RGPD #2 – Quels sont les nouveaux droits des personnes dont les données sont traitées ?
Le RGPD (Règlement général pour la protection des données personnelles), a été adopté par l’Union Européenne pour protéger les personnes physiques dont les données sont traitées. Il renforce l’obligation d’information à leur égard, et encadre leur consentement par des conditions rigoureuses (voir RGPD #1 – Qu’est ce que le RGPD). Mais ce n’est pas tout puisqu’il renforce et multiplie aussi les droits des personnes physiques concernées.
Les droits renforcés ou maintenus
-
Droit d’opposition (article 21)
Les personnes pourront désormais s’opposer à un traitement de leurs données personnelles, à condition de justifier d’un motif légitime. Le responsable de traitement pourra toutefois passer outre cette opposition s’il parvient lui-même à prouver qu’il existe un motif légitime supérieur à celui qui est avancé par la personne, et qui justifie que le traitement soit poursuivi.
-
Droit de rectification (article 16)
Si des données sont erronées, la personne concernée peut les faire corriger dans les meilleurs délais.
-
Droit à la mort numérique
(Loi pour une République numérique – article 40.II Loi Informatique et Libertés)
Toute personne peut donner des directives quant au traitement qui devra être fait de ses données après sa mort, qui peuvent être générales ou concerner certains traitements en particulier.
Les droits nouveaux
-
Droit à la limitation du traitement (article 18 et article 4.3)
Par principe temporaire, la limitation permet que les données soient « gelées » pendant le temps nécessaire : elles seront seulement conservées mais ne pourront plus être traitées qu’avec le consentement de la personne concernée. La limitation peut être demandée dans quatre cas :
- quand la personne conteste l’exactitude des données, le temps nécessaire aux corrections,
- quand le traitement est illicite mais que la personne ne veut pas que les données soient effacées,
- quand les données ne sont plus nécessaires au traitement consenti, mais que la personne veut qu’elles soient conservées pour pouvoir les produire en justice,
- ou quand la personne exerce son droit d’opposition au traitement.
-
Droit de s’opposer au profilage (article 13)
Le profilage consiste à croiser et analyser les données personnelles pour associer le profil de la personne analysée à une catégorie déterminée (par exemple une femme d’une cinquantaine d’années, sportive, mère de plusieurs enfants…). Cela permet de prédire les comportements et les préférences de la personne (qui devrait avoir les mêmes habitudes que les personnes de sa catégorie), ce qui est utile par exemple pour envoyer des publicités ciblées.
Le profilage n’est pas interdit mais fortement encadré par le RGPD.
- Tout profilage devra être précédé d’une étude d’impact.
- Les personnes concernées devront être prévenues qu’elles font l’objet d’un profilage, et des conséquences que cette méthode implique pour elles.
- En outre, le règlement interdit que ces personnes fassent l’objet d’une décision uniquement fondée sur le profilage. Ainsi par exemple, aucune banque ne peut décider de refuser un crédit à une personne en se déterminant uniquement à partir des résultats du profilage, sans laisser à la personne la possibilité de présenter des observations. Des dérogations sont toutefois prévues lorsque la personne a donné son consentement au profilage, qu’il est nécessaire à la conclusion ou l’exécution d’un contrat entre la personne et le responsable du traitement, ou encore qu’il est prévu par la loi.
-
Droit à la portabilité des données (article 20)
C’est le droit pour une personne de récupérer ses données auprès d’un responsable de traitement, afin de les transférer ou de les faire transférer directement à un autre responsable de traitement.
Certains traitements font cependant exception à cette règle (les « traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement »).
-
Droit à l’effacement (article 17)
Aussi appelé droit à l’oubli, il aboutit non seulement à l’effacement des données, mais également au déréférencement des données sur un moteur de recherche.
Il peut être demandé dans cinq cas :
- Quand la personne retire son consentement.
- Quand les données ne sont plus nécessaires au regard de la finalité du traitement.
- Quand la personne exerce son droit d’opposition.
- Quand le traitement est illicite.
- Quand la collecte concerne un mineur de 16 ans en l’absence de consentement de ses représentants légaux.
- Ou encore quand les données doivent être effacées pour se conformer à une obligation légale.
En conséquence, le responsable de traitement doit effacer les données et les déréférencer dans les moteurs de recherches. Il doit informer les tiers de la demande d’effacement mais n’a qu’une obligation de moyens puisqu’il n’est pas responsable si les données sont réutilisées par d’autres opérateurs.
Certaines situations permettent toutefois de faire échec à ce droit à l’effacement comme par exemple un motif de santé publique.
Au regard du nombre et de l’importance de ces droits, il reviendra aux responsables de traitement de créer un module par lequel les personnes dont les données sont traitées pourront soumettre leurs demandes de rectification, effacement… Ils devront également veiller à expliquer ces droits aux personnes concernées avant de recueillir leur consentement, pour se conformer à leur obligation d’information préalable.
ALATIS est prêt à vous accompagner dans votre mise en conformité avec le RGPD, contactez-nous : contact@alatis.eu.
Voir aussi : Qu’est ce que le RGPD ?
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !