Donnée personnelle : définition
Toute personne, de sa naissance à sa mort, génère des données à caractère personnel ou « donnée personnelle », c’est-à-dire des informations qui concernent cette personne et permettent de l’identifier. C’est l’élément de base de notre vie privée.
Avec l’entrée en vigueur du Règlement Général sur la protection des Données le 25 mai 2018, la définition retenue est la suivante : « toute information se rapportant à une personne physique identifiée ou identifiable ».
Les données personnelles sont au centre des enjeux du RGPD. C’est pour assurer la protection des données à caractère personnel qu’une telle régulation a été mise en place, tant leur utilisation impacte profondément la vie privée de chacun.
Quelques précisions
Une donnée personnelle peut consister dans « toute information », dès lors que celle-ci est matérialisée, quel qu’en soit le support, l’origine, la voie de transmission, physique ou digitale.
Lorsque nous effectuons des démarches administratives, achetons un bien, souscrivons à un service, communiquons par e-mail ou sur un forum, utilisons une application mobile ou les outils digitaux de notre entreprise, nous générons des données personnelles.
Pour être qualifiée de donnée personnelle, l’information en cause doit donc concerner une personne physique – par opposition aux personnes morales (entreprises, société, etc.).
Il existe deux catégories de données personnelles :
- celles qui permettent d’identifier directement une personne physique (nom, prénom)
- celles qui permettent d’identifier indirectement une personne physique (numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou email, voix, images…)
Ainsi le terme “donnée personnelle” peut comprendre un large panel d’informations, allant de base de données CRM au simple cookie d’un site web.
Donnée sensible : définition
Certaines données présentent un caractère sensible et appartiennent à une catégorie particulière. Ce sont les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé, les données qui concernent la vie sexuelle et l’orientation sexuelle.
Le traitement de ces données est en principe interdit sauf dans l’un des cas suivants :
- la personne concernée a donné son consentement explicite au traitement de ces données personnelles
- le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
- le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées
- le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée
- le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle
- le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre
- le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail
- le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique
- le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Traitement de données personnelles
« Traitement » est le terme générique employé dans le RGPD pour désigner une opération quelconque sur des données personnelles. En effet, le RGPD s’applique aux traitements de données personnelles.
Selon la définition très large qu’en donne le RGPD, il s’agit de toute opération effectuée sur une donnée personnelle, telle que :
- la collecte
- l’enregistrement
- la structuration
- le stockage
- l’extraction
- la modification / rectification
- la consultation
- l’utilisation
- la publication
- la communication par transmission
- la diffusion ou toute autre forme de mise à disposition
- le croisement (matching) et l’interconnexion
- la limitation
- l’effacement et la destruction
La conséquence de cette définition très large est de donner un champ d’application très ample au RGPD. Au fond, toute opération sur des données personnelles, quelle que soit cette opération, est un traitement de données personnelles qui doit être répertorié par le responsable du traitement, sous l’égide du Délégué à la protection des données personnelles. A noter qu’un sous-traitant ou un prestataire peut effectuer des traitements de données pour le compte de l’entreprise en question, auquel cas il faudra redoubler de vigilance et bien intégrer tous les acteurs dans le processus de mise en conformité RGPD.
Dès lors qu’une entreprise traite des données, un aspect essentiel fait son apparition : l’entreprise doit respecter un certain nombre de droits, accordés aux personnes concernées par le traitement de données, lorsque ces dernières en font la demande.
Collecte de données
Quand on cherche à définir qu’est-ce qu’une donnée personnelle, il est indispensable d’aborder le sujet de leur collecte.
La collecte de données personnelles consiste en, comme son nom l’indique, l’action de réunir des informations personnelles sur une ou plusieurs personnes et ce par quelques moyens que ce soit (formulaire à la main lors d’une rencontre physique, récupération de base de données…), quelles qu’en soient les finalités (Marketing, RH, sales …).
La collecte de données est la première étape lorsque l’on souhaite faire du traitement (que ce soit dans le cadre de l’activité de l’entreprise ou en interne pour les Ressources Humaines, par exemple).
