Quels droits pour les individus ?

RGPD : Les droits de contrôle accordés aux individus

Le droit à la protection des données à caractère personnel est un droit fondamental garanti par l’union européenne dans le cadre du RGPD.

Un droit de contrôle accordé à chaque individu qui peut concrètement réclamer :

• la transparence sur ce qui est et sera fait de ses données
• de pouvoir rectifier les données incorrectes effacer certaines données
• de pouvoir s’opposer à un traitement notamment s’il s’agit d’un profilage
• de se voir restituer ses données

Ce sont ces différents droits qui pavent la démarche de mise en conformité RGPD. Chaque action à effectuer doit aller dans ce sens, c’est à dire mettre en place les process adéquats afin de respecter ces droits et assurer une protection et un contrôle des individus sur leur vie privée.

Tout cela s’inscrit bien sur sur une certaine période et en fonction de certaines règles. Pour autant tout n’est pas possible.

Par exemple, un individu ne peut pas réclamer l’effacement de données si celles-ci sont détenues de manière licite ou encore si elles sont nécessaires à l’exécution d’un contrat qu’il a signé.

On le voit, il y a donc les grandes règles et les nombreux cas d’applications. D’où la nécessité d’inscrire l’ensemble de ces règles et de ces conditions dans des procédures applicables à l’entreprise.

Afin de bien respecter vos obligations et sécuriser vos pratiques, nous vous conseillons de :

• centraliser la procédure de gestion des demandes
• recueillir quotidiennement les demandes
• faire collaborer les directions concernées par la demande
• disposer des outils permettant de déterminer s’il faut répondre à tel ou tel demande ce qu’il faut répondre et comment y répondre

Et ce sont justement ces bonnes pratiques, issues de problématiques concrètes de clients, que la plateforme Data Legal Drive permet de mettre en œuvre efficacement.

RGPD droit à l’information

Qu’est-ce que c’est ?

Toute personne dont les données sont traitées a un droit à l’information.

Le droit à l’information est celui d’exiger de l’entité traitant ses données qu’elle fasse preuve de transparence vis-à-vis des traitements mis en œuvre et vis à vis des différents droits dont dispose la personne sur ses données.

Le contenu de cette information porte sur :

• Pourquoi : pourquoi mes données sont-elles traitées ?
• Comment : que faites-vous de mes données et pendant combien de temps ?
• Par qui : à qui communiquez-vous mes données ?
• Que puis-je y faire : quel droit de regard ai-je sur vos traitements et comment puis-je m’y opposer ?

Le RGPD ne donne pas de forme précise à la communication de l’information relative au droit à l’information, mais il impose qu’elle soit communiquée au moment précis de la collecte des données, qu’elle soit facilement accessible, compréhensible et formulée dans des termes clairs. Des mentions d’informations noyées dans des conditions générales en petits caractères, rédigées de façon excessivement juridique ne sont pas conformes à cette exigence de clarté et de pédagogie.

Le mot d’ordre de ce droit est la clarté. Il faut que l’utilisateur, quelle que soit sa maturité juridique puisse prendre des décisions en toute connaissance de cause.

Il doit avoir en main toutes les clés afin de garder sous contrôle ses données à caractère personnel.

Afin de respecter ce droit fondamental, il est essentiel que la cible du traitement ait connaissance :

• de l’objectif de la collecte de données et de son caractère obligatoire ou facultatif
• de l’identité du responsable du traitement
• des destinataires de ses données
• des éventuels transferts des données hors Union Européenne
• des droits qu’elle peut exercer pour garder le contrôle

Il s’agit des principales 1ères informations à faire figurer dans sa politique de confidentialité.

RGPD droit à l’information : cas d’usage

Plus le traitement est sensible ou massif, plus l’information fournie pour répondre au droit à l’information doit être exhaustive et claire.

Ainsi, pour un site web marchand de moyenne ou faible envergure, une politique de confidentialité de 3 ou 4 pages mise à disposition en bas de chaque page du site et listant les informations dans un langage clair, sera suffisante.

Pour une société comme Google, l’information devra obligatoirement apparaître, être absolument complète et précise tout en restant claire, avec la possibilité de naviguer dans le détail via des liens et menus contextuels. L’utilisateur doit pouvoir configurer lui-même, sur le plus grand nombre de paramètres possibles, la confidentialité de ses informations personnelles vis-à-vis de Google et des tiers.

C’est d’ailleurs notamment le manque de précision, de clarté et de possibilité de configuration de la politique de confidentialité de Google qui a amené la CNIL à condamner l’entreprise.

