Les droits des personnes avec le RGPD

Le RGPD introduit de nouveaux droits pour la protection des données. Entre anciens droits toujours valables et nouveautés, voici la liste des droits à respecter pour être en conformité.

Les anciens droits toujours applicables avec le RGPD :

Le droit d’accès aux données existait déjà avant le RGPD, mais celui-ci permet à la personne concernée de demander de nouvelles informations complémentaires.
Vous avez désormais le droit de connaître :

• la durée de conservation des données qui vous concernent,
• la source des données quand elles n’ont pas été collectées auprès de vous,
• les informations concernant un profilage éventuel,
• les  garanties prises en cas de transfert des données hors périmètre de l’UE.

La législation française prévoit que toute personne est en droit de s’opposer, pour des motifs légitimes, à ce que des données qui la concernant fassent l’objet d’un traitement. Le RGPD prévoit que le même droit s’exerce, à tout moment pour des raisons tenant « à la situation particulière » de la personne concernée. Par conséquence, la personne peut demander au responsable du traitement le droit de s'opposer à ce traitement.

La Cnil (Commission nationale de l'informatique et des libertés) recommande que ce droit d'opposition soit exercé par le biais d'une case à cocher (opt out) libellé de la façon suivante « si vous ne souhaitez pas recevoir de notre part des offres commerciales pour nos produits analogues à ceux que vous avez déjà achetés / pour ne plus recevoir nos courriels, merci de cocher la case ci-dessous ».

Les personnes physiques disposent d’un droit de rectification de leurs données. Si les données personnelles sont inexactes ou incomplètes, la personne concernée peut obtenir que ces dernières soient complétées ou modifiées en fournissant une « déclaration complémentaire ». Elles doit alors  recevoir une réponse dans les meilleurs délais. 

Le RGPD renforce fortement le droit à l'oubli et  prévoit que les données doivent être conservées « pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Concrètement, les informations ne peuvent donc pas être conservées de façon indéfinie. Le RGPD renforce donc encore plus ce principe de limitation de la conservation.

Les personnes physiques peuvent demander l’effacement (droit à l’oubli) dans les meilleurs délais de leurs données, ce dans plusieurs hypothèses :

• dès lors que les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées,
• si la personne retire son consentement sur lequel est fondé le traitement ou si elle s’oppose au traitement,
• si le traitement est illicite ;

Les nouveaux droits apportés par le RGPD :

Les personnes physiques peuvent demander au responsable de traitement une copie des données personnelles les concernant sous un format structuré, courant et électronique. L’objectif est de permettre aux utilisateurs de changer de fournisseur sans perdre de données ( exemple pour changement de plateforme numérique, avec transfert des données à une autre plateforme)

Le RGPD instaure explicitement un droit d’opposition au profilage à des fins de prospection. L’utilisation d’un algorithme visant à analyser les données d’un individu afin d’évaluer son intérêt pour certains types de produits et services, la probabilité qu’il les achète, qu’il se comporte de telle ou telle manière ou encore qu’il soit à tel ou tel endroit, peut être qualifiée de profilage, et donc faire l’objet d’un droit d’opposition.

Le droit d’opposition au profilage ne s’applique pas lorsque le profilage :

• est nécessaire dans le cadre d’un contrat entre la personne concernée et le responsable de traitement,
• est autorisé par le droit de l’Union ou d’un État membre,
• est fondé sur le consentement explicite de l’individu.

Une personne physique peut demander au responsable de traitement de conserver les données qu’il détient la concernant, mais sans pouvoir les utiliser. Ce droit s’applique si :

• l’exactitude des données à caractère personnel est contestée par la personne concernée, ce durant une durée permettant de vérifier l'exactitude des données,
• les données font l’objet d’un traitement illicite,
• les données personnelles ne sont plus nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice,
• la personne concernée s'est opposée au traitement en vertu de son droit d’opposition.

Pour aller plus loin sur le RGPD...