RGPD : Quels sont vos droits et comment les exercer ?

Afin de rendre à chacun la maîtrise de ses données à caractère personnel, le Règlement général sur la protection des données (RGPD) accorde aux personnes physiques de nouveaux droits. Toutefois, pour ne pas entraver la libre circulation desdites données, l’exercice de ces droits est strictement encadré par le règlement. Dans l’espoir de favoriser l’apaisement des relations entre les acteurs économiques et institutionnels qui collectent et traitent les données et les particuliers, le RGPD insiste sur la nécessaire transparence des informations et l’application aisée des droits des personnes concernées.

De nouveaux droits pour une protection renforcée

Pour garantir la protection des intérêts et droits fondamentaux de chacun, le règlement consent aux personnes concernées une série de moyens permettant la surveillance du contenu de leurs données ainsi que de l’utilisation qui en est faite, à savoir :

Un droit d’accès

Tout organisme collectant des données à caractère personnel est contraint de communiquer, au moment même de l’entrée en possession de celles-ci, un certain nombre d’informations à la personne concernée par ces données.

Néanmoins, si vous en faites la demande, le responsable du traitement est désormais obligé de vous confirmer l’utilisation ou non de vos données à caractère personnel. Lorsque celles-ci sont effectivement traitées, vous disposez alors d’un droit d’accès à ces données.

Dans ce cadre, le responsable du traitement doit vous renseigner sur :

  • les catégories de données utilisées,
  • les finalités de leur traitement,
  • la durée de leur conservation,
  • leur source lorsque vous n’en êtes pas directement à l’origine,
  • l’identité des éventuels destinataires ou catégories de destinataires de vos données et, le cas échéant, tout projet de transfert de ces données dans un pays tiers à l’Union européenne ou à une organisation internationale,
  • l’existence d’une prise de décision automatisée, voire la mise en place d’un profilage, et ses conséquences à votre égard,
  • la possibilité d’user de votre droit de rectification ou d’effacement de vos données, ainsi que votre droit de limitation ou d’opposition au traitement,
  • la faculté d’introduire toute réclamation auprès d’une autorité de contrôle.

Un droit de rectification

En application du règlement, vous pouvez obtenir du responsable du traitement la modification des données à caractère personnel que vous estimez inexactes. En outre, vous êtes autorisé à compléter des données manquantes lorsque celles-ci sont importantes pour leur traitement.

Un droit à l’effacement ou «droit à l’oubli»

Lorsque vous en exprimez la demande, le responsable du traitement a l’obligation de procéder à la suppression de vos données à caractère personnel. Toutefois, pour être prise en compte, votre requête doit être fondée sur l’un des motifs prévus par le RGPD, tels que l’inutilité de vos données au regard des objectifs pour lesquelles elles ont été collectées ou traitées, le retrait de votre consentement, l’exercice de votre droit d’opposition au traitement ou encore l’illicéité du traitement.

Un droit à la limitation du traitement

Selon les dispositions du règlement, vous pouvez exiger du responsable du traitement de ne traiter certaines de vos données qu’avec votre autorisation. Mais l’exercice de ce droit à la limitation du traitement, qu’elle soit dans le temps ou dans l’utilisation des données, doit répondre explicitement à l’une des situations visées par le règlement et, notamment :

  • le temps nécessaire au responsable du traitement pour vérifier l’exactitude des données que vous estimez erronées,
  • en cas de traitement illicite lorsque vous ne souhaitez pas l’effacement de vos données,
  • à l’occasion de l’exercice de votre droit d’opposition au traitement,
  • lorsque, devenues inutiles au responsable du traitement, vous jugez nécessaire la conservation de vos données en vue de la constatation, l’exercice ou la défense de vos droits en justice.

Un droit à la portabilité des données

Lorsque le traitement des données est réalisé par le biais de procédés automatisés, le droit à la portabilité vous permet de demander au responsable du traitement de vous transmettre, dans un format accessible, l’ensemble de vos données à caractère personnel pour votre utilisation privée ou pour transmission, directement ou par votre intermédiaire, à un autre responsable du traitement.

