Écrit le .

L’exercice du droits des personnes concernées par un traitement de données (RGPD)

Le Règlement Européen sur la Protection des Données permet à chaque individu de bénéficier de droits sur le traitement de ses données personnelles. Le RGPD ne fait pas de distinction entre les personnes, il s’applique donc à tous les citoyens européens.  

La garantie de l’exercice de ces droits face au développement des entreprises du numérique qui manipulent nos données à caractère personnel peut s’interpréter comme une réponse aux dérives de l’utilisation de nos données.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

D’une part, ces droits permettent d’éveiller les consciences et d’autre part de rendre la maîtrise aux utilisateurs sur les informations les concernant.

Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu. Il requiert pour son exercice des conditions de mise en œuvre. En outre, le responsable de traitement est soumis à un ensemble de contraintes qui vise à faciliter sa mise en œuvre.

I. Les dispositions communes à tous les droits de la personne concernée

A. Qualité des personnes titulaires des droits

Seules les personnes physiques sont titulaires des droits respectivement accordés par le RGPD, la protection résultant de ces dispositions ne s’étend pas aux données relatives à des personnes morales.

En principe, seule la personne concernée par le traitement est autorisée à exercer ses droits. Il arrive cependant que la jurisprudence admette que des personnes physiques autres que celles dont les données personnelles font l’objet d’un traitement puissent se prévaloir de la qualité de la « personne concernée ». Il en a été ainsi dans le cadre du premier arrêt rendu en la matière, le 29 juin 2011, par le Conseil d’État. Il s’agissait en l’occurrence du droit d’accès, exercé sous l’empire de la loi « Informatique et Libertés ». De telles circonstances sont toutefois exceptionnelles. Elles n’ont eu, pour l’heure, vocation à s’appliquer qu’à l’égard d’héritiers de personnes décédées. Bien entendu, la demande doit être justifiée par la nécessité de disposer des données personnelles du défunt.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


  1. Les modalités d’exercice des demandes de droits

Toute demande d’exercice de droit doit s’effectuer auprès du responsable de traitements. Si celui-ci a confié la gestion de ses opérations à un tiers qui agit en qualité de sous-traitant, il est également possible de s’adresser à ce dernier.

Toute demande en ce sens peut se faire par tout moyen. Autrement dit, une demande peut aussi bien avoir lieu à distance que sur place.

Les règles de droit commun applicables en matière d’exercice des droits n’imposent pas que les demandes soient faites par écrit. Elles peuvent donc parfaitement être formulées à l’oral. Il est plutôt recommandé que les demandes d’exercice des droits soient adressées par écrit. Il s’agit d’une précaution de preuve, notamment quant au point de départ du délai de réponse auquel est soumis le responsable de traitement.

  1. Les obligations des responsables de traitements

Lorsqu’un organisme reçoit une demande d’exercice de droit de la personne concernée, ce dernier doit se conformer à un certain nombre d’obligations, notamment pour vérifier l’identité de la personne qui effectue la demande, mais également assortir les garanties nécessaires au traitement de la demande.

  1. Les vérifications préalables

Les vérifications préalables devant être effectuées par le responsable de traitement quant à la qualité, en l’occurrence de personne physique, du demandeur et la preuve de son identité, la communication d’un justificatif à ce titre n’étant plus systématiquement obligatoire, sauf exception.

Pour tout simplement pouvoir instruire sa demande, les responsables de traitement doivent en effet être préalablement en mesure de s’assurer de la qualité de l’intéressé, et le cas échéant, de disposer d’une preuve de son identité, il peut par exemple s’agir de données d’identité numérique.

  1. Les modalités de réponse et les garanties assorties
  1. Les modalités et les délais de réponse

En vertu de l’article 12 du RGPD, le responsable du fichier dispose d’un délai de réponse maximal d’un mois à compter de la date de réception de la demande. Ce délai peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçue. Dans ce dernier cas, l’organisme devra informer le demandeur des raisons de cette prolongation dans le délai d’un mois.

Lorsque la demande est exercée sur place et qu’elle ne peut être satisfaite immédiatement, un avis de réception daté et signé devra être au demandeur. Si la demande est incomplète (absence de la pièce d’identité par exemple), le responsable du fichier est en droit de demander des compléments, le délai se trouve alors suspendu et court à nouveau une fois ces éléments fournis.

