Quels sont les droits des personnes sur leurs données personnelles ?

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > Quels sont les droits des personnes sur leurs données personnelles ?

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi

« Toute personne physique peut accéder aux données qui la concernent. » (RGPD, Article 15)

Les droits des personnes existaient déjà avec la Loi Informatique et Libertés de 1978 (droits d’accès, de rectification, d’effacement et d’opposition). Le RGPD est venu renforcer les droits existants, a fait apparaître de nouveaux droits (droit à la portabilité, droit à la limitation du traitement et droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé) et est venu faciliter l’exercice de ces droits.

Concernant les droits des personnes, en tant que responsable de traitement, vous devez :

  • Informer les personnes sur les droits dont elles disposent et qui leur permettent de garder la maîtrise de leurs données personnelles,
  • Informer les personnes sur la manière d’exercer leurs droits,
  • Répondre aux demandes d’exercice de ces droits, dans le délai prévu par le Règlement.

Quels sont les droits des personnes ?

Les droits des personnes sont les droits que les personnes ont sur leurs données personnelles, afin d’en garder la maîtrise. Voici les droits des personnes prévus par le RGPD, avec quelques explications. Vous trouverez davantage d’informations sur le site de la CNIL.

Toute personne dont vous traitez les données a le droit de vous contacter afin de vous demander quelles données la concernant sont en votre possession et d’obtenir des informations à leur sujet (origine, durée de conservation…).

Vous devez les fournir dans un format « lisible par un humain ». À réception, la personne peut faire valoir un autre droit : modification ou effacement de ses données, limitation du traitement, portabilité…

La demande d’accès à ses données peut permettre à un individu d’en vérifier l’exactitude ou de savoir s’il figure dans votre fichier commercial.

Le droit de rectification permet à toute personne de demander la modification de ses données personnelles en votre possession, que ce soit pour les compléter ou pour les corriger.

Une personne peut faire valoir son droit d’opposition, c’est-à-dire refuser l’utilisation de ses données personnelles pour un ou plusieurs traitements. Ce droit va concerner les traitements reposant sur l’intérêt légitime comme base légale.

Concernant un site Web, ce droit est généralement exercé contre les sollicitations commerciales. Dans le cas d’une démarche de prospection de votre part, sachez que la personne n’a pas à justifier sa demande de droit d’opposition.

Vous avez adressé une remise tarifaire pour l’achat d’une laisse à vos clients ayant acheté un harnais pour leur chien sur votre site de e-commerce ?

L’intérêt légitime est certainement le fondement juridique de votre traitement. Vos clients ont le droit de vous demander de ne plus recevoir ce type de sollicitation de votre part, sans avoir à en indiquer le motif.

Le droit d’opposition ne peut pas s’exercer si le consentement a été donné pour le traitement en question : dans ce cas, c’est le retrait du consentement qu’il convient d’appliquer.

Le droit d’opposition ne peut pas non plus s’exercer si le contrat est la base légale du traitement : dans ce cas, c’est la rupture du contrat qu’il convient d’effectuer.

Le droit au retrait du consentement existe lorsque le traitement a le consentement comme fondement juridique

Ce droit peut s’exercer via la bannière, restée accessible, dans le cas du dépôt de cookies. Mais le consentement peut avoir été récolté via une case à cocher sur le bandeau d’abonnement à votre newsletter : le retrait du consentement doit être aisé, en général via un simple clic sur un lien présent dans vos newsletters mais également au sein de votre politique de confidentialité, dans un paragraphe explicitement nommé.

Une personne peut demander à ce que ses données soient supprimées. C’est ce qu’on appelle communément le « droit à l’oubli ».

Sur un site Web, le droit à l’effacement va le plus souvent s’accompagner d’une fermeture de compte client : la personne demande la suppression des données associées à son compte.

Il existe des cas où ce droit ne peut pas s’appliquer (respect d’une obligation légale, conservation des données en base intermédiaire à des fins probatoires…).

Une personne demande la suppression de son compte client et de toutes ses données en votre possession ?

Pour accéder à sa demande, vous devrez supprimer son compte client de votre site de e-commerce, mais également veiller à effacer ses données de votre fichier client et de votre outil de CRM. Par contre, les factures de ses achats ne pourront pas être supprimées, car vous avez pour obligation légale de les conserver pendant 10 ans.