Pour aller plus loin

RGPD droit à l’information : quelles informations communiquées aux personnes concernées ?

1. Dans le cas où il s’agit d’une collecte d’informations directement auprès de l’intéressé

L’article 13 alinéa 1er prévoit que le responsable de traitement doit fournir les informations suivantes :

• L’identité et les coordonnées du responsable de traitement et le cas échéant, du représentant du responsable de traitement
• Le cas échéant, les coordonnées du Délégué à la Protection des données (DPD, DPO).
• Les finalités du traitement auquel sont destinées les données personnelles et la base légale du traitement
• Les destinataires externes de ces données (prestataires, fournisseurs, partenaires …etc).
• Les intérêts légitimes poursuivis par le responsable de traitement, lorsque les traitements utilisent ce fondement.

En outre, pour garantir un traitement équitable et transparent des données personnelles, l’alinéa 2 dudit article impose au responsable de traitement de fournir des informations supplémentaires, à savoir :

• La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.
• L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données.
• Lorsque le traitement est fondé sur votre consentement, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
• Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel, ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que des informations sur les conséquences éventuelles de la non-fourniture de ces données.
• L’existence d’une prise de décision automatisée, y compris un profilage, produisant des effets juridiques la concernant et pouvant utiliser des catégories particulières de données, ou à minima des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Dans le cas où il s’agit d’une collecte d’informations indirecte

L’article 14 reprend la même liste que celle prévue par l’article 13, mais y ajoute une subtilité. En effet, lors de la collecte de données personnelles indirecte, le responsable de traitement doit fournir les catégories de données personnelles concernées par le traitement.

De plus, pour la fourniture d’informations complémentaires, le responsable de traitement doit fournir « la source d’où proviennent les données à caractère personnel et le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public » (article 14 alinéa 2).

A quel moment ces informations doivent être fournies ?

S’il s’agit de données directement collectées auprès de la personne concernée, alors les informations doivent être fournies au moment où les données en question ont été obtenues.

Si en revanche, il s’agit d’une collecte indirecte, le responsable de traitement doit fournir à la personne concernée les informations :

• Dans un délai raisonnable ne dépassant pas 1 mois, en prenant en compte les circonstances particulières dans lesquelles les données sont traitées.
• Si le responsable de traitement utilise les données d’une personne concernée dans le but de communiquer avec elle, c’est lors de la première communication que les informations doivent être fournies.

Droit d’accès RGPD

Qu’est-ce que c’est ?

Consacré par l’article 15 du Règlement Général sur la Protection des Données, le droit d’accès RGPD est le pendant du droit à l’information.

En exerçant son droit d’accès RGPD, la personne exige de l’entité qui traite ses données des informations qui sont peu ou prou les mêmes que celles qui doivent être fournies lors de la collecte des données. Mais tandis que le droit à l’information donne à la personne les informations initiales, d’un bloc, le droit d’accès permet à la personne de contrôler en temps réel ce qui est concrètement fait, à un instant T, avec ses données à caractère personnel.

Le droit d’accès est le meilleur moyen pour vérifier que l’utilisation des données n’a pas dépassé ce à quoi ils pouvaient raisonnablement s’attendre. Si cette utilisation ne lui convient plus, ou si la personne estime que l’entité ne lui a pas fourni toutes les informations requises, elle pourra exercer ses autres droits tel que le droit à l’effacement de ses données, voire aller jusqu’à saisir la CNIL d’une plainte.

En effet, la force du droit d’accès est qu’il n’est soumis à aucune condition, dès lors que la demande n’est pas manifestement abusive (par exemple qu’il ne s’agit pas d’une énième demande portant sur les mêmes données dans un temps rapproché).

L’entité est obligée de satisfaire à la demande et de livrer les informations, dans un délai d’un mois pouvant, en cas de circonstances légitimes à justifier par l’entité, être porté à deux mois.

Modèle de demande d’accès auprès de la CNIL

Cas d’usage

Prenons le cas typique de l’agence immobilière et des traitements à des fins contractuelles d’une part et marketing de l’autre.

Un propriétaire a mis son bien en gestion locative auprès d’une agence immobilière. A la fin du bail, le propriétaire résilie le contrat de gestion locative avec l’agence. Le propriétaire continue toutefois de recevoir par email des offres commerciales de la part de cette agence. Constatant que les offres sont particulièrement adaptées à sa situation et afin de connaître les informations détenues par l’agence, il exerce son droit d’accès.