Collecter des données a un impact considérable sur leur sécurité et sur la protection de la vie privée des personnes. C’est pourquoi l’ensemble de ces pratiques sont strictement encadrées par le RGPD. En effet, ce dernier est venu apporter un cadre réglementaire afin de limiter les collectes de données personnelles abusives et ainsi d’assurer la protection de leurs données RGPD.
C’est notamment là qu’intervient le principe de base légale (on pense notamment au consentement qui joue une part essentielle dans le processus de respect des droits et des libertés individuelles).
Processus de minimisation
A cet égard, le RGPD consacre le principe de minimisation dans la collecte de données personnelles et prévoit que « les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Autrement dit, les entreprises ne doivent désormais collecter les données personnelles qu’à des fins spécifiques et dans des proportions qui leur sont adaptées. Il sera, dès lors, obligatoire d’indiquer le type de données collectées ainsi que la raison pour laquelle la collecte est nécessaire.
Cela permet d’assurer une totale transparence entre le responsable de traitement, à l’origine de la collecte, la personne concernée et d’offrir de meilleures garanties en matière de protection des données.
Cas d’usage
Le RGPD indique que l’enregistrement, le stockage et la consultation de données personnelles sont des traitements de ces données. Cela montre que toute opération, même complètement passive (consultation sur un site internet par exemple) peut donner lieu à une application du RGPD.
Conservation des données
Autre interrogation sur la question « Qu’est-ce qu’une donnée personnelle ? » : la conservation des données.
Conserver les données personnelles que l’on a en sa possession pendant une durée limitée et raisonnable est obligatoire afin d’assurer leur sécurité et leur fraîcheur.
Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les 2 textes s’accordent pour limiter la conservation des données personnelles dans le temps. En effet, ils indiquent que la conservation doit être proportionnée à la finalité du traitement.
Certains textes de lois fixent une durée de conservation. En l’absence de ceux-là, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi. Une fois ce délai dépassé, le responsable de traitement doit obligatoirement supprimer, anonymiser les données personnelles des personnes concernées.
Voici quelques exemples de durée de conservation :
- pour les données relatives à la gestion de la paie, la durée maximale de conservation est de 5 ans
- les données personnelles d’un prospect doivent être supprimées s’il ne répond à aucune sollicitation depuis au moins 3 ans
Droit de contrôle
Le droit à la protection des données à caractère personnel est un droit fondamental garanti par l’union européenne dans le cadre du RGPD.
Un droit de contrôle accordé à chaque individu qui peut concrètement réclamer :
- la transparence sur ce qui est et sera fait de ses données
- de pouvoir accéder à ses données
- de pouvoir rectifier les données incorrectes
- de pouvoir effacer certaines données
- de pouvoir s’opposer à un traitement notamment s’il s’agit d’un profilage
- de se voir restituer ses données
Ce sont ces différents droits qui pavent la démarche de mise en conformité RGPD. Chaque action à effectuer doit aller dans ce sens, c’est-à-dire mettre en place les processus adéquats afin de respecter ces droits et assurer une protection et un contrôle des individus sur leur vie privée.
Tout cela s’inscrit bien sûr sur une certaine période et en fonction de certaines règles. Pour autant, tout n’est pas possible.
Par exemple, un individu ne peut pas réclamer l’effacement de données si celles-ci sont détenues de manière licite ou encore si elles sont nécessaires à l’exécution d’un contrat qu’il a signé.
On le voit, il y a donc les grandes règles et les nombreux cas d’applications. D’où la nécessité d’inscrire l’ensemble de ces règles et ces conditions dans des procédures applicables à l’entreprise.
Afin de bien respecter vos obligations et sécuriser vos pratiques, nous vous conseillons de :
- centraliser la procédure de gestion des demandes
- recueillir quotidiennement les demandes
- faire collaborer les directions concernées par la demande
- disposer des outils permettant de déterminer s’il faut répondre à telle ou telle demande, ce qu’il faut répondre et comment y répondre
Et ce sont justement ces bonnes pratiques, issues de problématiques concrètes de clients, que la plateforme Data Legal Drive permet de mettre en œuvre efficacement.
Droits liés aux données personnelles
Droit à l’information
Qu’est-ce que c’est ?
Toute personne dont les données sont traitées a un droit à l’information.