Attention à répercuter la suppression en cas de résilience du site Web sur une version antérieure à la date d’effacement de ses données.

Il est intéressant de savoir qu’il existe un droit au déréférencement, qui participe du droit à l’oubli, mais qui concerne le retrait des données personnelles sur les moteurs de recherche. Ce sujet ne concernant pas les éditeurs de sites Web lambda, il n’est pas traité sur ce blog mais la CNIL a édité un article à ce sujet (déréférencement).

Le droit à la portabilité permet à toute personne de demander à ce que ses données puissent lui être transmises (ou directement à un prestataire) dans un format « structuré, couramment utilisé et lisible par une machine » de manière à pouvoir les réutiliser. En d’autres termes, le fichier doit être organisé, et le format technique doit être d’usage courant.

Ce droit s’applique aux traitements fondés sur le consentement ou le contrat et permet aux individus de changer de prestataire sans avoir à ressaisir leurs données et sans perdre leur historique. L’exemple le plus probant est celui d’un utilisateur qui change d’opérateur de téléphonie mobile. Le droit à la portabilité lui évitera de ressaisir tous ses contacts sur la carte SIM de son nouvel opérateur.

Sur un site Web lambda, ce droit concernera une demande d’historique des achats sur votre site e-commerce, un contributeur qui souhaiterait récupérer ses publications parues sur votre blog, ou un candidat qui aurait rempli un formulaire de candidature pour postuler à un emploi…

Le droit à la limitation du traitement par une personne correspond au gel temporaire du traitement de ses données personnelles. Il peut s’exercer seulement dans des cas spécifiques.

Sur un site Web, il va le plus souvent s’agir d’un gel d’utilisation des données le temps que celles-ci soient corrigées après une demande de rectification.

Une personne vous a demandé de modifier son adresse postale car elle a déménagé ?

Attendant la livraison différée d’un article (celui-ci étant indisponible) et craignant que celui-ci soit livré à son ancienne adresse, la personne vous adresse une demande de limitation de traitement de ses données personnelles, qui sera levée une fois que vous lui aurez signalé la modification effective de son adresse postale dans votre fichier.

Son nom exact est « le droit de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé ».

Si vous utilisez des outils d’intelligence artificielle ou de profilage entraînant un possible effet négatif sur une personne (exclusion de candidature pour un poste, refus de crédit bancaire pour l’achat d’un véhicule…), celle-ci a le droit de demander le recours à l’intervention humaine pour l’étude de son dossier.

Vous affichez les postes à pourvoir dans votre entreprise et votre service RH a recours à une décision fondée sur un traitement automatisé pour trier les candidatures, par exemple avec l’aide d’un outil d’Intelligence Artificielle ?

Vous devez informer les candidats de ce processus de décision automatisé, en précisant les conséquences négatives éventuelles pour eux (rejet de leur candidature sans intervention humaine).

Le droit de voir sa candidature étudiée par une personne physique fait partie des droits des personnes. Vous devrez en informer vos internautes :

  • Sur les mentions d ‘information de votre formulaire de soumission de candidature,
  • Dans le paragraphe sur les droits des personnes inclus dans votre politique de confidentialité,
  • Ainsi que dans votre formulaire d’exercice des droits, si votre site Web en prévoit un.

Le RGPD s’applique aux données personnelles des vivants (Considérant 27 du RGPD), mais une personne peut prendre des dispositions sur le sort de ses données personnelles après son décès.

L’article 85 de la loi Informatique et Libertés prévoit la possibilité en France de définir des directives sur le sort de ses données personnelles après son décès. En l’absence de directives, les héritiers ont la possibilité de demander la fermeture du compte d’un défunt (compte client d’un site e-commerce, espace personnel sur un blog…) et de demander la suppression de ses données personnelles. La demande se fait sur présentation de pièces justificatives.

Par droits des personnes, il faut comprendre droits sur leurs données personnelles. Il ne fait pas partie de la liste car il concerne davantage votre obligation de transparence à l’égard des personnes que la maîtrise de celles-ci sur leurs données : le droit à l’information est néanmoins un droit fondamental du RGPD. S’il est détaillé dans l’article consacré à la transparence, je ne peux m’empêcher de faire ici un rappel à son sujet :

Le droit à l’information consiste, comme son nom l’indique, à informer les personnes de façon claire :

  • Sur la justification de la collecte de données. Les personnes concernées doivent savoir qui collecte leurs données, quelles données sont collectées, pour quelle raison, et ce qui est fait de leurs données.
  • Sur la maîtrise qu’ils ont sur leurs données (en leur indiquant leurs droits et la possibilité de faire une réclamation après de la CNIL…)
  • Sur les moyens d’exercer leurs droits.

