du RGPD) permet aux individus de s’opposer au traitement de leurs données personnelles lorsque ce traitement est fondé sur l’intérêt légitime de l’organisation ou sur l’exécution d’une mission d’intérêt public. En matière de marketing direct, le droit d’opposition est absolu.
Exemple pratique :
Un client peut refuser de recevoir des offres promotionnelles par e-mail en exerçant son droit d’opposition.
8. Le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé
L’article 22 du RGPD prévoit que les individus ont le droit de ne pas faire l’objet d’une décision entièrement automatisée, y compris le profilage, si cette décision produit des effets juridiques ou significatifs à leur égard. Ce droit vise à protéger les personnes contre des décisions potentiellement injustes prises sans intervention humaine.
Exemple pratique :
Un candidat à un emploi pourrait s’opposer à ce que son dossier soit automatiquement rejeté par un algorithme de tri des candidatures sans qu’une personne n’ait examiné sa demande.
Comment traiter les demandes d’exercice des droits ?
Le responsable du traitement des données doit faciliter l’exercice des droits des personnes concernées. Voici une checklist pour bien gérer ces demandes :
- Anticiper : Mettez en place des systèmes et procédures pour répondre aux demandes et formez votre personnel.
- Faciliter l’exercice des droits : Rendez les informations sur les droits facilement accessibles, par exemple via un formulaire en ligne.
- Transparence : Informez toujours les personnes des données que vous traitez, notamment par des politiques de confidentialité claires.
- Répondre dans un délai d’un mois : Toute demande doit recevoir une réponse dans un délai de 30 jours, avec possibilité de prolongation si nécessaire.
- Documenter : Gardez des traces de toutes les demandes et des réponses apportées.
Ne pas facturer de frais
En général, les entreprises ne peuvent pas facturer de frais pour traiter une demande d’exercice des droits. Cependant, en cas de demandes manifestement infondées ou excessives, notamment à caractère répétitif, des frais raisonnables peuvent être exigés.
