RGPD : Quels recours en cas de non-respect de vos droits ?

Le RGPD a mis en place au sein de l’Union européenne des mécanismes de protection des données personnelles des particuliers. Longtemps demandés par les utilisateurs, plusieurs droits ont été reconnus ou réaffirmés par ce règlement. Ainsi, la violation du droit à l’oubli ou du droit à l’information peut désormais faire l’objet de recours devant les autorités judiciaires et administratives compétentes.

Recours RGPD : pour faire respecter quels droits ?

Le RGPD protège différents droits relatifs à la protection des données à caractère personnel. Ces derniers sont énoncés au Chapitre III du règlement :

• Le droit à l’information relatif à la collecte des données
• Le droit à la rectification
• Le droit à l’effacement, également appelé « droit à l’oubli »
• Le droit d’opposition

Chaque individu considérant que ses droits ont été violés peut demander à l’organisme ayant collecté ses données (entreprise, association, administration publique) de les faire respecter. La personne publique ou privée collectant les données dispose dès lors d’un mois afin de répondre positivement ou négativement à la demande. En l’absence de réponse dans ce délai ou en cas de réponse négative, la personne concernée dispose de deux types de recours :

• Une réclamation auprès d’une autorité de contrôle, la CNIL, en France
• Un recours juridictionnel

Conformément aux articles 77 à 79, ces deux différents recours RGPD peuvent être exercés en même temps par la personne demandant que ses droits soient respectés. Il est toutefois conseillé de d’abord s’en tenir au recours auprès de la CNIL. Cependant, lorsque la violation des droits semble particulièrement grave, effectuer les deux types de recours simultanément semble être la solution appropriée.

Recours RGPD auprès de la CNIL

L’article 77 du RGPD reconnaît le droit des personnes d’introduire une réclamation auprès d’une autorité nationale de contrôle. Depuis la loi « Informatique et Libertés » de 1978, c’est la CNIL qui est compétente en France concernant la protection des libertés et droits fondamentaux sur Internet, et donc de la protection quant au traitement des données personnelles. Après une première demande restée sans suite faite auprès d’un organisme public ou privé qui est selon vous fautif, vous pouvez adresser une réclamation ou une plainte à la CNIL. Les moyens par lesquels il est possible de prévenir la CNIL d’un manquement n’ont pas changé après le RGPD, c’est son champ d’intervention qui a été élargi.

La façon la plus simple de contacter la CNIL est de lui adresser une plainte en ligne via le formulaire présent à cette adresse : https://www.cnil.fr/fr/plaintes. Il vous suffit de choisir un thème puis de saisir votre problème, et la plainte sera communiquée à l’autorité de contrôle. Vous pouvez également lui adresser un courrier postal à cette adresse : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07. Il vous faudra lui communiquer tous les documents pouvant attester d’un manquement de l’organisme public ou privé que vous visez. Par exemple, si vous estimez qu’une entreprise a bafoué votre droit à l’information, présentez une copie du mail refusant de vous communiquer des informations sur la collecte de vos données.

Recours juridictionnel

L’article 79 du RGPD prévoit quant à lui un « droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant ». Le responsable du traitement est conçu par l’Union européenne comme étant l’entité qui détermine « les finalités et les moyens du traitement des données ». Le responsable du traitement est donc celui décide de mettre en place le traitement des données et qui décide de quelles façons le traitement des données sera effectué. Par exemple, dans le cadre des personnes privées, c’est dans de nombreux cas les entreprises elles-mêmes. Le sous-traitant est de son côté l’entité qui effectue le traitement des données personnelles pour le compte du responsable du traitement, selon les conditions fixées par ce dernier.

La personne souhaitant déposer un recours RGPD peut le faire de deux façons. Tout d’abord, le recours juridictionnel, au pénal ou au civil, peut s’effectuer devant les juridictions d’un État membre où le responsable du traitement ou un sous-traitant dispose d’un établissement. Il peut également s’effectuer devant les juridictions de l’État membre où la personne déposant le recours a sa résidence habituelle. Cependant, lorsque l’entité visée est une autorité publique agissant dans l’exercice de ses prérogatives de puissance publique, alors le recours ne peut se faire que devant les juridictions de l’État membre dont elle dépend.

Actions collectives pour un recours RGPD

Il est possible pour les particuliers d’intenter une action collective contre un organisme public ou privé qui violerait les droits des particuliers en matière de traitement des données. En effet, l’article 80 du RGPD dispose que « la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif ». Cela fait bien entendu référence aux associations de défense des consommateurs. Grâce à cet article, une personne seule peut mandater ces associations afin qu’elles déposent un recours contre une entité. L’action de groupe ne requiert donc pas qu’il y ait une répétition du manquement et que plusieurs personnes s’en plaignent. C’est à l’association de juger si une action de groupe est nécessaire ou non à la suite d’une plainte faite auprès d’elle. Pour qu’une action de groupe soit recevable, elle devra en outre agir dans l’intérêt public et avoir dans ses statuts la protection des données des individus.

Réparation du préjudice

L’article 82 du RGPD consacre le droit des personnes à réparation du préjudice subi. En effet, il dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. » Le sous-traitant n’est cependant mis en cause que s’il n’a pas respecté les dispositions du RGPD le concernant, ou s’il n’a pas respecté les instructions du responsable du traitement dans le cas où elles seraient légales. En plus de la réparation du préjudice, la CNIL dispose de tout un arsenal contraignant envers les organismes publics ou privés ne respectant pas le RGPD. Elle peut ainsi infliger des amendes administratives lourdes ou retirer l’autorisation de traitement des données. Dans le cadre d’un recours auprès de la CNIL, si cette dernière refuse de répondre positivement à la demande, alors la personne concernée peut faire appel de cette décision devant les juridictions administratives ou judiciaires.