RGPD & Protection des données – Tout savoir sur le droit des personnes

RGPD & Droit des personnes – Les anciens droits toujours applicables

Fort heureusement, il n’a pas fallu attendre le RGPD pour que les personnes physiques bénéficient de droits sur leurs données personnelles et leur utilisation par les entreprises. Certains droits existaient déjà avant le RGPD. C’est le cas du droit d’accès, du droit d’opposition, du droit de rectification et du droit à l’oubli.

Le droit d’accès

Le droit d’accès désigne le droit que vous avez, en tant que personne physique, d’être informée des traitements réalisés sur vos données personnelles. Le droit d’accès est un droit d’être informé. Pour être informée, vous devez pouvoir accéder aux données qui vous concerne. Vous avez le droit, par exemple, de demander à une entreprise ou à tout autre organisme s’il possède des données personnelles vous concernant. Si c’est le cas, vous pouvez demander à connaître :

• Quelles sont ces informations personnelles ? Vous avez un droit d’accès à ces données pour pouvoir vérifier si elles sont correctes ou non. Si ce n’est pas le cas, vous pouvez demander à ce que ces données soient rectifiées (voir : Droit à la rectification) ou effacées (voir : Droit à l’oubli).
• Pourquoi et comment ces données personnelles sont utilisées ? Vous êtes en droit de demander des informations concernant la durée de conversation des données, leur source de collecte ou encore les garantis existantes en cas de transfert de vos données en dehors de l’Union européenne. Vous pouvez aussi demander si vos données personnelles font l’objet ou non d’un profilage (= traitements automatisés).

Le droit d’opposition

Le droit d’opposition signifie que vous pouvez refuser que vos données fassent l’objet d’un traitement, à condition que vous ayez un motif légitime d’opposition. En ce sens, le droit d’opposition est un droit conditionnel.

Voici un exemple d’application concret de ce droit d’opposition : Dans certains formulaires d’inscription sur internet, il y a une case à cocher « Je ne souhaite pas recevoir vos emails » ou bien « Je ne souhaite pas recevoir d’offres commerciales pour des produits similaires ». Ces cases à cocher, placées tout en bas du formulaire, vous permettent en un clic d’appliquer votre droit d’opposition. C’est un exemple parmi d’autres.

Le droit de rectification

Comme nous l’avons vu il y a un instant, vous avez le droit de demander la modification de vos informations personnelles. C’est ce que l’on appelle le droit de rectification. Vous pouvez faire valoir ce droit si vous estimez que les données personnelles que détient l’entreprise ou l’organisme sur vous sont incomplètes ou inexactes. Il vous suffit pour cela de remplir une « déclaration complémentaire ». Celle-ci doit être examinée dans les plus brefs délais par le responsable des traitements.

Le droit à l’oubli

Le droit à l’oubli existait avant le RGPD mais a été beaucoup renforcé par le nouveau règlement. Ce droit repose un principe clair : La durée de conservation des données (par l’entreprise, par l’organisme…) ne doit pas dépasser la durée nécessaire à la finalité des traitements. Une entreprise ne peut pas converser indéfiniment les données personnelles qu’elle détient sur ses clients ou ses utilisateurs. Lorsque la conversation des données n’a plus de raison d’être, les données doivent être supprimées du système d’information de l’entreprise.

En tant que personne physique, vous pouvez demander à l’organisme qui conserve vos données personnelles de les supprimer si :

• Vous estimez que vos données personnelles n’ont plus de raison d’être conversées par l’organisme en question (au regard de la finalité pour laquelle les données ont été initialement collectées).
• Vous retirez votre consentement au traitement de vos données.
• Vous vous opposez au traitement (voir : Droit d’opposition).
• Vous estimez que le traitement est illicite.
• La collecte concerne un mineur de moins de 16 ans et en l’absence du consentement de ses représentants légaux.

