Fil d ariane > Comprendre le RGPD > Adopter les six bons réflexes > Respecter les droits des personnes

Respecter les droits des personnes

Les personnes concernées disposent de droits afin de garder la maitrise de leurs données. Le responsable du fichier doit leur expliquer comment les exercer (auprès de qui ? sous quelle forme ?)… Lorsqu’elles exercent leurs droits, les personnes doivent obtenir une réponse avant un mois.

Respecter le droit des personnes

Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant. Le responsable de fichier doit expliquer aux personnes concernées la procédure (où, comment et à qui s'adresser ?) permettant de les exercer concrètement. Le responsable du fichier dispose d’un délai d'un mois pour répondre aux demandes.

Le droit à l’information 

Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur :

  • l’identité du responsable du fichier ;
  • la finalité du fichier ;
  • le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
  • les destinataires des données ;
  • leurs droits (droit d’accès, de rectification, et d’opposition) ;
  • les éventuels transferts de données vers des pays hors UE.

L’ information est préalable à la collecte des données
Le support de cette information varie en fonction des caractéristiques du fichier (exemple, panneau d’information pour une vidéosurveillance, mention d’information sur un formulaire, lecture de cette information en cas de recueil de données par téléphone.)

Le recueil du consentement 

Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut. 

Le consentement est "préalable" à la collecte des données. 

Le consentement préalable de la personne concernée est notamment requis en cas :

  • de collecte de données sensibles ;
  • de réutilisation des données à d’autres fins ;
  • d'utilisation de cookies pour certaines finalités ;  
  • d'utilisation des données à des fins de prospection commerciale par voie électronique.

Le droit d’opposition

  • Les personnes doivent pouvoir s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante.
  • Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).

Les droits d’accès et de rectification

Toute personne peut,

  • accéder à l’ensemble des informations la concernant ;
  • connaître l’origine des informations le concernant ;
  • accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit) :
  • en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés) ;
  • exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.

Le droit d’accès peut s’exercer :

  • Par écrit : courrier postal, accompagné d’une copie d’une pièce d’identité. Idéalement, en recommandé avec accusé de réception
  • Sur place : avec présentation d'une pièce d’identité. Il est possible de se faire accompagner par la personne de son choix. La consultation doit durer suffisamment longtemps pour prendre note commodément et complètement. Il est possible de demander une copie des données.

Le responsable du fichier dispose d’un délai de réponse maximal d'un mois à compter de la date de réception de la demande. Si la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur. Si la demande est incomplète (absence de la pièce d’identité par exemple), le responsable du fichier est en droit de demander des compléments : le délai est alors suspendu et courre à nouveau une fois ces éléments fournis.

Comment présenter les données ?

Les éléments communiqués doivent être aisément compréhensibles. Les codes, les sigles et les abréviations utilisés doivent être expliqués (éventuellement par le biais d’un lexique).

Par exemple, « Segmentation : A+ » signifie que vous êtes considéré comme un client VIP 

Les limites au droit d’accès

Le responsable du fichier peut : 

  • refuser la demande d’accès : dans ce cas, il doit motiver sa décision et informer le demandeur des voies et délais de recours permettant de la contester.
  • Ne pas répondre aux demandes qui sont manifestement abusives notamment par leur nombre, leur caractère répétitif ou systématique (par exemple, demande d’une copie intégrale d’un enregistrement toutes les semaines).

Lorsque le responsable de fichier ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès (par exemple, les données ont été supprimées ou l’organisme ne dispose d’aucune donnée sur la personne), il doit néanmoins répondre au demandeur dans le délai d'un mois.

Le droit d’accès doit s’exercer dans le respect du droit des tiers : un salarié d’une entreprise ne peut obtenir des données relatives à un autre salarié. 

Les valeurs de classement annuel ou de potentiel de carrière sont communicables lorsqu’elles ont servi à prendre une décision. L’employeur n’est pas tenu de les communiquer lorsqu’elles sont encore prévisionnelles.

Pour aller plus loin : comment répondre à une demande de droit d’accès ?

Le droit à la portabilité

Toute personne a le droit de recevoir les données qui la concerne et qu’elle a fournies à un responsable de traitement, de les réutiliser, et de les transmettre à un autre responsable de traitement (article 20 du RGPD).

Le droit à la portabilité permet à toute personne de :

  • recevoir dans un format structuré, couramment utilisé et lisible par machine (ordinateur) les données personnelles la concernant déjà fournies à un responsable de traitement ;
  • faire transmettre directement ces données à un autre responsable de traitement lorsque c’est techniquement possible.

Pour aller plus loin : comment répondre à une demande de droit à la portabilité ?

Concrètement, comment faire ?

  • Mettre en place une  organisation chargée de traiter les demandes Informatique et Libertés
  • Contacter le délégué à la protection des données si l'organisme concerné en a désigné un
  • Surveiller les délais de réponses

Que dit la loi ?

I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

 De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
 De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
 Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
 Des destinataires ou catégories de destinataires des données ;
 Des droits qu’elle tient des dispositions de la section 2 du présent chapitre (droits des personnes à l’égard des traitements de données) ;
 Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.
Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Article 32 de la loi Informatique et Libertés
Document reference

Guide et fiches pratiques

Suis-je concerne ? - Les principes de la loi Informatique et Libertés
[ PDF-1.8 Mo]
Règlement européen sur la protection des données personnelles se préparer en 6 étapes
[ PDF-637.35 Ko]
Texte reference

Les sanctions pénales prévues

> Code pénal - Article R625-10
> Code pénal - Article R625-11
> Code pénal - Article R625-12
> Code pénal - Article 226-18-1
> Code pénal - Article 226-19-1
Texte reference

Voir aussi

> Le droit d'accès
> Le droit de rectification
> Le droit d'opposition
> Modèles de mentions CNIL

Ceci peut également vous intéresser ...

Professionnels : comment répondre à une demande de droit d’accès ?
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes.
18 novembre 2020
Historique de navigation
Webmaster ou responsables de sites : comment répondre aux demandes de suppression de données ...
18 novembre 2020