Dans notre monde de plus en plus numérique, la protection des données joue chaque jour un rôle plus important. Avec le nouveau Règlement Général sur la Protection des Données (RGPD), l’Union européenne renforce considérablement tes droits en ce qui concerne le traitement minutieux de tes données personnelles.

Dans cet article, nous voulons te donner un aperçu détaillé des droits dont tu disposes grâce au RGPD. Si tu recherches plutôt un bref résumé, consulte cet article (en anglais).

Qu’est-ce que le RGPD ?

Le RGPD est un règlement de l’UE entré en vigueur le 25 mai 2018. L’objectif du RGPD est de donner aux citoyens de l’UE un meilleur contrôle sur leurs données personnelles. En uniformisant la réglementation sur la protection des données dans toute l’UE, la situation juridique des citoyens et des entreprises sera plus claire et la bureaucratie réduite.

Le RGPD remplace principalement la législation nationale précédente sur la protection des données, comme la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dite « Informatique et Libertés » (dans certains aspects, il permet toutefois aux États membres une interprétation individuelle dans la législation nationale). En tant que règlement de l’UE, il est directement applicable dans tous les États membres de l’UE, sans que ceux-ci aient à le transposer dans leur droit national.

Droits des personnes concernées

Le RGPD reconnaît le droit fondamental des individus à la protection de leurs données personnelles (tel que défini par l’article 8, alinéa 1, de la Charte des droits fondamentaux de l’Union européenne). Ce droit doit être mis en perspective avec la réalité bien établie d’un monde dans lequel l’échange et le traitement des données jouent un rôle toujours plus important dans la vie quotidienne de chaque être humain et nous procurent des avantages indispensables :

L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. […] De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l’économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. — Raison 6 du RGPD

Afin de parvenir à cet équilibre, des exigences élevées sont posées à la collecte et au traitement des données à caractère personnel et des droits étendus sont garantis aux personnes concernées vis-à-vis des responsables de traitement.

La plupart de ces droits (tels que le droit d’accès aux données personnelles) existaient également dans la législation antérieure au Royaume-Uni et dans d’autres pays. Toutefois, le RGPD étendra ces droits et, surtout, les mettra en œuvre de manière claire et à l’échelle de l’UE.

Une information juste et transparente

Un principe important du RGPD est la transparence envers toi en tant que personne concernée. Les entités qui veulent traiter tes données personnelles ont l’obligation totale de communiquer des informations détaillées.

Ces obligations sont spécifiquement définies aux articles 12 et 13 du RGPD. Le responsable de traitement doit non seulement te fournir le nom et les coordonnées de la structure responsable du traitement, mais aussi les finalités du traitement de tes données, la durée de conservation, les destinataires auxquels elles seront transmises et s’il est prévu de les transférer vers un pays tiers (article 13, paragraphes 1 et 2, du RGPD).

Ces informations doivent être fournies directement au moment de la collecte des données. Cela permet de garantir un traitement équitable et transparent dans le cadre duquel tu peux décider en connaissance de cause si tu acceptes le traitement.

Droit d’accès aux données

Un autre droit important est le droit d’accès aux données, qui est défini dans l’article 15 du RGPD. Il te permet tout d’abord de demander aux entreprises et autres organisations de confirmer si des données à caractère personnel te concernant sont conservées (article 15, paragraphe 1, première phrase, du RGPD). Si tel est le cas, tu peux demander une copie gratuite des données stockées à ton sujet (article 15, paragraphe 3, du RGPD).

Toutefois, tu peux également demander de nombreuses informations supplémentaires concernant le traitement de tes données (article 15, paragraphes 1 et 2, du RGPD). Citons, par exemple :

  • les finalités du traitement,
  • les catégories de données à caractère personnel concernées,
  • les destinataires auxquels les données ont été ou seront communiquées,
  • la période envisagée pour la conservation des données à caractère personnel,
  • les sources des données, si elles n’ont pas été collectées directement auprès du responsable de traitement,
  • si une évaluation est effectuée : vos notes calculées et des informations significatives sur la logique qui les motive,
  • si vos données sont transférées vers un pays tiers : comment ce dernier s’assure que vos droits sont respectés.

