Les 10 principes du GDPR. #5: De nouveaux droits pour les sujets des données

Une nouvelle perspective sur les droits existants

En 2018, le Règlement général relatif à la protection des données (GDPR) remplacera l’actuelle Directive relative à la protection des données à caractère personnel (95/46/CE). Ce Règlement introduira de nouveaux droits et de nouvelles protections pour les personnes concernées, tels que les droits à l’oubli et à la portabilité des données lesquels apportent une nouvelle perspective sur les droits existants et peuvent générer de nouvelles obligations pour votre organisation. Cet article explique comment ces nouvelles exigences peuvent affecter votre entreprise.

Le droit d’accès, de rectification, d’opposition, de limitation et de notification

Avant de commencer à traiter des données à caractère personnel, vous devez informer les personnes concernées dont les données seront traitées. Aux termes du GDPR, les personnes concernées doivent pouvoir accéder, sur simple demande, à leurs données à caractère personnel. Les finalités du traitement, les catégories de données à caractère personnel, leurs destinataires et une copie des données à caractère personnel recueillies doivent aussi être mises à leur disposition. Lorsque les données relatives à une personne sont inexactes ou incomplètes, celle-ci a le droit de demander leur rectification. Si les données inexactes sont transmises à des tiers, votre organisation est également tenue d’informer ces parties de cette inexactitude, sauf si cela demande un effort disproportionné. Votre entreprise doit répondre à toutes les demandes dans un délai d’un mois, lequel peut être prorogé de deux mois supplémentaires en fonction de la complexité de la demande. Les personnes concernées disposent également d’un droit d’opposition. Si la personne concernée s’oppose aux activités de traitement des données la concernant, votre organisation doit cesser de les traiter. Si vous avez vraiment besoin de poursuivre ce traitement, vous devez pouvoir prouver que vous avez des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, les droits et libertés de la personne concernée. 

Le droit à l’oubli

Le droit à l’oubli (aussi décrit comme le droit à l’effacement dans le texte du GDPR) a été longuement débattu et a suscité de nombreuses incompréhensions quant à son application. Il exige de votre organisation qu’elle efface les données à caractère personnel de la personne concernée dans un délai d’un mois si :

• les données à caractère personnel ne sont plus nécessaires au regard des finalités initiales
• la personne concernée retire son consentement
• la personne concernée s’oppose au traitement
• les données font l’objet d’un traitement illicite

Si un ou plusieurs de ces motifs s’appliquent, vous devez prendre des mesures raisonnables pour effacer les données à caractère personnel. Vous devez notamment demander aux tiers de les supprimer eux aussi. Si votre organisation a rendu des données à caractère personnel publiques, vous devez également informer les autres parties prenantes qui les traitent. Le droit à l’oubli n’est toutefois pas absolu. Une demande d’effacement peut être rejetée, notamment si la liberté d’expression et d’information prévaut ou si le traitement est d’intérêt public.

Le droit à la portabilité des données

Le droit à la portabilité des données a été introduit par le GDPR. Il offre la possibilité aux personnes concernées d’obtenir les données à caractère personnel les concernant et de les réutiliser dans différents services. La personne concernée a le droit de demander une copie de ses données dans un format structuré, couramment utilisé et lisible par machine. Il a ensuite le droit de transmettre ces données à un autre responsable de traitement de son choix.

Dans votre entreprise, la mise en œuvre de la portabilité des données peut se scinder en plusieurs étapes. Vous devez tout d’abord adapter vos systèmes afin de faciliter la gestion des demandes de portabilité. Le système doit offrir la possibilité d’accéder aux données, de les effacer, de les restreindre et de les modifier.

Vous devez ensuite instaurer un processus structuré afin de répondre à la demande sans problème. Pour respecter le délai imparti, il est important que les différents services, notamment les départements juridiques, informatiques et celui de la communication, communiquent entre eux.

La portabilité des données n’est pas un droit absolu, et vous devez déterminer la légitimité de la demande, notamment au regard des droits de tiers. Le traitement doit également reposer sur le consentement de l’utilisateur ou sur un contrat, à défaut de quoi le droit à la portabilité des données ne s’applique pas et votre organisation n’est pas tenue d’accéder à la demande.

Ce nouveau droit à la portabilité des données impose des obligations relativement intrusives à votre entreprise. Si vous pouvez le mettre en œuvre, il est fort probable que vous parveniez du même coup à respecter de manière générale la plupart des autres droits des personnes concernées. L’inverse est aussi vrai : si vous avez déjà mis en place des processus pour répondre aux demandes d’effacement, d’accès et de restriction, il vous reste sans doute peu à faire pour respecter parfaitement le droit à la portabilité des données.