En réponse, l’agence lui adresse l’ensemble des données qu’elle détient sur lui. Il a la confirmation que des données le concernant n’auraient pas dû être traitées à des fins de marketing, notamment des données liées à sa situation financière et familiale. Dans un second temps, il décide donc de retirer son consentement au traitement de ses données et de faire jouer son droit à l’effacement de ses données, arguant que le contrat est résilié.

L’agence procède à l’effacement mais prévient le propriétaire que les données strictement liées au contrat de gestion locative seront archivées pendant un temps déterminé correspondant à la période de prescription contractuelle. Elle lui confirme que toutes les autres données sont effacées et qu’il ne recevra plus d’offres commerciales.

Pour aller plus loin

Plus précisément, une personne exerçant son droit d’accès peut exiger les informations suivantes :

• les finalités du traitement
• les catégories de données concernées
• les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales
• lorsque cela est possible, la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée
• l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données, une limitation du traitement des données relatives à la personne concernée, ou bien encore le droit de s’opposer à ce traitement
• le droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL par exemple)
• lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible relative à leur source
• l’existence d’une prise de décision automatisée, comme par exemple du profilage. En tel cas, les personnes concernées sont également en droit de demander toute information utile concernant la logique sous-jacente, l’importance et les conséquences prévues de ce traitement pour elle.

Le sujet peut demander une copie des données faisant l’objet d’un traitement le concernant. Dans ce cas, le responsable de traitements peut de son côté réclamer un paiement de frais raisonnables compte tenu de la complexité & du nombre de données, et des coûts administratifs ainsi engagés.

Modèle de la CNIL pour exercer son droit d’accès

Droit de rectification RGPD

Utiliser mes informations personnelles, oui, mais uniquement des informations exactes !

Une information personnelle trompeuse ou erronée, utilisée par une entreprise peut conduire à des conséquences néfastes, surtout quand il est question de la communication ou la conservation de ces données. Dans certains cas, la personne souhaitera la faire rectifier – compléter. C’est là qu’intervient le droit de rectification.

Le principe dont ce droit découle est un principe de loyauté : lorsqu’un tiers traite mes données, j’ai le droit d’exiger que ces données à caractère personnel soient « exactes, complètes et si nécessaire, mises à jour » compte tenu des finalités du traitement.

Comme pour le droit d’accès, ce droit n’est bien sûr soumis à aucune condition autre que la preuve du caractère inexact de l’information. La demande ne doit en outre pas être manifestement abusive.

Ce droit peut aussi s’exercer en cas de « mort numérique » : les données personnelles d’une personne décédée peuvent être modifiées ou complétées par ses ayants droits qui en feront la demande auprès du responsable de traitement.

Si les données ont plusieurs destinataires, le responsable du fichier à le devoir de transmettre les rectifications à l’ensemble des acteurs concernés.

Cas d’usage

Une donnée erronée dans un formulaire peut conduire une société à effectuer un calcul qui peut vous porter préjudice, par exemple si vous avez accès à un remboursement ou une prestation qui serait dès lors estimée à la baisse.

Même chose pour des informations portées à l’attention du public, sur un site internet par exemple : une information erronée portant sur votre situation médicale doit pouvoir être corrigée.

Pour aller plus loin

Quelles sont les conditions pour exercer son droit de rectification ?

L’article 12 du RGPD régit les modalités d’application du droit de rectification, qui est lui même décrit dans l’article 16 du RGPD.

La personne concernée doit d’une part prouver que ses données sont inexactes, incomplètes, périmées ou équivoques. Le responsable de traitement doit ensuite valider les preuves apportées par la personne concernée et porter dans les meilleurs délais la rectification des données à la connaissance à cette dernière. La charge de la preuve lui incombe dans ce cas de figure.

Comment exercer son droit de rectification ?

La personne concernée doit directement s’adresser au responsable de traitement (il peut également s’adresser au Délégué à la Protection des Données) pour satisfaire cette demande. Ce dernier peut exiger une preuve de l’identité de la personne concernée et peut solliciter d’autres moyens de preuve afin d’y parvenir (l’exigence de pièces justificatives disproportionnées est interdite).

Un modèle de courrier est disponible sur le site de la CNIL et il est recommandé de garder une copie de votre démarche en cas de contestation et de saisie de la CNIL.

L’exercice de ce droit est sans frais pour le demandeur et est à la charge du responsable de traitement et/ou du sous-traitant, qui doit faire preuve d’un traitement dans les meilleurs délais (1 à 3 mois suivant la complexité de la requête).