Sur un site Web, la collecte est directe et implique d’informer lors de celle-ci

Un certain nombre d’informations doivent figurer dans les mentions d’information affichées au moment du recueil des données.

Elles seront également consultables dans votre politique de confidentialité, et dans votre politique de cookies si un dépôt de cookies soumis au consentement a lieu sur votre site.

Pour connaître les informations à mentionner en fonction de la collecte (cookies, formulaire…), je vous renvoie à l’article traitant de l’obligation de transparence.

Autres informations obligatoires

D’autres mentions sont à ajouter si votre site Web est concerné : le transfert de données hors Union Européenne (redirection des leads sur votre compte Gmail, intégration d’une Google Map…), la prise de décision automatisée ou profilage (recrutement par votre service RH, demande de crédit automobile…).

L’obligation de transparence du RGPD vous oblige à contacter les personnes pour les informer en cas de nouveau destinataire des données ou de violation de données présentant un risque élevé pour elles.

Sanction en cas de défaut d’information

Ne pas informer les personnes dont vous recueillez les données vous expose à une amende pénale de 1 500 € pour les entrepreneurs individuels et de 7 500 € pour les sociétés.

L’exercice des droits des personnes

Les personnes retrouveront les informations nécessaires à l’exercice de leurs droits dans votre politique de confidentialité au sein d’un paragraphe dédié. Vous pouvez également choisir de mettre ces informations sur une page spécifique qui doit être visible et accessible, par exemple en accès direct via le menu de votre pied de page.

Voici les informations à faire figurer :

Vous n’avez pas obligation d’expliquer en quoi consiste chacun de ces droits, comme je l’ai fait plus haut, mais vous devez les énumérer à titre d’information.

Si le moyen n’est pas imposé, la démarche d’exercice des droits doit être aisée. Vous pouvez inviter les personnes concernées à vous contacter via :

  • Une adresse email dédiée aux demandes liées au RGPD. Une bonne pratique est que la qualité ou l’identité du destinataire figure dans l’email, par exemple dpo@votresite.fr si votre organisation a un DPO/DPD, ou bien une adresse email de type prenom.nom@votresite.fr.
  • Un formulaire dédié à l’exercice des droits des personnes sur votre site Web, proposant par exemple des cases à cocher. Il doit être accessible en 1 clic. Mettez-le en avant dans votre menu de pied de page, par exemple sous une entrée intitulée « vos droits ». Attention, si ce formulaire présente un CAPTCHA qui dépose des cookies nécessitant le consentement, proposez une alternative pour vous contacter (adresse email par exemple).
  • Une adresse postale est un moyen valable, mais qui peut générer une difficulté à respecter le délai de réponse (1 mois maximum) si vous devez demander à la personne, par courrier postal, de préciser sa demande.

Votre site Web ne recueille pas de données soumises à une décision fondée sur un traitement automatisé ? Listez ce droit dans la liste des droits des personnes, mais inutile de le proposer dans les options de cases à cocher de votre formulaire dédié.

Indiquez l’identité et les coordonnées du DPO (Data Protection Officer), ou Délégué à la Protection des Données (DPD) en français, si vous en avez un, toutes les organisations n’étant pas assujetties à cette obligation.

À défaut de DPO, indiquez l’identité et les coordonnées de la personne à contacter pour toute question relative à la protection des données personnelles ou à l’exercice des droits des personnes. Les coordonnées peuvent consister en une simple adresse email.

Quelle adresse email pour l’exercice des droits ?

Le format indiquera soit l’identité de la personne « prenom.nom@ndd.fr », soit sa fonction « dpo@ndd.fr ».

Mais évitez les adresses de type « contact@ndd.fr ».

Les personnes concernées peuvent introduire une réclamation auprès de la CNIL si elles considèrent que vous n’avez pas respecté leurs droits. Vous devez toujours informer de ce droit, sur vos mentions d’information comme sur votre politique de confidentialité.

