L’EXERCICE DU DROIT DES PERSONNES (RGPD)

Print Friendly, PDF & Email

Chaque personne a des droits sur le traitement de ses données personnelles, en vertu du Règlement Européen sur la Protection des Données (RGPD). Ces droits s’appliquent à tous les citoyens européens, sans distinction.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Face à la manipulation de nos données par les entreprises du numérique, l’exercice de ces droits est une réponse aux dérives potentielles de leur utilisation. D’une part, ces droits sont un moyen de sensibiliser les utilisateurs et, d’autre part, ils permettent aux utilisateurs de prendre le contrôle de leurs informations personnelles. Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu et nécessite des conditions de mise en œuvre. En outre, le responsable du traitement doit respecter les contraintes visant à faciliter la mise en œuvre de ces droits.

I. Les dispositions communes à tous les droits de la personne concernée

  1. Qualité des personnes titulaires des droits

Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s’étendent pas aux données relatives aux personnes morales. En principe, seul l’individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits. Toutefois, il peut arriver que la jurisprudence autorise d’autres personnes physiques à se prévaloir de la qualité de « personne concernée » lorsque leurs données personnelles font l’objet d’un traitement. Cette situation s’est présentée pour la première fois dans le cadre d’un arrêt du Conseil d’État en date du 29 juin 2011 concernant le droit d’accès, exercé en vertu de la loi « Informatique et Libertés ». Cependant, ces circonstances sont rares et se sont jusqu’à à présent appliquées uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d’obtenir les données personnelles du défunt.

  1. Les modalités d’exercice des demandes de droits

Pour exercer ses droits en matière de protection des données personnelles, il convient de s’adresser directement au responsable du traitement des données. Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s’adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu’il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d’une preuve de la demande et de son point de départ pour le délai de réponse du responsable de traitement.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


  1. Les obligations des responsables de traitements

Lorsqu’une demande d’exercice de droit est destinée à un organisme, celui-ci doit respecter un ensemble d’obligations telles que la vérification de l’identité de la personne qui fait la demande, ainsi que la mise en place de garanties pour le traitement de la demande.

  1. Les vérifications préalables

Avant de traiter une demande d’exercice de droits formulée par une personne physique, le responsable de doit traiter des vérifications pour s’assurer de la qualité de l’intéressé et de son identité. Dans certains cas, la communication d’un justificatif peut être exigée, mais ce n’est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l’utilisation de données d’identité numérique.

  1. Les modalités de réponse et les garanties assorties

  1. Les modalités et les délais de réponse

Conformément à l’article 12 du RGPD, le responsable du traitement dispose d’un mois pour répondre à une demande d’exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l’organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d’un mois.

Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu’à la réception de ces informations.

Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, au moins que le demandeur ne donne des instructions contraires. Si la réponse doit être envoyée par la poste, il est conseillé d’utiliser une lettre recommandée avec accusé de réception. Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.

Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c’est-à-dire la suspension de l’utilisation de ses données.

Il est important de noter que le responsable du traitement n’est pas tenu de répondre à une demande qui se manifeste infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.

  1. Les garanties assorties à l’exercice du droit des personnes

Le responsable du traitement doit veiller à ce que l’exercice d’un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d’autrui, en ne communiquant que les données de cette personne. De plus, il doit également s’assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle. L’exercice des droits des personnes concernées est en principe gratuit. Cependant, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l’exercice des droits de la personne concernée.

  1. Les obligations spécifiques à l’exercice de certains droits

Selon l’article 19 du RGPD, le responsable de traitement est tenu d’informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires. Ainsi, le responsable du traitement a l’obligation de notifier les destinataires de ces actions concernant les données personnelles.

II. Les dispositions particulières propres à chaque droit

  1. Le droit d’accès

Selon l’article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d’accéder à ces données personnelles. En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc. Cependant, ce droit d’accès absolu est assorti de deux limites : d’une part, les fichiers de police ou liés à la sécurité de l’État ne peuvent pas faire l’objet d’une demande d’accès, et d’autre part, le responsable du traitement n’est pas tenu de répondre si la demande est infondée ou excessive.

  1. Le droit de rectification

L’article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d’ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l’exactitude et l’actualisation des données. Cependant, il convient de noter que ce droit ne s’applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.

  1. Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du RGPD prévoit le droit à l’effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé « droit à l’oubli », est différent du droit à l’effacement.

En effet, le droit à l’effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d’un moteur de recherche. Le droit à l’effacement n’est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d’expression et d’information, à des fins archivistiques, de recherche scientifique ou statistique, etc.

  1. Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation.

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite, mais la personne concernée préfère que le traitement soit limité plutôt que ses données soient effacées.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

  1. Le droit à la portabilité des données à caractère personnel

Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d’opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l’a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d’inclure le droit à la portabilité dans le règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

  1. Le droit d’opposition

Le droit d’opposition, énoncé à l’article 21 du RGPD, permet à une personne concernée de s’opposer à l’utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s’applique notamment lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées ont toujours le droit de s’opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d’opérations de prospection commerciale.

Si la demande d’opposition ne concerne pas la prospection, l’organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.

En outre, le droit d’opposition ne s’applique pas lorsque la personne concernée est liée par contrat avec l’organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne physique, le droit d’opposition ne s’applique pas non plus.

  1. Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD accorde à toute personne le droit de s’opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l’existence d’un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.

III. Les sanctions

Le RGPD prévoit des sanctions pour les organismes qui ne respectent pas les règles de protection des données personnelles. Ces sanctions peuvent être très lourdes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé.

Les autorités de contrôle, comme la CNIL en France, sont chargées de veiller à la mise en œuvre du RGPD et de sanctionner les organismes qui ne respectent pas les règles. Elles peuvent ordonner la cessation du traitement des données, la rectification, l’effacement ou le verrouillage des données, ou encore la suspension ou le retrait de l’autorisation de traitement des données.

En outre, les personnes concernées peuvent également intenter des actions en justice pour obtenir des dommages et intérêts pour le préjudice subi du fait du traitement de leurs données personnelles en violation du RGPD.

Il est donc très important pour les organismes qui travaillent avec des données personnelles de se conformer aux règles du RGPD afin d’éviter des sanctions financières lourdes et de protéger la vie privée des personnes concernées.

Pour lire une version plus complète de cet article sur la protection de la vie privée, cliquez

SOURCES :

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.