Si votre entreprise ne répond pas assez vite, ou simplement en cas de refus de réponse, la personne concernée à le droit de demander la « Limitation du traitement » (interdiction de tout traitement des données concernées), et peut porter plainte auprès de l’autorité de contrôle.

Limites au droit de rectification

Le droit de rectification ne peut s’appliquer lorsqu’il s’agit de traitements de données journalistiques, artistiques ou littéraires. Par ailleurs, pour protéger la confidentialité des enquêtes, les traitements relatifs aux fichiers de police, de renseignement, de gendarmerie et de FIBOCA sont exclus du champ d’application de ce droit.

Un modèle de contenu personnalisable relatif à la demande de rectification est disponible sur le site de la CNIL.

Droit à l’effacement RGPD / droit à l’oubli RGPD

Qu’est-ce que c’est

Au sens propre du terme, il n’existe pas de droit à l’oubli RGPD, uniquement un droit à l’effacement RGPD.

Le droit à l’effacement permet de demander la suppression complète de ses données. Mais attention : la détention et l’utilisation de ses données, par une entreprise par exemple, peut tout à fait être légitime. C’est pourquoi l’exercice du droit à l’effacement est encadré par des conditions assez strictes : la personne concernée devra démontrer que le traitement de ses données par l’entreprise n’est plus légitime, soit qu’il ne l’a jamais été, soit qu’il ne l’est plus.

Pour exercer son droit à l’oubli, il faut un motif : par exemple les données ne sont plus conservées pour les finalités qui ont été déclarées lors de la collecte des données.

Mais même en présence d’un motif, l’entreprise peut arguer de justifications en cas d’intérêts légitimes : par exemple si le traitement des données est nécessaire à la liberté d’expression et d’information.

Il lui est également possible de demander des justificatifs d’identité (dans la mesure du raisonnable) en cas de doutes justifiés quant à l’identité de la personne émettant la requête.

Une personne concernée peut procéder à une demande d’effacement :

• par voie électronique (formulaire, adresse mail etc.)
• par voie physique (courrier …)

Il est indispensable de tout mettre en oeuvre pour permettre à la personne d’exercer pleinement son droit à l’effacement, en lui donnant toutes les informations nécessaires à son exécution (modalités de l’exercice de droits, responsables de traitements identité du DPO …)

La mise à disposition de ces informations sur le site Internet de l’entreprise à travers des Mentions Légales, politique de confidentialité ou encore au travers de Conditions Générales d’Utilisation s’avère ainsi recommandée, et même obligatoire pour toute entreprise possédant un site web, sous peine d’être épinglé par son autorité de contrôle (CF. Droit à l’information).

Pour répondre à une demande d’effacement, l’entreprise dispose d’entre 1 et 3 mois à partir de la demande initiale si elle est jugée légitime (en fonction de la complexité de la demande).

Cas d’usage

Un fournisseur d’accès à internet détient des données personnelles sur vous, nécessaires à l’exécution du contrat de fourniture d’accès à internet et/ou qu’elle est obligée de conserver pour des raisons légales (recherche d’infractions par les autorités judiciaires, etc.).

Une fois le contrat expiré, ces données doivent être conservées par l’entreprise afin se prémunir contre un procès qui pourrait lui être intenté, pendant le temps de la prescription applicable. Pendant ce temps, l’exercice du droit à l’effacement serait inefficace : l’entreprise peut refuser d’effacer vos données.

En revanche, une fois l’ensemble des délais de conservations expirés, l’entreprise est obligée de satisfaire à votre demande d’effacement et de vous confirmer formellement y avoir procédé, sous peine de traitement illicite de données par l’entreprise.

Pour aller plus loin

Seuls les motifs suivants permettent d’exercer son droit à l’effacement

• les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées
• la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement.
• la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement
• les données à caractère personnel ont fait l’objet d’un traitement illicite
• les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis.

Les justifications suivantes permettent de continuer à traiter les données même en présence d’un motif légitime, lorsque le traitement est nécessaire :

• pour respecter l’exercice du droit à la liberté d’expression et d’information
• pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
• pour des motifs d’intérêt public dans le domaine de la santé publique
• à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou bien encore à des fins statistiques
• à la constatation, à l’exercice ou à la défense de droits en justice.

Droit d’opposition RGPD

Qu’est-ce que c’est

Toute personne physique a le droit de s’opposer à tout moment, pour des raisons X ou Y, à ce que ses données personnelles soient utilisées par des organismes, comme dans le cas d’un traitement à des fins de prospection commerciale par exemple. Et ce même si le traitement répond à une finalité légitime.