Lorsque la demande est faite par email ou tout écrit électronique, la réponse devra intervenir par voie électronique sécurisée sauf si le demandeur laisse une indication contraire. Si la réponse doit être effectuée par voie postale, il est conseillé d’adresser une lettre recommandée avec accusé de réception.

Dans le cas où la réponse s’effectue par l’envoi d’une clé USB, la transmission doit être sécurisée.

Dans le cas où l’organisme ne répond pas ou n’informe pas la personne concernée d’une prolongation de délai, il lui est possible d’adresser une plainte auprès de la CNIL avec les éléments attestant de ses démarches préalables. Pendant ce délai, il est possible de demander « la limitation du traitement » c’est-à-dire le « gel » de l’utilisation de ces données.

En outre, il apparaît important de rappeler que le responsable de traitements n’est pas obligé de donner suite à une demande lorsqu’elle manifestement infondée ou excessive notamment par son caractère répétitif, mais aussi si les données ne sont plus conservées ou ont été effacées.

En cas de refus, le responsable de traitements devra motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester cette décision.

B. Les garanties assorties à l’exercice du droit des personnes

Le responsable de traitement devra s’assurer que l’exercice d’un droit ne doit pas porter atteinte aux droits et aux libertés d’autrui. Le responsable de traitements doit veiller à communiquer uniquement les données de la personne concernée.

Dans le même temps, les données ne doivent pas porter atteinte au secret des affaires ni à la propriété intellectuelle…

L’exercice des droits des personnes concernées est en principe toujours gratuit. En revanche, il possible d’exiger le paiement de frais raisonnables lorsque les demandes d’une personne sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Le coût des « frais raisonnables » ne doit cependant pas être perçu comme une entrave à l’exercice des droits par la personne concernée.

II. Les obligations spécifiques à l’exercice de certains droits

Comme le rappelle l’article 19 du RGPD, « Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18 à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

Le responsable de traitement est donc soumis à une obligation de notification en ce qui concerne la rectification, l’effacement de données à caractère personnel ou encore la limitation du traitement.

III. Les dispositions particulières propres à chaque droit

  1. Le droit d’accès

Comme le prévoit l’article 15 du RGPD, « La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel […] ». En complément, le responsable de fichier devra en principe fournir les informations relatives aux finalités du traitement, les destinataires de ces données, leur durée de conservation, etc.

Le droit d’accès est un droit absolu qui s’exerce qu’importe la base légale du traitement, cependant il est assorti de deux limites. D’une part, certains fichiers de police ou intéressant la sûreté de l’État ne peuvent faire l’objet d’une demande d’accès, d’autre part lorsque la demande est infondée ou excessive, le responsable de fichier n’est pas dans l’obligation de répondre.

  1. Le droit de rectification

Le droit de rectification est consacré par l’article 16 du RGPD. Il permet aux personnes concernées de corriger des données inexactes ou de compléter des données en lien avec la finalité du traitement. Il permet de répondre à une exigence d’exactitude et d’actualisation des données.

Le droit de rectification ne s’applique pas aux traitements littéraires, artistiques et journalistiques.

  1. Le droit à l’effacement (ou « droit à l’oubli »)

Prévu à l’article 17 du RGPD, le droit à l’effacement permet à toute personne concernée de procéder à la suppression de ses données en ligne. En parallèle est aussi intégré le droit au déréférencement, souvent appelé le « droit à l’oubli ». Cependant le droit au déréférencement n’est pas à confondre avec le droit à l’effacement. Ces procédés sont à distinguer puisque leurs effets sont différents.

En effet, le droit à l’effacement permet à toute personne d’obtenir d’un responsable de traitement la suppression des données à caractère personnel qui la concerne lorsqu’il n’existe plus de raison légitime à les conserver, tandis que le droit au déréférencement permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne (voir l’arrêt rendu par la CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos).

L’article 17 du RGPD ouvre l’exercice du droit à l’effacement à six cas, il n’est par conséquent pas un droit absolu. L’exercice du droit à l’effacement peut également se retrouver limiter dans certains cas, notamment lorsque les données concernées contribuent à l’exercice du droit à la liberté d’expression et d’information, lorsqu’elles doivent être conservées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique, historique ou à des fins statistiques, etc.

