Sélectionner une page

Le RGPD est peut-être une législation destinée aux responsables du traitement des données (et aux entreprises), mais ce sont les personnes concernées qui sont véritablement au cœur du texte.

Toutes les règles, restrictions et exigences contenues dans le RGPD ont en commun l’objectif de protéger les personnes concernées (ou les utilisateurs) et de faire respecter leurs droits.

La RGPD énonce explicitement son engagement envers les citoyens européens et les personnes concernées dès le début de la législation. Le chapitre 3 du RGPD enregistre ces droits comme les droits de la personne concernée.

Le chapitre 3 énonce huit droits distincts auxquels tous les Européens ont droit et que votre organisation doit faire respecter dans le cadre de vos pratiques en matière de données. Les huit droits de l’utilisateur sont les suivants :

  • Le droit à l’information
  • Le droit d’accès
  • Le droit à la rectification
  • Le droit à l’effacement
  • Le droit à la limitation du traitement
  • Le droit à la portabilité des données
  • Le droit d’objection
  • Le droit d’éviter la prise de décision automatisée

Examinons quelques une d’entre elles tour à tour et voyons des exemples de la manière dont vous pouvez divulguer ces droits dans votre politique de confidentialité afin que vos utilisateurs puissent les exercer s’ils le souhaitent.

1. Le droit à l’information

Le premier de ces huit droits figure dans les articles 13 et 14 du RGPD. L’article 13 fait référence aux informations que vous devez fournir lorsque vous collectez des données personnelles directement auprès des personnes concernées. L’article 14 couvre vos responsabilités lorsque vous obtenez des données sur la personne concernée auprès d’un tiers ou indirectement.

Il stipule que la personne concernée a le droit de demander à un responsable du traitement quel type de données il traite et pourquoi il en a besoin.

2. Le droit d’accès

L’article 15 décrit le premier droit mentionné dans le RGPD : le droit d’accès.

Le droit d’accès permet à la personne concernée d’accéder aux données personnelles la concernant que vous traitez. 

Le droit d’accès ajoute une couche supplémentaire de transparence à vos activités de traitement car il permet aux personnes concernées de confirmer les données que vous possédez par rapport à celles que vous dites posséder. Il leur permet également d’exercer d’autres droits, comme le droit de rectification ou le droit d’effacement.

3. Le droit de rectification

L’article 16, le droit de rectification, donne aux personnes concernées européennes le droit de changer ou de modifier les données qu’elles vous fournissent lorsqu’elles estiment que les données sont inexactes ou périmées. Vous devez le faire « sans retard injustifié ».

Le droit de rectification va également de pair avec l’un des six principes de confidentialité du RGPD- l’exactitude des données – car il met davantage l’accent sur la nécessité de conserver des données exactes.

4. Le droit à l’effacement

L’article 17 décrit le droit de l’utilisateur à l’effacement, mieux connu sous le nom de droit d’être oublié.

L’article indique que la personne concernée a le droit de demander à un responsable du traitement d’effacer ses données sans délai excessif

Lorsque vous prenez la décision d’effacer les données d’une personne concernée en vertu du droit d’effacement, vous devez également partager la demande. Tous les autres responsables du traitement ou sous-traitants avec lesquels vous avez un contrat doivent également être informés de l’effacement afin qu’ils puissent également effacer les données :

  • Liens vers…
  • Copies de…
  • Reproduction des données à caractère personnel

5. Le droit à la limitation du traitement

L’article 18 décrit le droit de la personne concernée de demander la limitation du traitement sous certaines conditions. Cela signifie que vous devez cesser temporairement le traitement de ses données comme demandé tant que sa demande répond à l’une des conditions suivantes :

  • La personne concernée conteste l’exactitude des données ;
  • La personne concernée s’oppose à un traitement illicite et la personne concernée préfère que vous limitiez le traitement plutôt que d’effacer ses données ;
  • Le responsable du traitement n’a pas besoin des données pour le traitement, mais il doit les conserver en vertu de la « constatation, l’exercice ou la défense d’un droit en justice ».

6. Le droit à la portabilité des données

Le droit à la portabilité des données énoncé à l’article 20 fait référence au droit de la personne concernée de recevoir les données à caractère personnel détenues par le responsable du traitement dans un format commun et de les envoyer à un autre responsable du traitement ou de les utiliser à des fins personnelles, dans certaines circonstances.

7. Le droit d’objection

L’article 21 définit ce que l’on appelle le droit d’objection.

En termes simples, il indique que les personnes concernées ont le droit de s’opposer au traitement de vos données, y compris le profilage, lorsque celui-ci est fondé sur des motifs pertinents.

Le RGPD prend le droit d’opposition au sérieux. Vous devez partager le droit d’opposition avec chaque personne concernée dès que possible ou « au plus tard au moment de la première communication avec la personne concernée ».

8. Le droit d’éviter la prise de décision automatisée

Le huitième et dernier droit offert par le RGPD réside dans l’article 22 : la prise de décision automatisée, y compris le profilage.

Le droit d’éviter la prise de décision automatisée est assorti de trois exceptions lorsqu’il ne peut être exercé :

  • Lorsqu’une prise de décision automatisée est nécessaire pour conclure ou achever un contrat ;
  • Lorsque le contrôle est autorisé par l’UE ou un État membre et qu’il utilise des garanties pour protéger les intérêts et la liberté du sujet ;
  • Lorsque le profilage ou la prise de décision se fait avec le consentement explicite du sujet.

Afin de ne rien oublier, constituez-vous un checklist RGPD à respecter !