RGPD : Les droits de contrôle accordés aux individus

Droit à l’information

Qu’est-ce que c’est ?

Toute personne dont les données sont traitées a un droit à l’information.

Le droit à l’information est celui d’exiger de l’entité traitant ses données qu’elle fasse preuve de transparence vis-à-vis des traitements mis en œuvre et vis à vis des différents droits dont dispose la personne sur ses données.

Le contenu de cette information porte sur :

  • Pourquoi : pourquoi mes données sont-elles traitées ?
  • Comment : que faites-vous de mes données et pendant combien de temps ?
  • Par qui : à qui communiquez-vous mes données ?
  • Que puis-je y faire : quel droit de regard ai-je sur vos traitements et comment puis-je m’y opposer ?

Le RGPD ne donne pas de forme précise à la communication de l’information relative au droit à l’information, mais il impose qu’elle soit communiquée au moment de la collecte des données, qu’elle soit facilement accessible, compréhensible et formulée dans des termes clairs. Des mentions d’informations noyées dans des conditions générales en petits caractères, rédigées de façon excessivement juridique ne sont pas conformes à cette exigence de clarté et de pédagogie.

Droit à l’information : cas d’usage

Plus le traitement est sensible ou massif, plus l’information fournie pour répondre au droit à l’information doit être exhaustive et claire.

Ainsi, pour un site web marchand de moyenne ou faible envergure, une politique de confidentialité disponible en bas de chaque page du site, de 3 ou 4 pages, listant les informations dans un langage clair, sera suffisante.

Pour une société comme Google, l’information devra apparaître automatiquement, être absolument complète et précise tout en restant claire, avec la possibilité de naviguer dans le détail via des liens et menus contextuels. L’utilisateur doit pouvoir configurer lui-même, sur le plus grand nombre de paramètres possibles, la confidentialité de ses informations personnelles vis-à-vis de Google et des tiers. C’est d’ailleurs notamment le manque de précision, de clarté et de possibilité de configuration de la politique de confidentialité de Google qui a amené la CNIL à condamner l’entreprise.

Pour aller plus loin

Le droit à l’information : quelles informations communiquées aux personnes concernées ?

1. Dans le cas où il s’agit d’une collecte d’informations directement auprès de l’intéressé

L’article 13 alinéa 1er prévoit que le responsable de traitement doit fournir les informations suivantes :

  • L’identité et les coordonnées du responsable de traitement et le cas échéant, du représentant du responsable de traitement
  • Le cas échéant, les coordonnées du Délégué à la Protection des données (DPD, DPO).
  • Les finalités du traitement auquel sont destinées les données personnelles et la base légale du traitement
  • Les destinataires externes de ces données (prestataires, fournisseurs, partenaires …etc).
  • Les intérêts légitimes poursuivis par le responsable de traitement, lorsque les traitements utilisent ce fondement.

En outre, pour garantir un traitement équitable et transparent des données personnelles, l’alinéa 2 dudit article impose au responsable de traitement de fournir des informations supplémentaires, à savoir :

  • La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.
  • L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données.
  • Lorsque le traitement est fondé sur votre consentement, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
  • Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel, ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.
  • L’existence d’une prise de décision automatisée, y compris un profilage, produisant des effets juridiques la concernant et pouvant utiliser des catégories particulières de données, ou à minima des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Dans le cas où il s’agit d’une collecte d’informations indirecte

L’article 14 reprend la même liste que celle prévue par l’article 13, mais y ajoute une subtilité. En effet, lors de la collecte de données personnelles indirecte, le responsable de traitement doit fournir les catégories de données personnelles concernées par le traitement.

De plus, pour la fourniture d’informations complémentaires, le responsable de traitement doit fournir « la source d’où proviennent les données à caractère personnel et le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public » (article 14 alinéa 2).

A quel moment ces informations doivent être fournies ?

S’il s’agit de données directement collectées auprès de la personne concernée, alors les informations doivent être fournies au moment où les données en question ont été obtenues.

Si en revanche, il s’agit d’une collecte indirecte, le responsable de traitement doit fournir à la personne concernée les informations :

  • Dans un délai raisonnable ne dépassant pas 1 mois, en prenant en compte les circonstances particulières dans lesquelles les données sont traitées.
  • Si le responsable de traitement utilise les données d’une personne concernée dans le but de communiquer avec elle, c’est lors de la première communication que les informations doivent être fournies.