  1. Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées et plus seulement des autorités de protection, venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD, dans lesquelles une personne concernée est en droit de solliciter de la part d’un responsable de traitements la limitation de ses données personnelles. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles ou si le traitement est illicite.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

  1. Le droit à la portabilité des données à caractère personnel

Le droit à la portabilité a été institué comme « nouveau » droit avec l’adoption du RGPD.
Initialement il a été mis en place au sein de secteurs régulés à l’instar de celui des communications électroniques, et ce, de façon à permettre aux abonnés à un service de téléphonie mobile de conserver leur numéro y compris en cas de changement d’opérateur.
Il a encore été appliqué au secteur bancaire par la loi dite « Hamon » n° 2014-344 du 17 mars 2014, afin de favoriser la mobilité entre établissements. Toutes ces informations constituant des données à caractère personnel, c’est donc logiquement que le droit à la portabilité a été intégré au règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

  1.  Le droit d’opposition

Consacré à l’article 21 du RGPD, le droit d’opposition permet à la personne concernée de s’opposer à ce que ses données soient utilisées par un organisme pour un objectif précis. Il a notamment vocation à s’appliquer lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées peuvent toujours s’opposer sans motif particulier, au traitement de leurs données personnelles lorsque ce dernier s’opère dans le cadre d’une opération de prospection commerciale.
Lorsque la demande d’opposition ne concerne pas la prospection, l’organisme pourra justifier son refus au motif qu’il existe des motifs légitimes et impérieux à traiter les données ou que celles-ci sont nécessaires à la constatation, exercice ou défense de droits en justice.

Il en va de même quand la personne concernée a consenti au traitement, puisque dans ce cas, seul le retrait du consentement permet de faire cesser le traitement de données. Lorsque cette dernière est liée par un contrat avec l’organisme ou qu’une obligation légale lui impose de traiter les données.

Et enfin, lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

  1. Le droit de ne pas faire l’objet d’une décision individuelle automatisée

Selon les dispositions de l’article 22 du RGPD, toute personne peut, en principe, refuser de faire l’objet d’une décision automatisée (y compris le profilage), cependant ce nouveau droit n’est pas ouvert lorsque la base légale du traitement repose sur l’existence d’un contrat, si la personne concernée a donné son consentement, ou qu’il s’agit de répondre à une obligation légale.

IV. Les sanctions

A. Les sanctions administratives

Un organisme peut être sanctionné au titre du non-respect du RGPD dans le cadre d’une plainte ou d’un contrôle effectué par la CNIL.

À l’inverse des dispositions particulières propres à chaque droit, les seuls manquements aux dispositions générales relatives à l’exercice des droits sont avant tout passibles de sanctions administratives. À l’exception des autorités étatiques qui sont exemptées de condamnations pécuniaires dans le prolongement du principe d’irresponsabilité pénale de l’État (article 121-2 du Code pénal), ces sanctions administratives peuvent aller jusqu’à 20 000 000 euros ou 4 % du chiffre d’affaires total mondial consolidé du précédent exercice du contrevenant.

B. Les sanctions pénales

Les articles 226-16 à 226-24 du Code pénal répriment un certain nombre de violations des dispositions en vigueur (collecte déloyale des données personnelles, manquement à l’obligation de sécurisation, etc.)

SOURCES :

ARTICLES QUI POURRAIENT VOUS INTERESSER :

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

Articles en relation

L’application des lois sur la protection des données dans les contrats de services informatiques transfrontaliers

L’évolution rapide des technologies de l’information et de la communication a transformé le paysage des services informatiques, permettant aux entreprises de fournir des services et de stocker des données à l’échelle mondiale. Cependant, cette expansion transfrontalière des services informatiques a soulevé des préoccupations majeures en matière de protection des données personnelles.  (1) Pour faire rédiger […]

Les limites du droit à l’oubli et du référencement

Dans un monde où l’information est omniprésente et où la mémoire collective est souvent façonnée par des contenus accessibles en ligne, le droit à l’oubli émerge comme un outil juridique crucial visant à protéger la vie privée et la réputation des individus. Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis […]

Dénigrement et contrefaçon d’un concurrent

Le dénigrement commercial constitue un sujet d’une délicatesse particulière, engendrant une multitude de questions tant sur le plan juridique qu’éthique dans le domaine des affaires. (1) Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN. À l’ère numérique, où la réputation des entreprises peut […]

  Murielle Cahen . Politique de gestion données personnelles. Mentions légales. CGV. IDDN.