RGPD : les droits des personnes
Le règlement général sur la protection des données, qui entre en vigueur le 25 mai 2018, vient renforcer le droit des personnes afin de leur garantir la pleine maîtrise des informations les concernant. Ainsi, le responsable du fichier à caractère personnel a l’obligation de leur expliquer comment exercer ce droit et si elles décident de le faire, il n’a que deux mois pour répondre à leur demande. Tour d’horizon de ce qui change avec le RGPD.
Le droit à l’information des personnes dans le RGPD
Désormais, la collecte de données opérées par les entreprises doit être à la fois loyale et licite. Aussi, elles doivent assurer une information précise et claire des personnes sur plusieurs points :
- L’identité du responsable du fichier
- L’objectif de ce fichier
- La qualité facultative ou obligatoire des réponses, et les conséquences en cas d’absence de réponse
- L’identification des destinataires des données
- Les droits des personnes sur les informations (accès, modification ou opposition)
- La possibilité ouverte ou non à un transfert des données vers des pays hors UE.
Attention, l’information doit être préalable au recueil des données !
Le recueil du consentement dans le cadre du RGPD
Tout comme l’information, le consentement au recueil des données doit être préalable à celui-ci. Il est obligatoire si :
- Les données collectées possèdent un caractère sensible (qui font apparaître les origines, la religion, etc…)
- Si des cookies sont utilisés
- Si les données sont réutilisées à d’autres fins, comme la prospection commerciale par e-mail par exemple.
Le consentement doit être de préférence recueilli par écrit et doit se matérialiser par une opération active de la personne, comme une case à cocher.
Le droit d’opposition des personnes dans le RGPD
Il est ouvert à toutes les personnes disposant d’un motif légitime au traitement des données à caractère personnel qui le concernent. Cette notion demeure encore floue et sera définie par la jurisprudence au fil des contentieux, mais un motif légitime peut être la volonté de ne plus figurer sur le fichier d’un commerçant ou sur un organigramme d’entreprise. Il n’est en revanche pas possible de s’opposer aux traitements des informations personnelles dans le domaine fiscal (impôts).
Les sociétés qui gèrent des fichiers d’information à caractère personnel doivent avertir les personnes dont elles recueillent les données de leur possibilité de s’opposer à la réutilisation de celles-ci à des fins de sollicition. Il ne suffit pas de mentionner cette possibilité dans les conditions générales de vente, il faut également que les personnes montrent clairement leur choix en cochant une case sur le bon de commande ou le formulaire.
Le droit d’accès et de rectification ouvert par le RGPD
Les personnes peuvent accéder aux informations qui les concernent, à celles qui fondent une décision à leur égard (refus d’octroi d’un crédit bancaire ou d’une promotion, etc.) et en demander la copie par écrit. Elles peuvent également exiger la rectification, la mise à jour, le complément ou la suppression des données.
Ce droit d’accès peut se faire par courrier postal, idéalement en LRAR, avec la copie d’un justificatif d’identité, ou directement dans l’entreprise, toujours muni d’une pièce d’identité.
Le responsable du fichier ne dispose que d’un délai de réponse de 2 mois au maximum, sauf s’il demande des informations complémentaires, dans ce cas le délai est suspendu et reprend une fois les compléments reçus. Le responsable conserve néanmoins la possibilité de refuser l’accès au fichier, mais il doit donner une décision motivée et informer la personne sur les délais et les moyens de recours contre cette décision.
Il est à noter que même si la personne ne figure pas dans son fichier, dès lors qu’elle fait une demande à un responsable, celui-ci doit répondre dans les deux mois.