Les obligations du Responsable de Traitement en matière de droit d’accès de la personne concernée.
Il ne se passe pas un jour, depuis le 25 mai 2018, où je n’entends pas parler du RGPD.
Vous me direz que c’est normal puisque c’est mon métier d’accompagner les entreprises dans leur mise en conformité. Le règlement général sur la protection des données apporte de nouveaux droits aux consommateurs/utilisateurs mais également un certain nombre d’obligations pour les entreprises. Certains nous diront que c’est un changement de paradigme, d‘autres que c’est une révolution pour le monde du numérique allant même jusqu’à dire que c’est un bien pour l’humanité.
Dans ce bref article, j’ai décidé de parler uniquement des obligations du Responsable de Traitement en matière de réponse aux demandes de droit d’accès de la personne concernée. Pourquoi ?
Le constat est simple, depuis que tout le monde parle du RGPD, les utilisateurs ont l’impression d’avoir un nouveau droit et que beaucoup de personnes à qui ils ont confiés leurs données en font ce qu’elles veulent. Dans certains cas, cela n’est pas faux. Je ne vais pas citer en particulier les GAFAM car comme nous le savons tous, ce ne sont pas les seuls à le faire. De plus, les autorités facilitent aux utilisateurs l’accès à leurs droits en communiquant des courriers types qu’ils peuvent adresser aux entreprises et à tout autre organisme qui possède ou aurait pu posséder des informations les concernant.
Vos obligations en tant que Responsable de traitement :
Notre autorité de contrôle national, la CNIL, est très claire sur les informations que doit obtenir un utilisateur de la part de son Responsable de Traitement et les délais qui lui sont impartis pour donner suite à une telle demande. Le délai de réponse est d’un mois à réception de la demande mais peut toutefois être prolongé de deux mois. Dans certains cas, il restera à la charge du Responsable de Traitement la justification de ce délai de prolongation. Toutefois la CNIL souligne, sur son site, que les informations à communiquer sont sensiblement différentes selon la façon dont ont été obtenues les informations qui concernent l’utilisateur (obtention directement auprès de l’utilisateur ou indirectement, nous parlerons de cette différence lors d’un prochain post).
Article 13 du RGPD- Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le Responsable du Traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
- a) l’identité et les coordonnées du Responsable du Traitement et, le cas échéant, du représentant du Responsable du Traitement ;
- b) le cas échéant, les coordonnées du Délégué à la protection des données ;
- c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
- d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le Responsable du Traitement ou par un tiers ;
- e) les destinataires ou les catégories de destinataire des données à caractère personnel, s’ils existent ;
- f) le cas échéant, le fait que le Responsable du Traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie selon l’endroit où elles ont été mises à disposition.
2. En plus des informations visées au paragraphe 1, le Responsable du Traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
- a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- b) l’existence du droit de demander au Responsable du Traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
- c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la laicéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- d) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat, et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
- f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle celles-ci ont été collectées, le Responsable du Traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
4. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
Comme vous pouvez le constater, un grand nombre d’informations doivent être communiquées aux utilisateurs et cela risque d’être compliqué dans certains cas, si des procès ne sont pas mis en place. Le non-respect des droits des utilisateurs peut donner droit à de lourdes sanctions en plus de nuire à votre image de marque.
Si j’avais quelques conseils à donner aux utilisateurs : Contrôler les informations que vous partagez et diffusez sur la toile, assurez-vous du respect de vos droits par les plateformes sur lesquelles vous déposez de la donnée. Pour conclure, je dirais que : Certes, en tant qu’utilisateur, le RGPD nous donne certains droits, mais pourquoi ne pas mieux gérer notre image numérique pour ne pas avoir à solliciter les entreprises à tort et à travers ?
Cet article a été rédigé par Nour Habita www.nouvelhorizonconseil.com
Besoin d’aide, contactez-nous, nos experts se feront un plaisir de répondre à vos demandes.
Source des informations juridiques : www.cnil.fr