D’application dès mai prochain, le Règlement européen sur la Protection des Données Personnelles (RGDP) renforce les droits des personnes concernées relativement à l’accès et au contrôle sur leurs données personnelles. Digital Wallonia fait le point sur la question en collaboration avec le CRIDS.
Comme tout texte législatif, le GDPR ne se limite pas à imposer des obligations, il consacre également des droits pour les personnes concernées, identifiées ou identifiables, dont les données personnelles sont traitées.
Il est important pour les responsables de traitement des données d’être conscients de l’existence de ces droits, et de réfléchir, dès maintenant, aux processus à mettre en place afin de répondre, dans les délais requis, aux demandes liées. En cas de non-respect de ces règles, les personnes concernées pourraient s’en plaindre auprès de l'Autorité de protection des données (cf. article "GDPR : l’Autorité de protection des données, garante du respect des obligations"). Mieux vaut être prêt pour mai 2018…
GDPR : deux types de droits pour les personnes concernées
Ces droits répondent à deux préoccupations distinctes : le contrôle des données et la transparence de leur traitement. Pour y répondre, le GDPR octroie aux personnes concernées le droit de recevoir certaines informations et de formuler un certain nombre de demandes au sujet de leurs données personnelles.
GDPR : traitement transparent des données pour les personnes concernées
Afin de permettre aux personnes concernées d’exercer leurs droits, le GDPR contient, en ses articles 13 et 14, une liste d’informations à fournir aux personnes concernées. Parmi celles-ci :
- l'identité et les coordonnées du responsable du traitement ;
- les coordonnées du délégué à la protection des données ;
- les finalités ainsi que la base juridique du traitement ;
- les catégories de données concernées ; ou encore
- l’existence des droits octroyés par le RGPD aux personnes concernées.
Ces informations doivent être transmises :
- au moment où les données sont collectées auprès des personnes concernées; ou dans un « délai raisonnable », de maximum un mois, suivant l’obtention des données, si ces données n'ont pas été collectées auprès des personnes concernées.
- d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
GDPR : contrôle des données par les personnes concernées
Cet aspect commence par le droit d’accès à ses données personnelles (droit de recevoir une copie des données, etc).
Le droit d'accès constitue la voie d’entrée privilégiée pour l’exercice des autres droits. A savoir :
- le droit de rectifier des données inexactes ou de limiter le traitement de certaines données.
- le droit de demander l’effacement de certaines données. A ne pas confondre avec « le droit à l’oubli », ces deux concepts ne recouvrent pas totalement la même réalité.
- le droit de s’opposer à certains traitements, notamment au profilage à des fins de marketing.
- le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé. Concrètement, elles peuvent demander de comprendre la logique justifiant la décision qui serait prise par l’ordinateur à leur égard, tel qu’un refus/octroi de crédit.
- Enfin, nouveauté instaurée par le GDPR, les personnes concernées se voient dorénavant reconnaître un droit à la portabilité. Il s’agit du droit de recevoir – dans un format structuré, couramment utilisé et lisible par machine –, les données personnelles fournies à un responsable du traitement, afin notamment de les transmettre à un autre responsable du traitement. Typiquement, ce droit devrait permettre de « porter » des données personnelles fournies à Facebook vers un autre réseau social.
Traitement des demandes introduites par les personnes concernées
Les conditions de traitement des demandes des personnes concernées sont contenues dans l'article 12 du GDPR, d’application transversale pour l’ensemble des droits susmentionnés.
Le responsable de traitement doit répondre aux personnes concernées dans un délai d’un mois à compter de la réception de la demande, que ce soit pour les informer :
- des mesures prises pour répondre positivement à leur demande; ou
- dans les cas complexes, de la nécessité de prolonger de deux mois le délai pour traiter la demande et les motifs justifiant cette prolongation; ou
- des motifs de son inaction ou de son refus, et de la possibilité d'introduire une réclamation auprès de l’Autorité de contrôle ou d’introduire un recours en justice.
En cas d'introduction de demande sous une forme électronique, cette réponse devra, en principe, également être fournie par voie électronique.
En principe, aucun paiement ne peut être demandé aux personnes concernées pour traiter leurs demandes. A moins que celles-ci ne soient manifestement infondées ou excessives.