La garantie de l’exercice de ces droits face au développement des entreprises du numérique qui manipulent nos données à caractère personnel peut s’interpréter comme une réponse aux dérives de l’utilisation de nos données.
D’une part, ces droits permettent d’éveiller les consciences et d’autre part de rendre la maîtrise aux utilisateurs sur les informations les concernant.
Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu. Il requiert pour son exercice des conditions de mise en œuvre. En outre, le responsable de traitement est soumis à un ensemble de contraintes qui vise à faciliter sa mise en œuvre.
I. Les dispositions communes à tous les droits de la personne concernée
A. Qualité des personnes titulaires des droits
📍 Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s'étendent pas aux personnes morales. En principe, seul l'individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits.
Toutefois, il est arrivé que la jurisprudence autorise d'autres personnes physiques à se prévaloir de la qualité de "personne concernée". Cette situation s'est présentée pour la première fois dans le cadre d'un arrêt du Conseil d'État en date du 29 juin 2011 concernant le droit d'accès, exercé en vertu de la loi "Informatique et Libertés".
Cependant, ces circonstances sont rares et se sont jusqu'à à présent appliqué uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d'obtenir les données personnelles du défunt.
B. Les modalités d’exercice des demandes de droits
📍 Pour exercer ses droits en matière de protection des données personnelles, il convient de s'adresser directement au responsable du traitement des données.
Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s'adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu'il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d'une preuve de la demande et de son point de départ (notamment pour prouver le délai de réponse du responsable de traitement).
II. Les obligations des responsables de traitements
A. Les vérifications préalables
📍 Avant de traiter une demande d'exercice de droits formulée par une personne physique, le responsable de doit effectuer des vérifications pour s'assurer de la qualité de l'intéressé et de son identité. Dans certains cas, la communication d'un justificatif peut être exigée, mais ce n'est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l'utilisation de données d'identité numérique.
B. Les modalités de réponse et les garanties assorties
1. Les modalités et les délais de réponse
📍 Conformément à l'article 12 du RGPD, le responsable du traitement dispose d'un mois pour répondre à une demande d'exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l'organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d'un mois.
Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu'à la réception de ces informations.
💻 Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, à moins que le demandeur ne donne des instructions contraires.
📮 Si la réponse doit être envoyée par la poste, il est conseillé d'utiliser une lettre recommandée avec accusé de réception.
🔏 Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.
Bon à savoir :
Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c'est-à-dire la suspension de l'utilisation de ses données.
Le responsable du traitement n'est pas tenu de répondre à une demande qui seraient manifestement infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.
2. Les garanties assorties à l’exercice du droit des personnes
📍 Le responsable du traitement doit veiller à ce que l'exercice d'un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d'autrui, en ne communiquant que les données de cette personne.
De plus, il doit également s'assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle.
L'exercice des droits des personnes concernées est en principe gratuit. En revanche, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l'exercice des droits de la personne concernée.
3. Les obligations spécifiques à l’exercice de certains droits
⚖ Selon l'article 19 du RGPD, le responsable de traitement est tenu d'informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires.
📍 Ainsi, le responsable du traitement a l'obligation de notifier les destinataires de ces actions concernant les données personnelles.
III. Les dispositions particulières propres à chaque droit
A. Le droit d’accès
⚖ Selon l'article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d'accéder à ces données personnelles.
En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc.
Cependant, ce droit d'accès absolu est assorti de deux limites :
- d’une part, les fichiers de police ou liés à la sécurité de l'État ne peuvent pas faire l'objet d'une demande d'accès,
- et d'autre part, le responsable du traitement n'est pas tenu de répondre si la demande est infondée ou excessive.
B. Le droit de rectification
⚖ L'article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d'ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l'exactitude et l'actualisation des données. Cependant, il convient de noter que ce droit ne s'applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.
C. Le droit à l’effacement (ou « droit à l’oubli »)
⚖ L'article 17 du RGPD prévoit le droit à l'effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé "droit à l'oubli", est différent du droit à l'effacement.
En effet, le droit à l'effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d'un moteur de recherche. Le droit à l'effacement n'est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d'expression et d'information, à des fins archivistiques, de recherche scientifique ou statistique, etc.
D. Le droit à la limitation du traitement
⚖ Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées, venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.
En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessible à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à la limitation.
L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite. Son exercice est également possible lorsque le responsable de traitement n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.
La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.
En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.
E. Le droit à la portabilité des données à caractère personnel
🔎 Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d'opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l'a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d'inclure le droit à la portabilité dans le règlement européen.
L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).
Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».
Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.
F. Le droit d’opposition
⚖ Le droit d'opposition, énoncé à l'article 21 du RGPD, permet à une personne concernée de s'opposer à l'utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s'applique notamment lorsque le traitement repose sur l'intérêt légitime ou l'intérêt public.
Les personnes concernées ont toujours le droit de s'opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d'opérations de prospection commerciale.
Si la demande d'opposition ne concerne pas la prospection, l'organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.
En outre, le droit d'opposition ne s'applique pas lorsque la personne concernée est liée par contrat avec l'organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d'une autre personne physique, le droit d'opposition ne s'applique pas non plus.
G. Le droit de ne pas faire l’objet d’une décision individuelle automatisée
L'article 22 du RGPD accorde à toute personne le droit de s'opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l'existence d'un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.
SOURCES :
- https://www.cnil.fr/fr/respecter-les-droits-des-personnes
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3
- https://www.cnil.fr/fr/les-droits-numeriques-des-mineurs
Dossier complet répondant à mes questions