Un droit d’opposition

Si vos données à caractère personnel sont traitées en vue d’une prospection, y compris par profilage, vous pouvez alors, à tout moment, vous opposer à leur utilisation. Dans tous les autres cas, le droit d’opposition est strictement limité et ne peut trouver application que lorsque les trois conditions suivantes sont remplies :

  • le traitement licite de vos données n’a pas nécessité votre consentement, n’est pas lié à un contrat, ne répond pas à une obligation légale ou n’est pas nécessaire à la sauvegarde d’intérêts vitaux,
  • vous pouvez justifier d’une « situation particulière » à l’appui de votre demande,
  • l’organisme concerné ne peut prouver, à l’encontre de votre droit, l’existence de motifs « légitimes et impérieux » pour le traitement de ces données ou invoquer la constatation, l’exercice ou la défense de droits en justice ; ou, quand le traitement est réalisé à des fins statistiques ou de recherche scientifique ou historique, l’organisme ne peut objecter l’exécution d’une mission d’intérêt public.

En dehors des cas de prospection et dans l’hypothèse d’un refus de votre demande d’opposition, le règlement prévoit la mise en œuvre par l’organisme de « mesures appropriées » pour la sauvegarde de vos propres intérêts et, notamment, la possibilité de contester la décision auprès d’un représentant de cet organisme.

Des intérêts supérieurs à l’application de vos droits

Les restrictions prévues par le RGPD à l’application des droits ci-dessus peuvent être, tout d’abord, d’ordre matériel. Ainsi, un organisme peut, par exemple, ne donner suite à votre demande de rectification ou d’effacement de vos données ou de limitation du traitement que partiellement lorsque le responsable du traitement n’est pas en mesure de relayer votre demande auprès d’organismes destinataires de vos données, ou bien qu’une telle démarche impliquerait pour l’organisme des efforts disproportionnés.

Toutefois, d’autres justifications peuvent être invoquées pour limiter, voire refuser, l’exercice des droits accordés, selon la nature de la demande et les finalités du traitement. Ainsi, il peut s’agir de :

  • la nécessité d’archiver les données,
  • le libre exercice du droit à la liberté d’expression et d’information,
  • le respect d’une obligation légale,
  • la défense de droits en justice,
  • la sécurité nationale ou publique,
  • un intérêt économique ou financier important de l’Union ou d’un État membre…

Des procédures simples pour des droits accessibles

Pour faciliter l’exercice de vos droits, le RGPD définit clairement les obligations du responsable du traitement.

Vous pouvez ainsi adresser vos demandes directement à l’organisme concerné par différents moyens (oral, écrit, courriel, formulaire de demande…).

Pour répondre à votre droit d’accès, le responsable du traitement vous remet gratuitement une copie desdites données, sous la forme demandée lorsque cela lui est possible. De même, toute communication avec l’organisme concerné, effectuée en application de l’un de vos droits, ne peut donner lieu à paiement. Toutefois, une participation financière aux frais de communication peut vous être réclamée si le responsable du traitement estime que la demande d’information est manifestement infondée ou excessive.

Par ailleurs, le responsable du traitement est tenu de vous transmettre les informations demandées ou de vous renseigner sur les mesures prises suite à l’exercice de votre droit dans un délai d’un mois à compter de la réception de la demande. Sous conditions, ce délai peut être prolongé de deux mois.

En cas de refus ou d’inaction de l’organisme concerné, vous avez alors la possibilité d’introduire, avec ou sans l’aide d’un avocat conseil en propriété intellectuelle, une réclamation auprès d’une autorité de contrôle. En effet, la simplicité des procédures ne garantit pas, pour autant, le succès de vos démarches. Néanmoins, bien prendre connaissance de ses droits et de leurs limites est un minimum pour mener au résultat escompté.

Articles liés à ce sujet :