Le droit à l’information est celui d’exiger de l’entité traitant ses données qu’elle fasse preuve de transparence vis-à-vis des traitements mis en œuvre et vis à vis des différents droits dont dispose la personne sur ses données.
Le contenu de cette information porte sur :
- Pourquoi : pourquoi mes données sont-elles traitées ?
- Comment : que faites-vous de mes données et pendant combien de temps ?
- Par qui : à qui communiquez-vous mes données ?
- Que puis-je y faire : quel droit de regard ai-je sur vos traitements et comment puis-je m’y opposer ?
Le RGPD ne donne pas de forme précise à la communication de l’information relative au droit à l’information, mais il impose qu’elle soit communiquée au moment précis de la collecte des données, qu’elle soit facilement accessible, compréhensible et formulée dans des termes clairs et simples. Des mentions d’informations noyées dans des conditions générales en petits caractères, rédigées de façon excessivement juridique ne sont pas conformes à cette exigence de clarté et de pédagogie.
Le mot d’ordre de ce droit est la clarté. Il faut que l’utilisateur, quelle que soit sa maturité juridique puisse prendre des décisions en toute connaissance de cause.
Il doit avoir en main toutes les clés afin de garder sous contrôle ses données à caractère personnel.
Afin de respecter ce droit fondamental, il est essentiel que la cible du traitement ait notamment connaissance :
- de l’objectif de la collecte de données et de son caractère obligatoire ou facultatif
- de l’identité du responsable du traitement
- des destinataires de ses données
- des éventuels transferts des données hors Union Européenne
- des droits qu’elle peut exercer pour garder le contrôle
Il s’agit des premières informations à faire figurer dans sa politique de confidentialité.
Plus le traitement est sensible ou massif, plus l’information fournie pour répondre au droit à l’information doit être exhaustive et claire.
Ainsi, pour un site web marchand de moyenne ou faible envergure, une politique de confidentialité de 3 ou 4 pages mise à disposition en bas de chaque page du site et listant les informations dans un langage clair, sera suffisante.
Pour une société comme Google, l’information devra obligatoirement apparaître, être absolument complète et précise tout en restant claire, avec la possibilité de naviguer dans le détail via des liens et menus contextuels. L’utilisateur doit pouvoir configurer lui-même, sur le plus grand nombre de paramètres possibles, la confidentialité de ses informations personnelles vis-à-vis de Google et des tiers.
Une attention particulière doit aussi être portée à la forme de l’information.
C’est notamment le manque de précision, de clarté et de possibilité de configuration de la politique de confidentialité de Google qui a amené la CNIL à condamner l’entreprise. De la même manière, Carrefour a été sanctionné dernièrement notamment pour non-respect des exigences sur l’accessibilité et la clarté en matière d’information des personnes.
Quelles informations communiquer aux personnes concernées ?
- Dans le cas où il s’agit d’une collecte d’informations directement auprès de l’intéressé
L’article 13 alinéa 1er prévoit que le responsable de traitement doit fournir les informations suivantes :
- L’identité et les coordonnées du responsable de traitement et le cas échéant, du représentant du responsable de traitement
- Le cas échéant, les coordonnées du Délégué à la Protection des Données (DPD, DPO).
- Les finalités du traitement auxquelles sont destinées les données personnelles et la base légale du traitement
- Les destinataires externes de ces données (prestataires, fournisseurs, partenaires…).
- Les intérêts légitimes poursuivis par le responsable de traitement, lorsque les traitements utilisent ce fondement.
En outre, pour garantir un traitement équitable et transparent des données personnelles, l’alinéa 2 dudit article impose au responsable de traitement de fournir des informations supplémentaires, à savoir :
- La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.
- L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données.
- Lorsque le traitement est fondé sur votre consentement, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
- Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel, ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que des informations sur les conséquences éventuelles de la non-fourniture de ces données.
- L’existence d’une prise de décision automatisée, y compris un profilage, produisant des effets juridiques la concernant et pouvant utiliser des catégories particulières de données, ou a minima des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
- Dans le cas où il s’agit d’une collecte d’informations indirecte
L’article 14 reprend la même liste que celle prévue par l’article 13, mais y ajoute une subtilité. En effet, lors de la collecte de données personnelles indirecte, le responsable de traitement doit fournir les catégories de données personnelles concernées par le traitement.
