En vertu du réglement général sur la protection des données (RGPD), les personnes concernées ont des droits leur permettant de contrôler l’utilisation de leurs données personnelles par les tiers.
Tout responsable de traitement et, dans la mesure du nécessaire, tout sous-traitant doit être en mesure de répondre à ces demandes dans les délais raisonnable et au plus tard dans le mois suivant la demande de la personne concernée.
Chacun de ces droits est résumé ci-dessous.
Droits des personnes concernées
Contenu. Ce droit permet aux personnes concernées d'accéder et d’obtenir une copie de toutes les données les concernant traitées par un responsable de traitement
Périmètre/commentaire. La demande concerne toutes les données de la personne concernée et ne peut être refusée par le responsable de traitement que dans des cas exceptionnels
Contenu. Ce droit permet aux personnes concernées de demander à ce que leur données leur soit envoyées ou transférées à un autre responsable de traitement dans un format permettant leur réutilisation.
Périmètre/commentaire. Ce droit est limité aux données personnelles transmises par la personne concernée pour des traitements basés sur leur consentement ou l’exécution d’un contrat. Toutes données derivées sont exclues (ex: analyses, commentaires faits à partir de l'analyse des données).
Pour plus d'information, voir l'article spécifique au droit à la portabilité ici
Contenu. Ce droit permet aux personnes concernées de demander à ce que leur données personnelles soient modifiées/rectifiées lorsqu’elles ne sont plus à jour ou inexactes.
Périmètre/commentaire. Ce droit est généralement utilisé suite à une demande de droit d’accès.
Contenu. Ce droit permet aux personnes concernées de demander au responsable de traitement d’arrêter le traitement de leurs données (les données ne sont pas supprimées mais ne sont plus utilisées pour les finalités auxquelles la personnes s’est opposée).
Périmètre/commentaire. Ce droit peut être utilisé dans les cas suivants:
· Lorsqu’un traitement de données est fondé sur l’intérêt légitime du responsable de traitement ou l’intérêt public. Dans ce cas, le responsable de traitement peut refuser la demande s’il démontre que son intérêt légitime l’emporte sur les droits et libertés des personnes concernées ou qu’il a besoin des données pour l’établissement, l’exercice ou la défense d’une plainte.
· Lorsque les données personnelles sont traitées à des fins de prospection commerciale ce qui inclut le profilage effectué à cette fin.
· Lorsque les données personnelles sont traitées à des fins de recherche scientifique ou historique ainsi qu’à des fins statistiques (voir article 89) à moins que le traitement soit mis en oeuvre dans l’intérêt public.
Contenu. Permet aux personnes concernées de demander l’effacement de leurs données
Périmètre/commentaire. Les personnes concernées peuvent demander l’effacement de leurs données dans les cas suivants:
· les données ne sont plus nécessaires ou ont été collectées illégalement
· la personne concernée a retiré son consentement sur lequel le traitement était fondé.
· la personne concernée a fait valablement jouer son droit d’opposition
· les données personnelles ont été collectées pour offrir un service sur internet à des mineurs.
Contenu.Lorsqu’une personne concernée ne veut pas effacer ses données mais ne souhaite plus que ses données soient traitées à certaines fins, elle peut demander au responsable de traitement d’arrêter leur traitement dans certains cas (voir ci-dessous).
Le responsable de traitement doit conserver les données mais ne peut pas les utiliser à ses fins sans le consentement de la personne concernée à l'exception du cas d'une demande légale.
Ce droit est en principe limité dans le temps.Périmètre/commentaire. Les personnes concernées peuvent utiliser leur droit à la limitation du traitement dans les cas suivants:
·La personne concernée conteste l’exactitude de ses données personnelles et ne veut pas qu’elles soient utilisées durant la phase de vérification
·Le traitement est illégal et la personne concernée préfère la restriction à l’effacement des données
·Le responsable de traitement n’a plus besoin des données personnelles mais la personne concernée en a besoin pour une procédure légale.
·La personne concernée s’est opposé au traitement et ses données ne devraient pas être utilisées durant la verification de l’intérêt légitime du responsable de traitement.
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat.
Cette publication est également disponible en en_GB.