Droit d’accès

Qu’est-ce que c’est ?

Le droit d’accès est le pendant du droit à l’information.

En exerçant son droit d’accès, la personne exige de l’entité qui traite ses données des informations qui sont peu ou prou les mêmes que celles qui doivent être fournies lors de la collecte des données. Mais tandis que le droit à l’information donne à la personne les informations initiales, d’un bloc, le droit d’accès permet à la personne de contrôler en temps réel ce qui est concrètement fait, à un temps T, avec ses données.

Le droit d’accès est le meilleur moyen pour vérifier que l’utilisation des données n’a pas dépassé ce à quoi ils pouvaient raisonnablement s’attendre. Si cette utilisation ne lui convient plus, ou si la personne estime que l’entité ne lui a pas fourni toutes les informations requises, elle pourra exercer ses autres droits tel que le droit à l’effacement de ses données, voire aller jusqu’à saisir la CNIL d’une plainte.

En effet, la force du droit d’accès est qu’il n’est soumis à aucune condition, dès lors que la demande n’est pas manifestement abusive (par exemple qu’il ne s’agit pas d’une énième demande portant sur les mêmes données dans un temps rapproché).

L’entité est obligée de satisfaire à la demande et de livrer les informations, dans un délai d’un mois pouvant, en cas de circonstances légitimes à justifier par l’entité, être porté à deux mois.

Modèle de demande d’accès auprès de la CNIL

Cas d’usage

Prenons le cas typique de l’agence immobilière et des traitements à des fins contractuelles d’une part et marketing de l’autre.

Un propriétaire a mis son bien en gestion locative auprès d’une agence immobilière. A la fin du bail, le propriétaire résilie le contrat de gestion locative avec l’agence. Le propriétaire continue toutefois de recevoir par email des offres commerciales de la part de cette agence. Constatant que les offres sont particulièrement adaptées à sa situation et afin de connaître les informations détenues par l’agence, il exerce son droit d’accès.

En réponse, l’agence lui adresse l’ensemble des données qu’elle détient sur lui. Il constate que certaines données n’auraient pas dû être traitées à des fins de marketing, notamment des données liées à sa situation financière et familiale. Dans un second temps, il décide donc de retirer son consentement au traitement de ses données à et de faire jouer son droit à l’effacement de ses données, arguant que le contrat est résilié.

L’agence procède à l’effacement mais prévient le propriétaire que les données strictement liées au contrat de gestion locative seront archivées pendant un temps déterminé correspondant à la période de prescription contractuelle. Elle lui confirme que toutes les autres données sont effacées et qu’il ne recevra plus d’offres commerciales.

Pour aller plus loin

Plus précisément, une personne exerçant son droit d’accès peut exiger les informations suivantes :

  • les finalités du traitement
  • les catégories de données concernées
  • les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales
  • lorsque cela est possible, la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée
  • l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données, une limitation du traitement des données relatives à la personne concernée, ou bien encore le droit de s’opposer à ce traitement
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL par exemple)
  • lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible relative à leur source
  • l’existence d’une prise de décision automatisée, comme par exemple du profilage. En tel cas, les personnes concernées sont également en droit de demander toute information utile concernant la logique sous-jacente, l’importance et les conséquences prévues de ce traitement pour elle.

Modèle de la CNIL pour exercer son droit d’accès

Droit de rectification

Utiliser mes informations personnelles, oui, mais uniquement des informations exactes !

Une information personnelle trompeuse ou erronée, utilisée par une entreprise peut conduire à des conséquences néfastes. Dans certains cas, la personne souhaitera la faire corriger. C’est là qu’intervient le droit de rectification.

Le principe dont ce droit découle est un principe de loyauté : lorsqu’un tiers traite mes données, j’ai le droit d’exiger que ces données soient « exactes, complètes et si nécessaire, mises à jour ».

Comme pour le droit d’accès, ce droit n’est bien sûr soumis à aucune condition autre que la preuve du caractère inexact de l’information. La demande ne doit en outre pas être manifestement abusive.

Ce droit peut aussi s’exercer en cas de « mort numérique » : les données personnelles d’une personne décédée peuvent être modifiées ou complétées par ses ayants droits qui en feront la demande auprès du responsable de traitement.

Cas d’usage

Une donnée erronée dans un formulaire peut conduire une société à effectuer un calcul qui peut vous porter préjudice, par exemple si vous avez accès à un remboursement ou une prestation qui serait dès lors estimée à la baisse.

