Utilisation de données personnelles par les entreprises : les droits des citoyens consacrés par le RGPD
Le Règlement Général sur la Protection des Données (RGPD) ne touche pas seulement les entreprises. Tout le monde est concerné, même le simple citoyen. Si le RGPD n’empêche pas les personnes de donner leurs données personnelles aux entités qu’elles veulent, il leur offre néanmoins des moyens pour les contrôler et pour demander leur respect.
Le droit à l’information
Le RGPD oblige les entreprises à informer la personne concernée sur divers points au moment où elles réalisent la collecte de leurs données. Parmi ces informations : le droit de faire une réclamation auprès de l’autorité de contrôle en cas d’abus, les coordonnées du responsable de traitement, les mesures de protection mise en place en cas de transfert en dehors de l’UE, les coordonnées du DPO…
L’importance du consentement
Le consentement constitue l’une des notions au centre du RGPD. Ce dernier lui donne une importance plus que considérable. Dorénavant, pour être légal, un traitement portant sur une donnée personnelle devra toujours se fonder sur le consentement éclairé et libre de la personne concernée. Et le responsable de traitement doit le prouver en tenant une documentation contenant l’enregistrement de ce consentement.
Les droits des personnes face au profiling
Le profiling ou profilage constitue l’une des préoccupations majeures du RGPD. Pour faire simple, c’est l’usage des données qui consiste à prédire le comportement d’achat, de déplacements, des préférences… d’une personne physique. Le profiling se fait généralement à l’aide d’algorithmes. C’est donc souvent une opération purement automatisée. Dans le RGPD, le profilage est possible si la personne concernée a donné son autorisation expresse (dans le cadre d’un contrat par exemple). Cette règle du RPGD est quelque peu critiquable, car affaiblit dans un sens l’objectif du nouveau règlement. Des questions peuvent toujours être posées : est-ce que la personne qui a donné son consentement est bien consciente de ce qu’elle accepte ? Et la personne concernée peut-elle vraiment refuser l’action de profilage ? Dans tous les cas, la CNIL sera particulièrement sévère sur le respect de cette partie du RGPD.
Le droit à l’effacement ou droit à l’oubli
Le droit à l’effacement ou droit à l’oubli constitue également l’une des notions clés du RGPD. Elle a été consacrée par ce nouveau texte en se basant sur la jurisprudence de la Cour de Justice de l’Union Européenne. Mais il ne s’appliquait qu’aux moteurs de recherche. Le droit à l’oubli a donc été étendu dans le RGPD. Ce dernier prévoit qu’il s’appliquera dans 6 cas :
– Les données ne sont plus utilisées au regard de leurs finalités initiales ;
– La personne concernée n’a plus autorisé le traitement de ses données ;
– La personne concernée à exercer son droit d’opposition et en plus, il n’existe pas de raisons légitimes qui s’impose pour le traitement ;
– Le traitement en lui-même est illicite ;
– L’exercice du droit à l’effacement tient d’une obligation légale ;
– Les données ont été collectées auprès de personnes mineures dans le cadre d’une activité commerciale ;
Il existe plusieurs exceptions à l’exercice du droit à l’effacement : la liberté d’expression, le respect d’une obligation légale, le motif d’intérêt public dans le domaine de la santé, l’archivage répond à un besoin d’intérêt public (scientifique, historique, statistique…), la mise en œuvre de droits en justice (constatation, exercice, défense).
Le droit à la limitation du traitement
C’est encore un nouveau droit consacré par le RGPD. L’exercice de ce droit permet de faire cesser temporairement le traitement des données. Les données ne pourront alors faire que l’objet d’une conservation (sauf volonté contraire de la personne concernée).
Droit à la portabilité
Ce droit permet à une personne concernée d’obtenir des données la concernant dans un « format structuré couramment utilisé et lisible par machine ». Il permet également de transmettre les données à une tierce organisation. Ce droit ne peut être accordé que pour les données transmises par la personne concernée et collectées après qu’elle ait donné son consentement.
Les mineurs sont mieux protégés
Le RGPD protège les personnes mineures : « Si l’enfant est âgé de moins de 16 ans (ou n’a pas l’âge fixé par l’État membre), le traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de l’autorité parentale. » Quand la personne concernée sera donc un mineur, il faudra toujours vérifier si l’autorité parentale a bien donné son aval.