De plus, pour la fourniture d’informations complémentaires, le responsable de traitement doit fournir « la source d’où proviennent les données à caractère personnel et le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public » (article 14 alinéa 2).
A quel moment ces informations doivent être fournies ?
S’il s’agit de données directement collectées auprès de la personne concernée, alors les informations doivent être fournies au moment où les données en question ont été obtenues.
Si en revanche, il s’agit d’une collecte indirecte, le responsable de traitement doit fournir à la personne concernée les informations :
- Dans un délai raisonnable ne dépassant pas 1 mois, en prenant en compte les circonstances particulières dans lesquelles les données sont traitées.
- Si le responsable de traitement utilise les données d’une personne concernée dans le but de communiquer avec elle, c’est lors de la première communication que les informations doivent être fournies.
Droit d’accès
Qu’est-ce que c’est ?
Consacré par l’article 15 du Règlement Général sur la Protection des Données, le droit d’accès RGPD est le pendant du droit à l’information.
En exerçant son droit d’accès RGPD, la personne exige de l’entité qui traite ses données des informations qui sont peu ou prou les mêmes que celles qui doivent être fournies lors de la collecte des données. Mais tandis que le droit à l’information donne à la personne les informations initiales, d’un bloc, le droit d’accès permet à la personne de contrôler en temps réel ce qui est concrètement fait, à un instant T, avec ses données à caractère personnel.
Le droit d’accès est le meilleur moyen pour vérifier que l’utilisation des données n’a pas dépassé ce à quoi ils pouvaient raisonnablement s’attendre. Si cette utilisation ne lui convient plus, ou si la personne estime que l’entité ne lui a pas fourni toutes les informations requises, elle pourra exercer ses autres droits tel que le droit à l’effacement de ses données, voire aller jusqu’à saisir la CNIL d’une plainte.
En effet, la force du droit d’accès est qu’il n’est soumis à aucune condition, dès lors que la demande n’est pas manifestement abusive (par exemple qu’il ne s’agit pas d’une énième demande portant sur les mêmes données dans un temps rapproché).
L’entité est obligée de satisfaire à la demande et de livrer les informations, dans un délai d’un mois pouvant, en cas de circonstances légitimes à justifier par l’entité, être porté à deux mois.
Modèle de demande d’accès auprès de la CNIL
Cas d’usage
Prenons le cas typique de l’agence immobilière et des traitements à des fins contractuelles d’une part et marketing de l’autre.
Un propriétaire a mis son bien en gestion locative auprès d’une agence immobilière. A la fin du bail, le propriétaire résilie le contrat de gestion locative avec l’agence. Le propriétaire continue toutefois de recevoir par email des offres commerciales de la part de cette agence. Constatant que les offres sont particulièrement adaptées à sa situation et afin de connaître les informations détenues par l’agence, il exerce son droit d’accès.
En réponse, l’agence lui adresse l’ensemble des données qu’elle détient sur lui. Il a la confirmation que des données le concernant n’auraient pas dû être traitées à des fins de marketing, notamment des données liées à sa situation financière et familiale. Dans un second temps, il décide donc de retirer son consentement au traitement de ses données et de faire jouer son droit à l’effacement de ses données, arguant que le contrat est résilié.
L’agence procède à l’effacement mais prévient le propriétaire que les données strictement liées au contrat de gestion locative seront archivées pendant un temps déterminé correspondant à la période de prescription contractuelle. Elle lui confirme que toutes les autres données sont effacées et qu’il ne recevra plus d’offres commerciales.
Pour aller plus loin
Plus précisément, une personne exerçant son droit d’accès peut exiger les informations suivantes :
- les finalités du traitement
- les catégories de données concernées
- les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales
- lorsque cela est possible, la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée
- l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données, une limitation du traitement des données relatives à la personne concernée, ou bien encore le droit de s’opposer à ce traitement
- le droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL par exemple)
- lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible relative à leur source
- l’existence d’une prise de décision automatisée, comme par exemple le profilage. En tel cas, les personnes concernées sont également en droit de demander toute information utile concernant la logique sous-jacente, l’importance et les conséquences prévues de ce traitement pour elle.