Même chose pour des informations portées à l’attention du public, sur un site internet par exemple : une information erronée portant sur votre situation médicale doit pouvoir être corrigée.

Pour aller plus loin

Quelles sont les conditions pour exercer son droit de rectification ?

L’article 12 du RGPD régit les modalités d’application du droit de rectification.

La personne concernée doit d’une part prouver que ses données sont inexactes, incomplètes, périmées ou équivoques. Le responsable de traitement doit ensuite valider les preuves apportées par la personne concernée et porter la rectification des données à la connaissance à cette dernière. La charge de la preuve lui incombe dans ce cas de figure.

Comment exercer son droit de rectification ?

Il faut directement s’adresser au responsable de traitement pour satisfaire cette demande. Ce dernier peut exiger une preuve de l’identité de la personne concernée et peut solliciter d’autres moyens de preuve afin d’y parvenir (l’exigence de pièces justificatives disproportionnées est interdite).

Un modèle de courrier est disponible sur le site de la CNIL et il est recommandé de garder une copie de votre démarche en cas de contestation et de saisie de la CNIL.

L’exercice de ce droit est sans frais pour le demandeur et est à la charge du responsable de traitement et/ou du sous traitant.

Limites au droit de rectification

Le droit de rectification ne peut s’appliquer lorsqu’il s’agit de traitements de données journalistiques, artistiques ou littéraires. Par ailleurs, pour protéger la confidentialité des enquêtes, les traitements relatifs aux fichiers de police, de renseignement, de gendarmerie et de FIBOCA sont exclus du champ d’application de ce droit.

Un modèle de contenu personnalisable relatif à la demande de rectification est disponible sur le site de la CNIL.

Droit à l’effacement / droit à l’oubli

Qu’est-ce que c’est

Au sens propre du terme, il n’existe pas de droit à l’oubli, uniquement un droit à l’effacement.

Le droit à l’effacement permet de demander la suppression complète de ses données. Mais attention : la détention et l’utilisation de ses données, par une entreprise par exemple, peut tout à fait être légitime. C’est pourquoi l’exercice du droit à l’effacement est encadré par des conditions assez strictes : la personne concernée devra démontrer que le traitement de ses données par l’entreprise n’est plus légitime, soit qu’il ne l’a jamais été, soit qu’il ne l’est plus.

Pour exercer son droit à l’oubli, il faut un motif : par exemple les données ne sont plus conservées pour les finalités qui ont été déclarées lors de la collecte des données.

Mais même en présence d’un motif, l’entreprise peut arguer de justifications : par exemple si le traitement des données est nécessaire à la liberté d’expression et d’information.

Cas d’usage

Un fournisseur d’accès à internet détient des informations personnelles sur vous, nécessaires à l’exécution du contrat de fourniture d’accès à internet et/ou qu’elle est obligée de conserver pour des raisons légales (recherche d’infractions par les autorités judiciaires, etc.). Une fois le contrat expiré, ces données doivent être conservées par l’entreprise afin se prémunir contre un procès qui pourrait lui être intenté, pendant le temps de la prescription applicable. Pendant ce temps, l’exercice du droit à l’effacement serait inefficace : l’entreprise peut refuser d’effacer vos données.

En revanche, une fois l’ensemble des durées légales expirées, l’entreprise est obligée de satisfaire à votre demande d’effacement et de vous confirmer formellement y avoir procédé.

Pour aller plus loin

Seuls les motifs suivants permettent d’exercer son droit à l’effacement

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées
  • la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement.
  • la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement
  • les données à caractère personnel ont fait l’objet d’un traitement illicite.
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis.

Les justifications suivantes permettent de continuer à traiter les données même en présence d’un motif légitime, lorsque le traitement est nécessaire :

  • pour respecter l’exercice du droit à la liberté d’expression et d’information.
  • pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  • pour des motifs d’intérêt public dans le domaine de la santé publique.
  • à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou bien encore à des fins statistiques
  • à la constatation, à l’exercice ou à la défense de droits en justice.

Droit d’opposition

Qu’est-ce que c’est

Toute personne physique a le droit de s’opposer à ce que ses données personnelles soient utilisées par des organismes, notamment à des fins de prospection commerciale.

Contrairement au droit à l’effacement, en exerçant mon droit d’opposition, je demande à l’entité concernée de ne plus traiter mes données à l’avenir, sans nécessairement demander à ce que les données soient effacées.