Contrairement au droit à l’effacement, en exerçant son droit d’opposition, la personne concernée demande à l’entreprise de ne plus traiter ses données à l’avenir, sans nécessairement demander à ce qu’elles soient effacées.

Néanmoins, le droit d’opposition est relatif. Si dans la majorité des cas, la personne concernée peut faire valoir ce droit sans exposer de motifs au préalable, certains traitements nécessitent d’avancer des motifs légitimes pour exercer son droit d’opposition. Précisément, le RGPD exige que son exercice soit justifié par « des raisons tenant à sa situation particulière ».

Cas d’usage

Votre entreprise envoie une newsletter relative à ses dernières nouveautés dans l’objectif de maintenir le contact avec vos prospects. Les adresses mails de vos prospects sont donc utilisées à des fins marketing, et n’est fondé que sur le consentement que vous ont donné lesdits prospects.

Les prospects en question doivent pouvoir exercer leur droit d’opposition RGPD, dès qu’ils estiment que ce traitement (l’utilisation de son adresse mail pour lui envoyer des messages de prospection) ne leur convient plus, afin que leurs adresses soient retirées des listes d’envois.

C’est pourquoi chaque email que vous envoyez doit contenir un lien de désinscription : en l’utilisant, vos contacts exercent leur droit d’opposition, leur permettant de s’opposer à l’envoi de nouveaux emails sur leurs adresses d’un simple clic.

Pour aller plus loin

Comment exercer le droit d’opposition ?

Aucun formalisme n’est exigé. Autrement dit, la personne concernée peut procéder par voie électronique via un formulaire spécifique ou encore sur un compte en ligne (site internet), en ayant préalablement identifié le responsable de traitement.

L’exercice de ce droit est gratuit, et doit pouvoir être exercé par toute personne concernée de manière simple et intuitive.

Comme pour tous les autres droits abordés, il est essentiel de bien informer la personne concernée de l’existence de ses droits, ainsi que des modalités pour leur exercice, au travers par exemple de mentions légales.

En cas de non-réponse, ou de réponse insatisfaisante après un mois, la personne concernée peut prendre la décision de saisir l’autorité de contrôle concernée.

Quelles sont les limites du droit d’opposition ?

L’article 38 du RGPD énonce les limites au droit d’opposition.

Si la demande d’opposition ne concerne pas la prospection commerciale, le responsable de traitement peut justifier son refus pour plusieurs raisons :

• S’il existe des motifs légitimes et impérieux à traiter les données ou que celles-ci sont nécessaires à la constatation, à l’exercice ou la défense des droits en justice
• Ce droit peut être écarté si la personne concernée y a consenti contractuellement ou lorsque le traitement des données personnelles est fondé sur un intérêt légitime.

Droit à la portabilité RGPD

Qu’est-ce que c’est

Comment ne pas rester enfermé dans un contrat avec une entreprise et récupérer ses données à caractère personnel pour changer de prestataire ? C’est à cette question que le droit à la portabilité répond.

Nouveau droit consacré par le RGPD (depuis le 25 mai 2018), la demande de portabilité permet aux personnes concernées d’avoir la possibilité de récupérer leurs données personnelles dans un format structuré, couramment utilisé et lisible par une machine, de sorte à ce qu’elles puissent procéder à un transfert des données vers un nouveau responsable de traitements.

Le responsable de traitement doit informer les personnes concernées de l’existence de ce nouveau droit de façon « concise, transparente, compréhensible et aisément accessible, en des termes claires et simples », notamment au sein des mentions légales du site internet de l’entreprise.

Les personnes concernées doivent prendre connaissance de ce droit avant toute clôture de compte afin qu’elles puissent transmettre leurs données personnelles vers un autre responsable de traitement et démarrer un nouveau traitement de données.

Cas d’usage

Mon entreprise, fournissant des télévisions connectées, traite les données de préférences de nos clients, afin de leur offrir plus de confort dans leur utilisation au quotidien. Un nouveau client potentiel, visiblement non-satisfait des services d’un de mes concurrents, entre en contact avec mon entreprise afin d’obtenir un nouveau téléviseur connecté.

Mais un grand nombre de ses préférences ont été enregistrées par le système du concurrent, et il serait impossible ou trop contraignant pour lui de les ré-enregistrer manuellement.

En exerçant son droit à la portabilité des données, il exige du précédent prestataire qu’il nous fournisse les données dans un format adapté pour ré-intégrer les préférences du client dans le nouveau système.