En plus du renforcement des sanctions et de la responsabilisation du responsable de traitement, le RGPD a conféré plus de droits aux personnes concernées. Celles-ci ont en effet désormais le droit d’accéder à leurs données, de les effacer, de les rectifier, de les recevoir dans un format lisible par une machine, de s’opposer au traitement ou encore de le limiter. Ces prérogatives confèrent plus de pouvoir aux personnes concernées et leur permette, en quelque sorte, de décider du sort de leurs données.
Un process à définir
Ces nouveaux droits impliquent que le responsable de traitement mette en place en interne les mesures nécessaires à la gestion des demandes. Il doit ainsi notamment désigner une ou plusieurs personnes en charge de leur traitement, intégrer un process spécifique en identifiant les actions à effectuer et définir le moyen via lequel les individus peuvent adresser leurs demandes. Ce processus doit exiger le traitement de la demande dans un délai d’un mois. La prolongation dudit délai de deux mois est toutefois possible dans le cas où la demande est complexe ou au vu du nombre des demandes. Ce processus doit également prévoir la nécessité d’impliquer dans certains cas les sous-traitants et/ou les destinataires des données afin d’assurer un traitement effectif des demandes.
Par ailleurs, le procédé établi doit faciliter l’exercice des droits par les personnes et le moyen de contact mis à leur disposition ne doit pas les décourager de formuler des demandes. L’APD recommande ainsi de recourir à des moyens électroniques en affichant à titre d’exemple un formulaire en ligne sur le site internet de l’organisme. Prévoir des moyens simples est en effet indispensable pour un respect effectif de ces règles. Ainsi, dans une décision du 16 décembre 2021 ayant pour objet de vérifier si les systèmes d’information d’une banque sont conformes aux exigences du RGPD sur les droits des personnes, l’APD estime que l’impossibilité de rectifier le nom des clients qui demandent l’indication de signes diacritiques dans leur nom constitue une violation des articles 5.1 d) et 16 du RGPD, l’organisme n’étant pas en mesure de respecter pleinement le droit de rectification.
Une information à transmettre
Une des obligations élémentaires à respecter pour assurer un respect effectif des exigences relatives aux droits des personnes est l’obligation d’information. L’information des personnes intervient, en effet, à deux stades : au moment de la collecte ou encore de l’utilisation des données pour permettre à la personne de connaitre l’ensemble de ses droits, et lors de la réception d’une demande pour l’informer de la suite donnée à sa requête.
Le responsable de traitement doit en effet informer la personne d’un certain nombre de renseignements listés par les articles 13 et 14 du RGPD, dont notamment les droits dont elle bénéficie et les moyens permettant de les exercer. Par ailleurs, dans le cas où la personne effectue une demande, elle doit être informée des mesures prises. Cette information doit également porter sur le retard éventuel et les motifs du report si le délai d’un mois exigé pour le traitement des demandes a été prolongé. Aussi, dans le cas où la demande est infondée ou excessive, la personne doit être informée du refus de donner une suite positive à la demande et de la possibilité d’introduire une plainte auprès d’une autorité de contrôle.
Ces exigences découlent du principe de transparence auquel est soumis tout organisme traitant des données personnelles. Comme le précise justement l’APD (Autorité de Protection des Données), la transparence joue un rôle important dans l’exercice des droits des personnes et il faudrait veiller à informer la personne de l’existence de l’ensemble des droits. Elle ajoute également que les organismes doivent communiquer dans un langage compréhensible et clair avec la personne effectuant la demande. Elle recommande de plus de transmettre les informations par couche, cette forme d’affichage permettant de concilier l’exigence de concision et d’exhaustivité et d’éviter « qu’un excès d’informations nuise à la transparence et que la personne concernée se noie dans une abondance d’informations ».
Des droits limités
Ces droits ne s’appliquent pas à tous les traitements de données et concernent des cas bien spécifiques. Ainsi, par exemple, si la personne concernée peut à tout moment demander d’accéder à ses données ou de les rectifier, il n’en est pas de même pour les droits à l’effacement, de limitation, d’opposition ou encore de portabilité qui ne sont pas absolus. Ces exceptions se retrouvent aux articles 15 et suivants du RGPD, et il revient à l’organisme qui reçoit la demande de vérifier si le droit concerné s’applique. L’APD précise ainsi que l’organisme doit procéder à une mise en balance des intérêts dans le cas où il reçoit une demande d’opposition sauf lorsqu’il s’agit d’opérations de marketing direct. Il doit en effet cesser tout traitement des données personnelles à moins qu’il n’existe des motifs impérieux prévalant sur les droits et libertés de la personne concernée qui doivent être communiqués à la personne concernée. Un autre exemple fourni par l’APD concerne le droit à l’effacement. Elle précise qu’un membre du personnel licencié ne peut demander l’effacement des données de son dossier du personnel et l’organisme doit rejeter une telle demande, étant obligé de conserver pendant 5 ans un certain nombre de documents sociaux.
Au vu de ces applications limitées, les demandes d’exercice de droit ont fait l’objet de contentieux de nombreuses fois. Ainsi, dans une décision belge récente 1, l’APD a admis que la plaque d’immatriculation personnalisée d’un véhicule appartenant à un gérant d’une société constitue certes une donnée personnelle, mais que son utilisation fortuite dans un programme télévisé relevait de la liberté d’expression artistique prévalant sur les inconvénients subis par le gérant et ne permettant pas l’effacement des données.
L’APD 2 considère par ailleurs dans une décision du 16 juin 2022 que l’organisme a refusé à juste titre la demande d’effacement des données concernant des articles de presse disponibles dans les archives en ligne d’un éditeur dans la mesure où le droit à la liberté d’expression et d’information l’emporte.
Par ailleurs, l’APD a considéré dans une décision belge de juillet 2020 3 que l’hôpital a manqué à ses obligations découlant des articles 12.4 et 15.3 du RGPD dans la mesure où la finalité du rapport produit par un expert externe importe peu et que c’est l’existence ou pas de données personnelles qui doit être prise en compte. Une personne avait en effet exercé son droit d’accès pour obtenir la copie d’un rapport. L’hôpital a refusé la demande au motif que la personne n’a pas justifié l’existence de données personnelles dans le rapport, que l’objectif du rapport était d’évaluer le fonctionnement du service de radiologie dirigé par la personne et non de collecter ses données personnelles, et pour des motifs de confidentialité et de respect du droit d’auteur.
L’APD rappelle ainsi que la notion de données personnelles comporte les données qui résultent d’éléments objectifs et subjectifs se trouvant dans une évaluation ou un jugement. Elle admet également que l’hôpital a manqué à son obligation de vérifier l’existence de données personnelles dans le rapport. Elle admet en plus qu’il revient au responsable de traitement de mettre en place les mesures nécessaires permettant l’exercice des droits des personnes, en incluant par exemple une clause dans le contrat avec l’expert externe qui lui aurait permis de communiquer le rapport. Elle précise en plus que le droit d’obtenir une copie des données personnelles traitées ne requiert pas la transmission d’une copie du document pouvant porter atteinte aux droits et libertés d’autrui, et que l’hôpital aurait pu permettre une simple consultation sur place du rapport.
1 Décision APD quant au fond n°188-2022
