- Le blog et les actualités de Witik
- Droit à l’oubli, droits des personnes : que dit le RGPD ?
Droit à l’oubli, droits des personnes : que dit le RGPD ?
Droit à l’oubli, droit à l’effacement des données personnelles, droit à la portabilité… Vous avez déjà croisé ces notions ? Vous êtes en charge du respect du RGPD en tant que DPO dans votre entreprise ?
Le RGPD impose de faciliter le respect de certains droits que les personnes concernées ont dès lors que vous collectez ou utilisez leurs données. Que recouvre exactement cette obligation ? Quels sont les droits concernés ? Comment répondre concrètement aux demandes émises par les personnes envers votre entreprise ? C’est ce que nous allons voir dans ce guide pratique sur l’exercice des droits des personnes dans le RGPD.
Droit à l’oubli et droit des personnes : qu’est-ce que c’est ?
Le RGPD énumère un certain nombre de droits des personnes dans son chapitre III. Le premier élément à comprendre est à qui s’applique ses droits. La réponse : les droits prévus par le RGPD cibles les “personnes concernées”, c’est-à-dire les personnes sur lesquelles vous détenez des données personnelles. Il peut donc s’agir de vos clients, de vos prospects, de partenaires et fournisseurs et même de vos salariés.
Certains de ces droits représentent en pratique une obligation continue pour les entreprises. Il s’agit notamment du droit à l’information : pour le respecter, vous devez mettre en place une information claire et facilement accessible sur votre politique de confidentialité et sur la manière dont vous traitez les données de vos utilisateurs.
D’autres droits font l’objet d’une demande de la part des personnes concernées. Ce sont elles qui les exercent et leur application suppose que votre entreprise soit en mesure de prendre en compte et de traiter les demandes. Ces droits sont donc autant d’outils que les personnes concernées ont à leur disposition pour maîtriser l’utilisation qui est faite de leurs données.
Il faut donc mettre en place les moyens techniques et opérationnels nécessaires pour répondre à ces demandes. Mais d’abord, quels sont ces droits ?
Quels sont les droits concernés ?
Le RGPD consacre 6 droits des personnes que vous devez prendre en compte.
Le droit d’accès
Ce droit permet à une personne concernée d’obtenir une confirmation du traitement de ses données personnelles et d’en obtenir une copie. Obtenir l’accès à ses données permet notamment d’en vérifier l’exactitude.
A noter : il est conseillé de demander à la personne concernée à quelles données il souhaite accéder afin de ne pas faire un export total de ses données personnelles de manière systématique.
Le droit de rectification
Ce droit permet de mettre à jour, corriger ou modifier des données personnelles. L’idée est alors de limiter la diffusion d’informations erronées ou qui ne seraient plus valables, comme des coordonnées personnelles, l’appartenance à une entreprise, etc…
A noter : ce droit ne s’applique pas aux traitements littéraires, artistiques et journalistiques et s’applique différemment pour les données de police, de gendarmerie ou de renseignement (la demande se fait auprès de la CNIL et un magistrat de l’organisme de contrôle est en charge de son traitement).
Le droit à la portabilité des données
Ce droit permet la transmission des données personnelles à un tiers. En général, il peut être appliqué en cas de changement de fournisseur, par exemple. Dans ce cas, il est impératif de transmettre les données à un format lisible et compatible pour un traitement par ordinateur, en particulier avec un système qui pourrait être différent du vôtre (interopérabilité).
Le droit à l’oubli
Ce droit permet d’obtenir l’effacement de ses données personnelles. L’exercice de ce droit particulier est cependant limité aux cas suivants :
les données sont utilisées à des fins de prospection ;
les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquels elles ont été initialement collectées ou traitées ;
le consentement a été retiré ;
les données font l’objet d’un traitement illicite (publication de données obtenues illégalement, par exemple) ;
les données ont été collectées sur un mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web etc.) ;
les données doivent être effacées pour respecter une obligation légale.
Attention : l’exercice de ce droit n’entraîne pas la suppression définitive de toutes les données, la personne concernée doit préciser lors de sa demande quelles données il souhaite supprimer. Dans certaines situations le droit à l’oubli ne peut pas être exercé, c’est le cas lorsque ce droit va à l’encontre de principes protégés par la loi. En pratique, il ne peut être exercé s’il va à l’encore :
de l’exercice du droit à la liberté d’expression et d’information
du respect d’une obligation légale (conservation des bulletins de salaire, conservation de factures etc.)
de l’utilisation des données concernant un intérêt public dans le domaine de la santé
de l’utilisation des données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
de la constatation ou de l’exercice de droits en justice.
En savoir plus sur le droit à l'oubli
Le droit d’opposition
Ce droit permet de s’opposer à tout moment à ce que les données personnelles soient utilisées dans un but précis. Il ne s’agit donc pas d’une suppression des données, comme dans le droit à l’oubli, mais bien de stopper l’utilisation des données par rapport à une finalité précise. La personne concernée devra justifier des raisons tenant à sa situation particulière.
Cependant, lorsque le traitement est lié à une prospection commerciale, la personne concernée peut exercer son droit à tout moment et sans motif particulier. C’est le cas notamment lorsqu’il se désabonne d’une newsletter ou qu’il souhaite sortir d’une liste de prospects.
Le droit d’information
On en a déjà parlé, ce droit est un peu particulier en ce qu’il ne suppose par une demande précise et une action correspondante de votre part, mais des obligations à respecter en amont. Cependant, il fait bien partie de la liste des droits des personnes liées à l’utilisation de leurs données personnelles.
Comment répondre à une demande concernant les droits des personnes ?
En tant que responsable de traitement, vous devez dans chaque cas :
1- Analyser la recevabilité de la demande et vérifier l’identité de la personne en cas de doute raisonnable.
2- Confirmer à la personne que vous traitez bien ses données.
3- Prendre les mesures nécessaires pour répondre à la demande :
Donner accès aux données dans un format compréhensible et en reprenant les mentions obligatoires ;
Mettre à jour et rectifier les données ;
Transmettre les données dans un format lisible par ordinateur pour permettre leur portabilité ;
Supprimer les données (dans la limite du droit à l’effacement / droit à l’oubli ;
Traiter la demande en cas d’opposition (par exemple, retirer la personne d’une liste de diffusion, etc… ;
4- Informer la personne que sa demande a bien été traitée et clôturer l’incident.
L’exercice des droits nécessite donc de mettre en place des process et des moyens techniques spécifiques. En particulier, il est conseillé de proposer un canal facile et accessible pour permettre aux utilisateurs d’exercer leurs droits.
Dans le cas contraire, ceux-ci pourraient s’adresser à un service clients, à leur contact commercial, etc… ce qui provoque rapidement un délai rallongé pour le traitement des données, ainsi qu’une difficulté à centraliser les demandes auprès des bons interlocuteurs.
Générez des formulaires personnalisés et traitez les demandes soumises directement sur la plateforme Witik, grâce à notre module Droits des personnes.