Une bonne pratique est d’inviter les personnes concernées à lire les informations que la CNIL met à leur disposition sur leurs droits et de les inviter à faire une réclamation à la CNIL en cas de manquement de votre part.

Par exemple :

« Consultez le site cnil.fr pour plus d’informations sur vos droits.

En cas de manquement relatif à l’exercice de vos droits sur vos données personnelles sur ce site, vous avez la possibilité de faire une réclamation auprès de la CNIL. »

Sachez répondre à une demande d’exercice des droits

Voici la démarche en 4 étapes proposée par la CNIL pour répondre à une demande de droits des personnes.

  1. Vous recevez une demande de droits.
  2. Accusez réception et indiquez que votre retour se fera sous 1 mois maximum, comme le prévoit le RGPD. Vous pouvez si nécessaire demander plus de détails à la personne sur sa demande : quelles données et quel(s) traitement(s) sont concernés ?
  3. Vérifiez que la demande respecte le droit des tiers. La demande de la personne doit porter sur ses propres données personnelles. Lorsque vous lui répondez, veillez bien à extraire ses données de votre liste de clients ou prospects.
  4. Répondez sous le délai de 1 mois maximum. Ce délai peut être rallongé à 3 mois si la demande est complexe, mais vous devez informer la personne sous le délai d’1 mois qu’en raison de la complexité de sa demande, vous lui répondrez sous 3 mois maximum.

Une personne souhaite tendre à l’exercice de ses droits et vous en informe via le formulaire dédié aux droits des personnes sur votre site Web ?

En tant que webmaster vous allez pouvoir répondre des éléments dont vous disposez (entrées de formulaires de contact, données du compte client…), mais la demande de la personne peut concerner l’ensemble de ses données traitées par le responsable de traitement. Dans ce cas, ce dernier répondra au demandeur sur l’ensemble des données en la possession de l’organisation, après consultation des divers services (webmaster, service commercial, CRM, DRH…).

La demande d’un internaute peut concerner sa participation sur votre blog (suppression de ses commentaires et photos, désindexation des pages le concernant…). La CNIL a rédigé une procédure explicative et détaillée pour répondre à ce type de demande.

La démarche d’exercice des droits est gratuite. Des frais administratifs peuvent néanmoins s’appliquer si une personne fait des demandes trop fréquentes et rapprochées.

Il est important de tenir un registre des demandes d’exercice des droits, avec la preuve de vos réponses (captures d’écran) dans le cas où une personne adresserait une plainte à la CNIL, prétendant que vous n’avez pas respecté ses droits.

Le droit d’accès : comment répondre ?

C’est la demande de base, préalable à l’exercice des autres droits. Vous devez fournir des informations très complètes :

  • Finalité du traitement
  • Catégories des données en votre possession
  • Durée de conservation
  • Existence des droits de rectification, d’effacement, de limitation du traitement, d’opposition
  • Origine de la collecte, si vous avez obtenu ses données via un tiers et non par la personne concernée
  • Existence éventuelle d’une décision automatisée dont profilage
  • Droit d’introduire une réclamation auprès de la CNIL
  • Destinataires des données
  • Éventuel transfert hors UE des données

En cas de demande de droit de rectification, d’effacement ou de limitation du traitement

Vous devez en informer les autres destinataires des données afin qu’ils répercutent la demande dans leur fichier. Dans le cas d’un site e-commerce, il conviendra par exemple d’en informer les sociétés de livraison.

La preuve de l’identité de la personne

Il n’est pas toujours aisé de prouver que le demandeur est bien la personne concernée. Demander copie de la pièce d’identité n’est pas recommandé. De plus, ce type de document peut être facilement falsifié avec les technologies actuelles.

Une personne vous demande la suppression de son compte client sur votre site e-commerce ?

L’adresse email utilisée lors de l’échange doit correspondre à celle que vous avez en base de données (renseignée sur son espace client). Vous pouvez demander à la personne d’autres éléments qui viendront prouver son identité : demander quels sont les derniers articles achetés, la date de sa dernière commande, son numéro de client…

Vous avez une hésitation sur l’identité d’une personne et vous ne savez pas comment vous y prendre ? Prenez le conseil d’un spécialiste des droits RGPD (juriste ou avocat).

Votre site Web respecte les droits des personnes ?

Bravo ! Vous devez maintenant vérifier que vos traitements respectent les autres grands principes du RGPD.

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi