Données personnelles : vos droits et vos devoirs

Les données personnelles sont toutes les informations se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple son nom, son numéro de téléphone, son adresse email, son image ou sa voix.

Ces données sont de plus en plus collectées et traitées par des organismes publics ou privés, à des fins diverses : gestion de la relation client, marketing, recrutement, sécurité, etc. Mais ces traitements ne sont pas sans risque pour la vie privée des personnes concernées, qui peuvent voir leurs données utilisées à leur insu, divulguées à des tiers non autorisés, piratées ou détournées.

C’est pourquoi le règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018 dans l’Union européenne, renforce les droits des personnes et responsabilise les acteurs traitant des données personnelles.

Ce texte vise à garantir une utilisation des données respectueuse de la dignité humaine et des libertés fondamentales. Il s’applique à tous les organismes qui collectent ou traitent des données personnelles de personnes se trouvant sur le territoire européen, qu’ils soient situés ou non dans l’UE.

Quels sont les droits des internautes sur leurs données personnelles ?

Le RGPD reconnaît aux internautes un ensemble de droits sur leurs données personnelles, qu’ils peuvent exercer auprès des organismes qui les traitent. Ces droits sont les suivants :

• Le droit d’information : il s’agit du droit d’être informé sur l’identité du responsable du traitement, la finalité du traitement, les destinataires des données, la durée de conservation des données, les éventuels transferts de données hors de l’UE, les droits dont dispose la personne concernée et les modalités pour les exercer.
• Le droit d’accès : il s’agit du droit d’obtenir la confirmation que des données personnelles sont ou non traitées et, le cas échéant, d’accéder à ces données et à des informations complémentaires sur le traitement (par exemple la logique sous-jacente à un traitement automatisé).
• Le droit de rectification : il s’agit du droit de demander la correction des données personnelles inexactes ou incomplètes.
• Le droit à l’effacement : il s’agit du droit de demander la suppression des données personnelles dans certains cas (par exemple lorsque les données ne sont plus nécessaires au regard de la finalité du traitement ou lorsque la personne concernée retire son consentement).
• Le droit à la limitation du traitement : il s’agit du droit de demander la suspension du traitement dans certains cas (par exemple lorsque la personne concernée conteste l’exactitude des données ou s’oppose au traitement).
• Le droit à la portabilité : il s’agit du droit de recevoir les données personnelles fournies à un organisme dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre organisme sans entrave.
• Le droit d’opposition : il s’agit du droit de s’opposer au traitement des données personnelles pour des motifs liés à sa situation particulière ou lorsque le traitement est fondé sur l’intérêt légitime du responsable du traitement ou sur une mission d’intérêt public. Ce droit s’applique également au profilage et au marketing direct.
• Le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé : il s’agit du droit de ne pas faire l’objet d’une décision produisant des effets juridiques ou affectant significativement la personne concernée sans intervention humaine (par exemple un refus de crédit ou une sélection pour un emploi).
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle : il s’agit du droit de saisir l’autorité compétente en cas de violation des règles relatives à la protection des données personnelles (en France, il s’agit de la Commission nationale de l’informatique et des libertés – CNIL).

Pour exercer ces droits, les internautes doivent contacter le responsable du traitement ou son délégué à la protection des données (DPO), si celui-ci a été désigné. Ils doivent fournir une preuve de leur identité et préciser leur demande.

Le responsable du traitement doit répondre dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes.

Quelles sont les obligations des internautes en matière de protection des données personnelles ?

Les internautes ont également des obligations en matière de protection des données personnelles, notamment lorsqu’ils collectent ou traitent eux-mêmes des données personnelles d’autres personnes (par exemple dans le cadre d’une activité professionnelle ou associative). Ces obligations sont les suivantes :

