Respecter les droits des personnes
Les personnes concernées disposent de droits afin de garder la maitrise de leurs données. Le responsable du fichier doit leur expliquer comment les exercer (auprès de qui ? sous quelle forme ?)… Lorsqu’elles exercent leurs droits, les personnes doivent obtenir une réponse avant un mois.
Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant. Le responsable de fichier doit expliquer aux personnes concernées la procédure (où, comment et à qui s'adresser ?) permettant de les exercer concrètement. Le responsable du fichier dispose d’un délai d'un mois pour répondre aux demandes.
À noter :
Cette fiche rappelle les règles et propose des conseils aux professionnels.
Particuliers : comprendre vos droits pour maîtriser vos données personnelles.
Le droit à l’information
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur :
- l’identité du responsable du fichier ;
- la finalité du fichier ;
- le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
- les destinataires des données ;
- leurs droits (droit d’accès, de rectification, et d’opposition) ;
- les éventuels transferts de données vers des pays hors UE.
L’ information est préalable à la collecte des données.
Le support de cette information varie en fonction des caractéristiques du fichier (exemple, panneau d’information pour une vidéosurveillance, mention d’information sur un formulaire, lecture de cette information en cas de recueil de données par téléphone.)
Comment informer les personnes ?
Le recueil du consentement
Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut.
Le consentement est "préalable" à la collecte des données.
Le consentement préalable de la personne concernée est notamment requis en cas :
- de collecte de données sensibles ;
- de réutilisation des données à d’autres fins ;
- d'utilisation de cookies pour certaines finalités ;
- d'utilisation des données à des fins de prospection commerciale par voie électronique.
Le droit d’opposition
- Les personnes doivent pouvoir s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante.
- Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).
Les droits d’accès et de rectification
Toute personne peut :
- accéder à l’ensemble des informations la concernant ;
- connaître l’origine des informations le concernant ;
- accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit) :
- en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés) ;
- exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.
Le droit d’accès peut s’exercer :
- Par écrit : courrier postal, accompagné d’une copie d’une pièce d’identité. Idéalement, en recommandé avec accusé de réception
- Sur place : avec présentation d'une pièce d’identité. Il est possible de se faire accompagner par la personne de son choix. La consultation doit durer suffisamment longtemps pour prendre note commodément et complètement. Il est possible de demander une copie des données.
Le responsable du fichier dispose d’un délai de réponse maximal d'un mois à compter de la date de réception de la demande. Si la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur. Si la demande est incomplète (absence de la pièce d’identité par exemple), le responsable du fichier est en droit de demander des compléments : le délai est alors suspendu et court à nouveau une fois ces éléments fournis.
Comment présenter les données ?
Les éléments communiqués doivent être aisément compréhensibles. Les codes, les sigles et les abréviations utilisés doivent être expliqués (éventuellement par le biais d’un lexique).
Par exemple, « Segmentation : A+ » signifie que vous êtes considéré comme un client VIP
Les limites au droit d’accès
Le responsable du fichier peut :
- refuser la demande d’accès : dans ce cas, il doit motiver sa décision et informer le demandeur des voies et délais de recours permettant de la contester.
- Ne pas répondre aux demandes qui sont manifestement abusives notamment par leur nombre, leur caractère répétitif ou systématique (par exemple, demande d’une copie intégrale d’un enregistrement toutes les semaines).
Lorsque le responsable de fichier ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès (par exemple, les données ont été supprimées ou l’organisme ne dispose d’aucune donnée sur la personne), il doit néanmoins répondre au demandeur dans le délai d'un mois.
Le droit d’accès doit s’exercer dans le respect du droit des tiers : un salarié d’une entreprise ne peut obtenir des données relatives à un autre salarié.
Les valeurs de classement annuel ou de potentiel de carrière sont communicables lorsqu’elles ont servi à prendre une décision. L’employeur n’est pas tenu de les communiquer lorsqu’elles sont encore prévisionnelles.
Le droit à la portabilité
Toute personne a le droit de recevoir les données qui la concerne et qu’elle a fournies à un responsable de traitement, de les réutiliser, et de les transmettre à un autre responsable de traitement (article 20 du RGPD).
Le droit à la portabilité permet à toute personne de :
- recevoir dans un format structuré, couramment utilisé et lisible par machine (ordinateur) les données personnelles la concernant déjà fournies à un responsable de traitement ;
- faire transmettre directement ces données à un autre responsable de traitement lorsque c’est techniquement possible.
Comment répondre à une demande de droit à la portabilité ?
Concrètement, comment faire ?
Mettre en place une organisation chargée de traiter les demandes Informatique et Libertés.
Contacter le délégué à la protection des données si l'organisme concerné en a désigné un.
Surveiller les délais de réponses.
Que dit la loi ?
La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable de traitement ou son représentant :
- De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
- De la finalité poursuivie par le traitement auquel les données sont destinées ;
- Du caractère obligatoire ou facultatif des réponses ;
- Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
- Des destinataires ou catégories de destinataires des données ;
- Des droits qu'elle tient des dispositions des articles 117 à 120 ;
- Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ;
- De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.
Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.