Pourquoi les droits des personnes sont au coeur du RGPD
Le RGPD place la personne concernee au centre du dispositif de protection des donnees. Les articles 12 a 22 du reglement definissent huit droits fondamentaux que tout individu peut exercer aupres des organismes qui traitent ses donnees personnelles.
Le responsable de traitement est tenu de faciliter l exercice de ces droits et de repondre dans un delai d un mois a compter de la reception de la demande. Ce delai peut etre prolonge de deux mois supplementaires pour les demandes complexes, a condition d en informer la personne.
Les huit droits des personnes concernees
1. Le droit d information
Toute personne a le droit d etre informee de maniere claire et transparente sur la collecte et l utilisation de ses donnees. Cette information doit etre fournie au moment de la collecte des donnees et doit inclure l identite du responsable de traitement, les finalites, la base legale, les destinataires, la duree de conservation et les droits dont la personne dispose.
2. Le droit d acces
La personne concernee peut demander a un organisme de confirmer si des donnees la concernant sont traitees et, le cas echeant, d obtenir une copie de ces donnees. Le responsable de traitement doit egalement fournir des informations complementaires sur les conditions du traitement.
3. Le droit de rectification
Toute personne peut demander la correction de donnees inexactes ou le complement de donnees incompletes. Le responsable de traitement doit proceder a la rectification sans delai et informer les destinataires auxquels les donnees ont ete communiquees.
4. Le droit a l effacement
Egalement appele « droit a l oubli », ce droit permet a une personne de demander la suppression de ses donnees dans certains cas : les donnees ne sont plus necessaires, le consentement est retire, la personne s oppose au traitement, les donnees ont ete traitees illicitement ou doivent etre effacees pour respecter une obligation legale.
5. Le droit a la limitation du traitement
La personne peut demander le gel temporaire de l utilisation de ses donnees dans quatre situations : elle conteste l exactitude des donnees, le traitement est illicite mais elle s oppose a l effacement, le responsable n a plus besoin des donnees mais elles sont necessaires a la personne pour un litige, ou la personne s est opposee au traitement en attente de verification.
6. Le droit a la portabilite
Ce droit permet a une personne de recuperer les donnees qu elle a fournies a un organisme dans un format structure, couramment utilise et lisible par machine. Elle peut egalement demander que ces donnees soient transmises directement a un autre responsable de traitement lorsque cela est techniquement possible. Ce droit ne s applique que lorsque le traitement est fonde sur le consentement ou un contrat et qu il est effectue par des moyens automatises.
7. Le droit d opposition
Toute personne peut s opposer a tout moment au traitement de ses donnees pour des raisons tenant a sa situation particuliere, y compris le profilage. Le responsable de traitement doit cesser le traitement sauf s il demontre des motifs legitimes et imperieux. En matiere de prospection commerciale, le droit d opposition est absolu et ne necessite aucune justification.
8. Le droit relatif aux decisions automatisees
La personne a le droit de ne pas faire l objet d une decision fondee exclusivement sur un traitement automatise, y compris le profilage, produisant des effets significatifs la concernant. Des exceptions existent lorsque la decision est necessaire a la conclusion d un contrat, autorisee par le droit ou fondee sur le consentement explicite.
Comment organiser la gestion des demandes
Mettez en place un point de contact unique pour recevoir les demandes : une adresse email dediee de type dpo@votreorganisme.fr facilite le suivi. Verifiez l identite du demandeur avant de traiter toute demande pour eviter les divulgations non autorisees.
Tenez un registre des demandes recues et des suites donnees. Ce registre constitue un element de preuve en cas de controle de la CNIL et demontre votre conformite au principe d accountability.
Formez vos collaborateurs a reconnaitre une demande d exercice de droits et a la transmettre au bon interlocuteur. Une demande peut etre formulee par tout moyen, y compris oralement.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
- Gestion de l’exercice des droits des personnes filmées : comment répondre efficacement aux demandes d’accès aux images ?
- DPO obligatoire mairies : Comprendre les Défis RGPD pour les Mairies Françaises : Le Cas Épineux des Droits des Administrés
- SPSTi : quelles mesures le Service de Prévention en Santé au Travail doit-il prendre pour garantir les droits des personnes concernées ?