• L’obligation de respecter les principes relatifs au traitement des données personnelles : il s’agit notamment du principe de licéité (le traitement doit être fondé sur une base légale), du principe de loyauté (le traitement doit être transparent vis-à-vis des personnes concernées), du principe de finalité (le traitement doit poursuivre un objectif déterminé, explicite et légitime), du principe de proportionnalité (le traitement doit être limité aux données nécessaires au regard de la finalité), du principe d’exactitude (le traitement doit garantir que les données sont exactes et mises à jour) et du principe de sécurité (le traitement doit assurer la confidentialité et l’intégrité des données).
• L’obligation d’informer les personnes concernées par le traitement : il s’agit de fournir aux personnes concernées toutes les informations requises par le RGPD sur le traitement (voir le droit d’information ci-dessus).
• L’obligation d’honorer les demandes d’exercice des droits par les personnes concernées : il s’agit de répondre aux demandes formulées par les personnes concernées pour exercer leurs droits sur leurs données personnelles (voir les droits ci-dessus).
• L’obligation d’établir un registre des activités de traitement : il s’agit d’un document qui recense tous les traitements effectués par un organisme. Ce registre doit contenir notamment le nom et les coordonnées du responsable du traitement et du DPO si applicable, les finalités du traitement, les catégories de personnes concernées et de données traitées, les destinataires des données, les transferts éventuels hors UE et leurs garanties juridiques, les durées
  de conservation prévues et les mesures techniques et organisationnelles pour la protection des données).
• L’obligation de désigner un délégué à la protection des données (DPO) : il s’agit d’un expert du droit et des pratiques en matière de protection des données personnelles, qui a pour mission de conseiller et de contrôler le respect du RGPD au sein de l’organisme. La désignation d’un DPO est obligatoire dans certains cas (par exemple lorsque le traitement est effectué par une autorité publique ou lorsque le traitement implique un suivi régulier et systématique à grande échelle des personnes concernées).
• L’obligation de réaliser une analyse d’impact relative à la protection des données (AIPD) : il s’agit d’un document qui permet d’évaluer les risques que présente un traitement pour les droits et libertés des personnes concernées et de déterminer les mesures à mettre en œuvre pour les réduire. La réalisation d’une AIPD est obligatoire dans certains cas (par exemple lorsque le traitement repose sur une prise de décision automatisée ou lorsque le traitement porte sur des données sensibles à grande échelle).
• L’obligation de notifier les violations de données personnelles : il s’agit d’informer l’autorité de contrôle (la CNIL en France) et, le cas échéant, les personnes concernées, en cas de violation de données personnelles susceptible d’engendrer un risque pour leurs droits et libertés (par exemple une perte, une destruction, une altération ou une divulgation non autorisée de données). La notification doit être faite dans les meilleurs délais et, si possible, dans les 72 heures après avoir pris connaissance de la violation.
• L’obligation de coopérer avec l’autorité de contrôle : il s’agit de répondre aux demandes et aux injonctions de l’autorité de contrôle dans le cadre de ses missions de contrôle et de sanction du respect du RGPD.

Pour respecter ces obligations, les internautes doivent se conformer aux règles et aux recommandations émises par l’autorité de contrôle (la CNIL en France) et par le Comité européen de la protection des données (CEPD), qui regroupe les autorités de contrôle des États membres de l’UE. Ils doivent également mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles qu’ils traitent. Ces mesures peuvent inclure notamment :

• La pseudonymisation ou l’anonymisation des données : il s’agit de rendre impossible ou très difficile l’identification des personnes concernées par les données traitées, en remplaçant ou en supprimant les éléments permettant cette identification.
• Le chiffrement des données : il s’agit de rendre illisible les données traitées, sauf pour ceux qui disposent d’une clé ou d’un code permettant leur déchiffrement.
• La gestion des habilitations : il s’agit de limiter l’accès aux données traitées aux seules personnes autorisées et selon leur besoin.
• La sauvegarde et la restauration des données : il s’agit de prévoir des solutions pour conserver et récupérer les données traitées en cas d’incident ou de sinistre.
• La mise à jour des logiciels : il s’agit de veiller à ce que les logiciels utilisés pour le traitement des données soient régulièrement mis à jour afin de corriger les éventuelles failles ou vulnérabilités.
• La sensibilisation et la formation du personnel : il s’agit d’informer et d’éduquer le personnel impliqué dans le traitement des données sur les règles et les bonnes pratiques à respecter en matière de protection des données personnelles.

Conclusion

Les internautes ont des droits et des obligations en matière de protection des données personnelles, qui sont encadrés par le RGPD. Ce règlement vise à garantir une utilisation des données respectueuse de la vie privée et des libertés fondamentales des personnes concernées.

Il impose aux organismes qui collectent ou traitent des données personnelles de se conformer à des principes, à des règles et à des recommandations émises par les autorités compétentes.

Il reconnaît également aux personnes concernées un ensemble de droits qu’elles peuvent exercer auprès des organismes responsables du traitement. Il s’agit ainsi d’un texte essentiel pour assurer la confiance numérique et la sécurité juridique dans l’espace européen.

Si vous souhaitez approfondir le sujet ou obtenir plus d’informations sur la protection des données personnelles, vous pouvez consulter les sites suivants :

• Le site officiel de la CNIL, qui propose notamment un guide pratique du RGPD, un Mooc RGPD gratuit, un guide RGPD du développeur, un guide RGPD du sous-traitant, un guide RGPD pour les associations, etc.
• Le site officiel de la Commission européenne sur la protection des données, qui présente notamment le RGPD, ses principes, ses règles, ses droits, ses sanctions, etc.
• Le site officiel du ministère français chargé de l’économie sur la protection des données personnelles, qui résume notamment les droits des internautes sur leurs données personnelles.