Droit à la portabilité des données

Le droit à la portabilité des données n’existait pas jusqu’à présent ; il est introduit par l’article 20 du RGPD. Il est censé te permettre de recevoir tes données « dans un format structuré, couramment utilisé et lisible par machine » et de les transmettre « à un autre responsable du traitement » (article 20, paragraphe 1, du RGPD).

Ce droit s’adresse en particulier aux utilisateurs de réseaux sociaux et de services cloud. Jusqu’à présent, les fournisseurs ont souvent utilisé des systèmes propriétaires empêchant de passer à une autre plateforme dans leur propre intérêt. L’objectif est d’y mettre un terme, afin de te donner une plus grande liberté dans le choix des plateformes qui te conviennent, mais aussi d’empêcher les monopoles.

Comme le droit à la portabilité des données est encore très récent, il y a très peu de précisions sur la manière dont il sera mis en œuvre dans la pratique. Toutefois, certaines entreprises telles que Facebook et Google proposent déjà des solutions initiales sous la forme d’outils en ligne, que tu peux utiliser pour télécharger tes données au format JSON, par exemple. Il sera intéressant de voir comment cela se passera à l’avenir.

Droit de rectification

Dans certains cas, les données qu’une entreprise a stockées à ton sujet peuvent être incorrectes ou incomplètes. Le droit de rectification prévu à l’article 16 du RGPD te garantit la possibilité de demander la rectification à l’entreprise dans ce cas.

Ce droit est particulièrement intéressant en ce qui concerne les agences de crédit telles que Experian et Equifax, qui collectent des données sur tes antécédents de paiement, tes transactions bancaires, tes contrats de téléphonie mobile et bien d’autres choses afin de calculer les probabilités de paiement et ainsi de suite. Si le calcul est basé sur des données inexactes, cela peut avoir des conséquences très négatives pour toi.

Il est important de noter que selon I’article 19 du RGPD, le responsable de traitement doit non seulement procéder à la rectification de tes données, mais également communiquer cette rectification à tous les destinataires, de sorte qu’ils l’effectuent également dans leurs systèmes en conséquence.

Droit à l’effacement

Si tu souhaites qu’une entreprise supprime les données à caractère personnel qu’elle a stockées sur toi, tu peux utiliser le droit à l’effacement (ou « droit à l’oubli »), défini dans l’article 17 du RGPD. Ce droit te permet de demander la suppression immédiate des données te concernant dans certaines circonstances.

Les condition requises pour cela sont données, par exemple, si

  • les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées (article 17, paragraphe 1, point a, du RGPD),
  • vous révoquez votre consentement au traitement (article 17, paragraphe 1, point b, du RGPD),
  • les données ont été traitées illégalement (article 17, paragraphe 1, point d, du RGPD).

Toutefois, il existe également des cas où le droit est limité et où la suppression n’est pas accordée. Citons, par exemple :

  • si le droit à la liberté d’expression et d’information l’emporte sur le droit à l’effacement (article 17, paragraphe 3, point a, du RGPD),
  • s’il existe une obligation légale de conserver les données (article 17, paragraphe 3, point b, du RGPD),
  • l’utilisation à des fins d’archivage et de recherche scientifique ou historique dans l’intérêt public (article 17, paragraphe 3, point d, du RGPD),
  • pour faire valoir des droits (article 17, paragraphe 3, point e, du RGPD).

L’article 19 du RGPD s’applique également aux demandes concernant la suppression de données et le responsable de traitement doit informer tous les destinataires de la suppression, afin qu’ils l’appliquent également dans leurs systèmes.

Comment puis-je exercer ces droits ?

En général, tu peux faire valoir tous les droits ci-dessus à l’égard d’une entreprise par le biais d’une demande informelle. Tu peux également utiliser notre générateur pour générer automatiquement des demandes et utiliser en même temps notre large base de données d’entreprises.