Néanmoins, le droit d’opposition est relatif. Si dans la majorité des cas, la personne concernée peut faire valoir ce droit sans exposer de motifs au préalable, certains traitements nécessitent d’avancer des motifs légitimes pour exercer son droit d’opposition. Précisément, le RGPD exige que son exercice soit justifié par « des raisons tenant à sa situation particulière ».

Cas d’usage

Vous recevez une newsletter liée à votre inscription à une association, vous informant des prochaines manifestations. Le traitement de votre adresse email pour cette finalité n’est fondé que sur votre consentement à recevoir ladite newsletter.

Dès le moment où vous estimez que le traitement ne vous convient plus, vous devez avoir le moyen de vous y opposer.

C’est pourquoi chaque email que vous recevez doit contenir un lien de désinscription : en l’utilisant, vous exercez votre droit d’opposition.

Pour aller plus loin

Comment exercer le droit d’opposition ?

Aucun formalisme n’est exigé. Autrement dit, la personne concernée peut procéder par voie électronique via un formulaire spécifique ou encore sur un compte en ligne (site internet), en ayant préalablement identifié le responsable de traitement.

L’exercice de ce droit est gratuit.

Quelles sont les limites du droit d’opposition ?

L’article 38 du RGPD énonce les limites au droit d’opposition.

Si la demande d’opposition ne concerne pas la prospection commerciale, le responsable de traitement peut justifier son refus pour plusieurs raisons :

  • S’il existe des motifs légitimes et impérieux à traiter les données ou que celles-ci sont nécessaires à la constatation, à l’exercice ou la défense des droits en justice.
  • Ce droit peut être écarté si la personne concernée y a consenti contractuellement ou lorsque le traitement des données personnelles est fondé sur un intérêt légitime.

Droit à la portabilité

Qu’est-ce que c’est

Comment ne pas rester enfermé dans un contrat avec une entreprise et récupérer ses données pour changer de prestataire ? C’est à cette question que le droit à la portabilité répond.

Nouveau droit consacré par le RGPD, le droit à la portabilité permet aux personnes concernées de recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible par une machine, de sorte à ce qu’elles puissent les transmettre à un nouveau responsable de traitements.

Le responsable de traitement doit informer les personnes concernées de l’existence de ce nouveau droit de façon « concise, transparente, compréhensible et aisément accessible, en des termes claires et simples ».

Les personnes concernées doivent prendre connaissance de ce droit avant toute clôture de compte afin qu’elles puissent transférer leurs données personnelles vers un autre responsable de traitement.

Cas d’usage

Mes données sont traitées par une entreprise fournissant des objets connectés, un téléviseur par exemple. Je ne suis plus satisfait par le service et souhaite acheter un nouveau téléviseur connecté. Mais un grand nombre de mes préférences ont été enregistrées par le système et il serait impossible ou trop contraignant de les ré-enregistrer manuellement. En exerçant mon droit à la portabilité des données, j’exige du premier prestataire qu’il fournisse au nouveau mes préférences.

Pour aller plus loin

A quelles conditions le droit à la portabilité s’applique-t’il ?

Trois conditions cumulatives doivent être réunies pour exercer ce droit

  • Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée (à la fois les données déclarées mais aussi les données générées par ex. les achats enregistrés grâce à une carte de fidélité).
  • Il faut que les données soient traitées de manière automatisée sur la base du consentement de la personne concernée ou sur l’exécution d’un contrat.
  • L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers.

Une application restrictive du droit à la portabilité des données personnelles

Le droit à la portabilité est limité lorsqu’il ne trouve pas fondement sur le consentement ou l’exécution d’un contrat.

Le responsable de traitement peut refuser de satisfaire ce droit en raison d’un intérêt légitime ou d’une obligation légale. Chaque demande doit faire l’objet d’une analyse au cas par cas.

Quelles sont les modalités d’exécution du droit à la portabilité ?

D’une part, la personne concernée doit s’adresser au responsable de traitement. Il est le principal débiteur pour satisfaire cette demande.

Par ailleurs, le responsable de traitement doit s’assurer de l’identité de la personne qui en fait la demande.

Enfin, aucun frais ne peut être réclamé au demandeur sauf si le responsable de traitement prouve que les demandes sont infondées ou excessives, « notamment en raison de leur caractère répétitif » (article 12 du RGPD).