Le sujet peut demander une copie des données faisant l’objet d’un traitement le concernant. Dans ce cas, le responsable de traitements peut de son côté réclamer un paiement de frais raisonnables compte tenu de la complexité & du nombre de données, et des coûts administratifs ainsi engagés.
Droit de rectification
Utiliser mes informations personnelles, oui, mais uniquement des informations exactes !
Une information personnelle trompeuse ou erronée, utilisée par une entreprise peut conduire à des conséquences néfastes, surtout quand il est question de la communication ou la conservation de ces données. Dans certains cas, la personne souhaitera la faire rectifier – compléter. C’est là qu’intervient le droit de rectification.
Le principe dont ce droit découle est un principe de loyauté : lorsqu’un tiers traite mes données, j’ai le droit d’exiger que ces données à caractère personnel soient « exactes, complètes et si nécessaire, mises à jour » compte tenu des finalités du traitement.
Comme pour le droit d’accès, ce droit n’est bien sûr soumis à aucune condition autre que la preuve du caractère inexact de l’information. La demande ne doit en outre pas être manifestement abusive.
Ce droit peut aussi s’exercer en cas de « mort numérique » : les données personnelles d’une personne décédée peuvent être modifiées ou complétées par ses ayants droits qui en feront la demande auprès du responsable de traitement.
Si les données ont plusieurs destinataires, le responsable du fichier a le devoir de transmettre les rectifications à l’ensemble des acteurs concernés.
Cas d’usage
Une donnée erronée dans un formulaire peut conduire une société à effectuer un calcul qui peut vous porter préjudice, par exemple si vous avez accès à un remboursement ou une prestation qui serait dès lors estimée à la baisse.
Même chose pour des informations portées à l’attention du public, sur un site internet par exemple : une information erronée portant sur votre situation médicale doit pouvoir être corrigée.
Pour aller plus loin
Quelles sont les conditions pour exercer son droit de rectification ?
L’article 12 du RGPD régit les modalités d’application du droit de rectification, qui est lui-même décrit dans l’article 16 du RGPD.
La personne concernée doit, dans un premier temps, prouver que ses données sont inexactes, incomplètes, périmées ou équivoques. Le responsable de traitement doit, ensuite, valider les preuves apportées par la personne concernée et porter dans les meilleurs délais la rectification des données à la connaissance à cette dernière. La charge de la preuve lui incombe dans ce cas de figure.
Comment exercer son droit de rectification ?
La personne concernée doit directement s’adresser au responsable de traitement (elle peut également s’adresser au Délégué à la Protection des Données) pour satisfaire cette demande. Ce dernier peut exiger une preuve de l’identité de la personne concernée et peut solliciter d’autres moyens de preuve afin d’y parvenir (l’exigence de pièces justificatives disproportionnées est interdite).
Un modèle de courrier est disponible sur le site de la CNIL et il est recommandé de garder une copie de votre démarche en cas de contestation et de saisie de la CNIL.
L’exercice de ce droit est sans frais pour le demandeur et est à la charge du responsable de traitement et/ou du sous-traitant, qui doit faire preuve d’un traitement dans les meilleurs délais (1 à 3 mois suivant la complexité de la requête).
Si votre entreprise ne répond pas assez vite, ou simplement en cas de refus de réponse, la personne concernée a le droit de demander la « limitation du traitement » (interdiction de tout traitement des données concernées), et peut porter plainte auprès de l’autorité de contrôle.
Limites au droit de rectification
Le droit de rectification ne peut s’appliquer lorsqu’il s’agit de traitements de données journalistiques, artistiques ou littéraires. Par ailleurs, pour protéger la confidentialité des enquêtes, les traitements relatifs aux fichiers de police, de renseignement, de gendarmerie et de FIBOCA sont exclus du champ d’application de ce droit.
Un modèle de contenu personnalisable relatif à la demande de rectification est disponible sur le site de la CNIL.
Droit à l’effacement / Droit à l’oubli
Qu’est-ce que c’est ?
Au sens propre du terme, il n’existe pas de droit à l’oubli RGPD, uniquement un droit à l’effacement RGPD.
