Depuis l’entrée en vigueur du RGPD, salariés, adhérents, personnes vulnérables, mineurs, travailleurs handicapés, personnes de confiance, adhérents ou toute autre personne physique dont les données font l’objet d’un traitement de données personnelles par un organisme public ou privé peut exercer six droits directement auprès de celui-ci.
Quels sont-ils ?
- Droit d’accès : Droit d’obtenir des informations sur les traitements et/ou une copie des données traitées
- Droit à la rectification : droit de faire rectifier, compléter ou actualiser les données qui s’avèrent erronées, incomplètes ou inexactes
- Droit à l’effacement : droit de demander l’effacement de tout ou partie des données
- Droit à la portabilité : droit de récupérer les données dans un format lisible par machine, pour un usage personnel ou pour les fournir à un autre organisme
- Droit d’opposition : droit de s’opposer dans certains cas à ce que leurs données soient utilisées pour un objectif précis
- Droit à la limitation du traitement : droit de demander que le traitement de leurs données soit bloqué un certain temps.
L’importance du choix de la base légale
Les personnes bénéficient de ces droits en fonction de :
- La base légale du traitement
Pour information, vous pouvez consulter l’article intitulé RGPD et licéité du traitement : le choix de la base légale.
- Ou d’autres critères : si les données ne sont plus nécessaires ou si elles font l’objet d’un traitement illicite, le droit à l’effacement s’applique.
De plus, certains droits qui pourraient s’appliquer peuvent également être soumis à des exceptions. Par exemple, l’effacement ne sera pas possible si une obligation légale impose la conservation (exemple : une obligation fiscale) ou au regard de la liberté d’expression ou encore à des fins archivistiques.
Les conditions de l’exercice des droits Informatique et libertés
L’exercice de ces droits est aussi conditionné par le délai de réponse, l’identification de la personne concernée et le motif de refus de la demande.
Premièrement, la réponse doit être communiquée dans un délai maximal d’un mois. Le délai de réponse peut être étendu à un total de trois mois en cas de demande « complexe ». D’autres délais peuvent s’appliquer suivant le type de la demande. Le demandeur doit être informé de l’extension du délai et du motif le justifiant dans le mois suivant sa demande.
Deuxièmement, le responsable de traitement doit répondre à toutes les demandes émanant de personnes dont l’identité est vérifiée. En cas de doute sur l’identité du demandeur, l’organisme doit requérir des informations supplémentaires de nature à prouver cette identité.
Troisièmement, en cas de rejet d’une demande (impossibilité juridique ou technique), l’organisme informe le demandeur des raisons de ce rejet et du droit d’adresser une réclamation auprès de la CNIL dans un délai maximal d’un mois.
Que faire lorsque vous recevez ce type de demande ?
Tout d’abord, il est important de communiquer sur les coordonnées du délégué à la protection des donnée (DPO) afin d’anticiper toute réclamation auprès de la CNIL.
Ensuite, à réception de la demande, appliquer la procédure mise en place en interne. Le Cabinet ACCENS propose une procédure à tous ses clients afin de faciliter la réponse aux demandes d’exercice des droits. Cette procédure doit être adaptée à votre organisation en interne et prendre en compte la vulnérabilité des personnes concernées.
Toute l’équipe du Cabinet ACCENS Avocats se tient à votre disposition pour vous accompagner dans la mise en œuvre du RGPD et pour toutes informations supplémentaires.