RGPD & Droit des personnes – Les nouveaux droits consacrés par le règlement européen

La RGPD a instauré de nouveaux droits pour les personnes physiques : Le droit à la portabilité, le droit au refus du profilage et enfin le droit à la limitation des traitements. Découvrez vos nouveaux droits sur vos données personnelles.

Le droit à la portabilité

Vous pouvez à tout moment récupérer vos données personnelles auprès d’une entreprise ou d’un organisme pour les transférer directement à une autre entreprise ou à un autre organisme. C’est ce que l’on appelle le droit à la portabilité.

Un exemple concret : Vous êtes client d’un fournisseur d’énergie. Si vous souhaitez changer de fournisseur, vous pouvez demander à récupérer vos données personnelles auprès de votre fournisseur actuel pour les transmettre directement à votre futur fournisseur. On aurait aussi pu prendre l’exemple des banques, de la téléphonie mobile…

L’entreprise est obligée de vous transmettre une copie de vos données sous un format lisible, structuré et électronique.

Le droit au refus du profilage

Le profilage est la technique qui consiste à croiser vos données personnelles pour vous identifier à une catégorie définie de personne. Par exemple : un homme de 50 ans, marié, père de deux enfants, aimant le football. D’où le nom « profilage » : vos données sont utilisées pour vous assigner à « un profil » de client, de prospect…

Le profilage est utilisé par certaines entreprises à des fins publicitaires et marketing. Basé sur des techniques algorithmiques, le profilage permet par exemple de calculer la probabilité que vous achetiez tel ou tel produit ou, plus largement, d’évaluer votre intérêt pour une catégorie de produit. Le profilage est à la base de ce qu’on appelle le « marketing prédictif ».

En vertu du RGPD, vous avez parfaitement le droit de vous opposer au profilage. Il n’y a que trois cas où ce droit d’opposition n’est pas invocable :

• Lorsque le profilage a fait l’objet d’un consentement explicite de votre part (mais sachez que vous pouvez à tout moment retirer votre consentement).
• Lorsqu’il s’agit d’un type de profilage autorisé par l’Union européenne ou un Etat membre.
• Lorsque le profilage est nécessaire dans le cadre de l’exécution d’un contrat entre la personne physique et l’entreprise.

Le droit à la limitation du traitement des données

Si une entreprise détient des données personnelles sur vous, vous pouvez lui demander à ce qu’elle arrête temporairement de les utiliser. L’entreprise pourra conserver les données dans sa base mais ne pourra plus réaliser des traitements pendant une période déterminée. Les données personnelles sont alors en quelque sorte gelées. C’est ce que l’on appelle le droit à la limitation du traitement des données.

Vous pouvez faire valoir ce droit dans 4 cas :

• Vous contestez l’exactitude des données personnelles. Vous pouvez demander à l’entreprise de ne plus utiliser vos données le temps qu’elles soient rectifiées.
• Vous estimez que l’entreprise réalise des traitements illicites sur vos données personnelles, mais vous ne souhaitez pas pour autant que l’entreprise supprime vos données. Vous pouvez exercer votre droit à la limitation des traitements jusqu’à ce que cesse ces traitements illicites.
• Vous exercez votre droit d’opposition.
• Vos données ne sont plus nécessaires au traitement consenti. Vous voulez qu’elles ne soient plus utilisées, mais vous souhaitez qu’elles soient conservées pour pouvoir être produites en justice.

Vous souhaitez faire valoir vos droits sur vos données personnelles ? Vous êtes en litige avec une entreprise qui refuse de garantir vos droits RGPD ? Ou, à l’inverse, vous êtes une entreprise cherchant à mettre en place les process et mesures pour garantir ces droits ? Dans ce cas, nous vous conseillons de vous orienter vers un avocat expert en Droit de l’Internet ou en Droit de la Protection des Données Personnelles. Si vous êtes une entreprise, vous pouvez contacter un Data Protection Officer (DPO).