Le droit à l’effacement permet de demander la suppression complète de ses données. Mais attention : la détention et l’utilisation de ses données, par une entreprise par exemple, peut tout à fait être légitime. C’est pourquoi l’exercice du droit à l’effacement est encadré par des conditions assez strictes : la personne concernée devra démontrer que le traitement de ses données par l’entreprise n’est plus légitime, soit qu’il ne l’a jamais été, soit qu’il ne l’est plus.
Pour exercer son droit à l’oubli, il faut un motif : par exemple les données ne sont plus conservées pour les finalités qui ont été déclarées lors de la collecte des données.
Mais même en présence d’un motif, l’entreprise peut arguer de justifications en cas d’intérêts légitimes : par exemple si le traitement des données est nécessaire à la liberté d’expression et d’information.
Il lui est également possible de demander des justificatifs d’identité (dans la mesure du raisonnable) en cas de doutes justifiés quant à l’identité de la personne émettant la requête.
Une personne concernée peut procéder à une demande d’effacement :
- par voie électronique (formulaire, adresse mail etc.)
- par voie physique (courrier …)
Il est indispensable de tout mettre en œuvre pour permettre à la personne d’exercer pleinement son droit à l’effacement, en lui donnant toutes les informations nécessaires à son exécution (modalités de l’exercice de droits, coordonnées du responsable de traitements, identité du DPO…)
La mise à disposition de ces informations sur le site Internet de l’entreprise à travers des Mentions Légales, politique de confidentialité ou encore au travers de Conditions Générales d’Utilisation s’avère ainsi recommandée, et même obligatoire pour toute entreprise possédant un site web, sous peine d’être épinglé par son autorité de contrôle.
Pour répondre à une demande d’effacement, l’entreprise dispose d’entre 1 et 3 mois à partir de la demande initiale si elle est jugée légitime (en fonction de la complexité de la demande).
Cas d’usage
Un fournisseur d’accès à Internet détient des données personnelles sur vous, nécessaires à l’exécution du contrat de fourniture d’accès à internet et/ou qu’elle est obligée de conserver pour des raisons légales (recherche d’infractions par les autorités judiciaires, etc.).
Une fois le contrat expiré, ces données doivent être conservées par l’entreprise afin se prémunir contre un procès qui pourrait lui être intenté, pendant le temps de la prescription applicable. Pendant ce temps, l’exercice du droit à l’effacement serait inefficace : l’entreprise peut refuser d’effacer vos données.
En revanche, une fois l’ensemble des délais de conservations expirés, l’entreprise est obligée de satisfaire à votre demande d’effacement et de vous confirmer formellement y avoir procédé, sous peine de traitement illicite de données par l’entreprise.
Pour aller plus loin
Seuls les motifs suivants permettent d’exercer son droit à l’effacement
- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.
- la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement.
- la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement.
- les données à caractère personnel ont fait l’objet d’un traitement illicite.
- les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis.
Les justifications suivantes permettent de continuer à traiter les données même en présence d’un motif légitime, lorsque le traitement est nécessaire :
- pour respecter l’exercice du droit à la liberté d’expression et d’information.
- pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
- pour des motifs d’intérêt public dans le domaine de la santé publique
- à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou bien encore à des fins statistiques
- à la constatation, à l’exercice ou à la défense de droits en justice.
Droit d’opposition
Qu’est-ce que c’est ?
Toute personne physique a le droit de s’opposer à tout moment, pour des raisons X ou Y, à ce que ses données personnelles soient utilisées par des organismes, comme dans le cas d’un traitement à des fins de prospection commerciale par exemple. Et ce même si le traitement répond à une finalité légitime.
Contrairement au droit à l’effacement, en exerçant son droit d’opposition, la personne concernée demande à l’entreprise de ne plus traiter ses données à l’avenir, sans nécessairement demander à ce qu’elles soient effacées.
Néanmoins, le droit d’opposition est relatif. Si dans la majorité des cas, la personne concernée peut faire valoir ce droit sans exposer de motifs au préalable, certains traitements nécessitent d’avancer des motifs légitimes pour exercer son droit d’opposition. Précisément, le RGPD exige que son exercice soit justifié par « des raisons tenant à sa situation particulière ».
