Les droits des personnes concernées

 

Dans le cadre du GDPR, de nouveaux droits apparaissent, dont le droit à la portabilité des données. En synthèse, les droits sont :

  • (droit d’accès) le droit d’obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées. Si elles le sont, alors la personne a le droit d’avoir toutes les informations ci-avant visées (que nous avons appelées « notice données personnelles »). Le responsable du traitement fournit une copie (format ouvert) des données faisant l’objet d’un traitement ;
  • (droit de rectification) le droit de rectifier les données la concernant qui sont inexactes ;
  • (« droit à l’oubli ») le droit à l’effacement de données la concernant. Le responsable du traitement a l’obligation d’effacer ces données si:
    • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière; ou
    • la personne concernée retire son consentement et s’il n’existe pas d’autre fondement juridique au traitement; ou
    • la personne concernée s’oppose à un traitement de décision individuelle (droit d’opposition); ou
    • les données à caractère personnel ont fait l’objet d’un traitement illicite; ou
    • en cas de respect d’une obligation légale.

 

Lorsqu’il a rendu publique les données, le responsable du traitement doit informer les autres responsables du traitement qui traitent ces données que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.

  • (droit à la limitation du traitement) le droit d’obtenir du responsable du traitement la limitation du traitement en cas :
      • d’inexactitude des données, au moins le temps que le responsable du traitement vérifie l’exactitude des données; ou
      • d’opposition au traitement, au moins le temps que le responsable du traitement vérifie si les motifs légitimes poursuivis par lui-même prévalent sur ceux de la personne concernée.
      • d’illicéité du traitement; ou
      • de nécessité pour la personne concernée des données pour la constatation, l’exercice ou la défense de droits en justice alors que le responsable du traitement n’en a plus besoin ; ou
  • (droit à la portabilité des données) le droit de recevoir, dans un format structuré et ouvert, les données la concernant et qu’elles ont fournies à un responsable de traitement. Ce droit va même jusqu’à la transférabilité puisqu’une personne a le droit de demander au responsable de transmettre ces données à un autre responsable du traitement pour les traitements fondés sur le consentement ou sur l’exécution d’un contrat. A ce jour, ce droit est encore un peu flou et de nombreuses interrogations subsistent. Il semblerait que seules les données reçues directement de la part de la personne concernée soit visées par cette obligation et non toutes les données reçues (de toutes parts) concernant la personne.
  • (droit d’opposition) le droit de s’opposer, pour des raisons tenant à sa situation particulière, à un traitement nécessaire à l’exécution d’une mission d’intérêt public, relevant de l’exercice de l’autorité publique ou nécessaire aux fins des intérêts légitimes. Ce droit existe évidemment en cas de prospection commerciale ;
  • (droit à l’intervention humaine) le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage. Toutefois, ce droit est limité puisqu’il n’est pas possible, a priori, de réclamer une intervention humaine lorsque la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ; ou est autorisée par le droit national ou a été explicitement et préalablement autorisée de la personne concernée. Exception à l’exception puisque la personne peut, malgré tout, obtenir une intervention humaine de la part du responsable du traitement, exprimer son point de vue et contester in fine la décision.

Ces droits et obligations sont encadrés par une responsabilité stricte des responsables de traitement qui auront à mettre en place des procédures internes importantes pour être conformes au GDPR. Cette transformation sera importante, pour tous les acteurs traitant des données personnelles, car les sanctions seront lourdes, allant jusqu’à 4% du CA mondial.