Cas d’usage
Votre entreprise envoie une newsletter relative à ses dernières nouveautés dans l’objectif de maintenir le contact avec vos prospects. Les adresses mails de vos prospects sont donc utilisées à des fins marketing, et n’est fondé que sur le consentement que vous ont donné lesdits prospects.
Les prospects en question doivent pouvoir exercer leur droit d’opposition RGPD, dès qu’ils estiment que ce traitement (l’utilisation de l’adresse mail pour leur envoyer des messages de prospection) ne leur convient plus, afin que leurs adresses soient retirées des listes d’envois.
C’est pourquoi chaque email que vous envoyez doit contenir un lien de désinscription : en l’utilisant, vos contacts exercent leur droit d’opposition, leur permettant de s’opposer à l’envoi de nouveaux emails sur leurs adresses d’un simple clic.
Pour aller plus loin
Comment exercer le droit d’opposition ?
Aucun formalisme n’est exigé. Autrement dit, la personne concernée peut procéder par voie électronique via un formulaire spécifique ou encore sur un compte en ligne (site internet), en ayant préalablement identifié le responsable de traitement.
L’exercice de ce droit est gratuit, et doit pouvoir être exercé par toute personne concernée de manière simple et intuitive.
Comme pour tous les autres droits abordés, il est essentiel de bien informer la personne concernée de l’existence de ses droits, ainsi que des modalités pour leur exercice, au travers par exemple de mentions légales.
En cas de non-réponse, ou de réponse insatisfaisante après un mois, la personne concernée peut prendre la décision de saisir l’autorité de contrôle concernée.
Quelles sont les limites du droit d’opposition ?
L’article 38 du RGPD énonce les limites au droit d’opposition.
Si la demande d’opposition ne concerne pas la prospection commerciale, le responsable de traitement peut justifier son refus pour plusieurs raisons :
- S’il existe des motifs légitimes et impérieux à traiter les données ou que celles-ci sont nécessaires à la constatation, à l’exercice ou la défense des droits en justice
- Ce droit peut être écarté si la personne concernée y a consenti contractuellement ou lorsque le traitement des données personnelles est fondé sur un intérêt légitime.
Droit à la portabilité
Qu’est-ce que c’est ?
Comment ne pas rester enfermé dans un contrat avec une entreprise et récupérer ses données à caractère personnel pour changer de prestataire ? C’est à cette question que le droit à la portabilité répond.
Nouveau droit consacré par le RGPD (depuis le 25 mai 2018), la demande de portabilité permet aux personnes concernées d’avoir la possibilité de récupérer leurs données personnelles « dans un format structuré, couramment utilisé et lisible par une machine », de sorte à ce qu’elles puissent procéder à un transfert des données vers un nouveau responsable de traitements.
Ce droit n’est pas absolu. Il ne concerne que les données traitées de manière automatisée et ne s’applique que si le consentement a été collecté ou que le traitement est nécessaire à l’exécution d’un contrat.
Le droit à la portabilité des données – CNIL 2019
Le responsable de traitement doit informer les personnes concernées de l’existence de ce nouveau droit de façon « concise, transparente, compréhensible et aisément accessible, en des termes claires et simples », notamment au sein des mentions légales du site internet de l’entreprise.
Les personnes concernées doivent prendre connaissance de ce droit avant toute clôture de compte afin qu’elles puissent transmettre leurs données personnelles vers un autre responsable de traitement et démarrer un nouveau traitement de données.
Cas d’usage
Mon entreprise, fournissant des télévisions connectées, traite les données de préférences de nos clients, afin de leur offrir plus de confort dans leur utilisation au quotidien. Un nouveau client potentiel, visiblement non-satisfait des services d’un de mes concurrents, entre en contact avec mon entreprise afin d’obtenir un nouveau téléviseur connecté.
Mais un grand nombre de ses préférences ont été enregistrées par le système du concurrent, et il serait impossible ou trop contraignant pour lui de les réenregistrer manuellement.
En exerçant son droit à la portabilité des données, il exige du précédent prestataire qu’il nous fournisse les données dans un format adapté pour réintégrer les préférences du client dans le nouveau système.
Crédits photos :
Austin Distel, Unsplash
Dan Nelson Ah, Unsplash
Agence Olloweb, Unsplash