Journée Mondiale de la Protection des Données Individuelles – 28 janvier 2020

Données personnelles, vous avez des droits, les connaissez-vous ? Savez-vous comment les exercer ?

Le 28 janvier est consacrée à la « Journée Mondiale de la Protection des Données Individuelles ». Pour l’occasion, nous vous invitons à réfléchir sur la notion même de vie privée.

 

 

En tant qu’usager, une large palette de droits s’offrent à vous. Vous pouvez par exemple :

  • Demander à un site d’effacer une information gênante vous concernant (c’est le droit à l’effacement)
  • Demander à ne plus figurer dans une base de données commerciale
  • Procéder à la suppression d’une information inexacte sur un document (droit à la rectification)
  • Vérifier les données détenues par un organisme et demander leur modification (droit d’accès)
  • Un nouveau droit qui vous permet d’emporter une copie de vos données pour les réutiliser ailleurs, sur un service concurrent ou dans un tout autre contexte (c’est le droit à la portabilité)

Cet article d’information revient sur les principaux droits que vous disposez et la manière de les exercer.

 

Vos droits

1/ Le droit à l’effacement

Vous pouvez demander à un organisme l’effacement des données personnelles vous concernant :

  • Un contenu gênant vous concernant est visible sur un réseau social
  • Vous ne souhaitez plus bénéficier des services de ce site de commerce en ligne
  • Vous souhaitez qu’un lien vers un contenu gênant ne soit plus référencé à votre nom-prénom

 

Qu’il s’agisse d’une photo gênante sur un site internet ou d’une information collectée par un organisme que vous jugez inutile, vous pouvez obtenir son effacement si au moins une de ces situations correspond à votre cas :

  • Vos données sont utilisées à des fins de prospection 
  • Les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées
  • Vous retirez votre consentement à l’utilisation de vos données 
  • Vos données :
    • font l’objet d’un traitement illicite non voulu (par exemple, publication de données piratées)
    • ont été collectées lorsque vous étiez mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web…)
    • doivent être effacées pour respecter une obligation légale 
  • Vous vous êtes opposé au traitement de vos données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.

 

Attention cependant, certaines limites rendent impossible de droit à l’effacement

Le droit à l’effacement ne doit pas aller à l’encontre de/du :

  1. l’exercice du droit à la liberté d’expression et d’information
  2. respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans)
  3. l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé 
  4. leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
  5. la constatation, de l’exercice ou de la défense de droits en justice.

2/ Le droit de rectification

Le droit de rectification permet de corriger des données inexactes ou incomplètes vous concernant ou de compléter des données en lien avec la finalité du traitement.

Il permet d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées sur vous. Le responsable du fichier doit d’ailleurs communiquer aux autres destinataires des données les rectifications apportées.

Limites au droit de rectification

Le droit de rectification ne s’applique pas aux traitements littéraires, artistiques et journalistiques.

 

3/ Le droit d’accès

L’exercice du droit d’accès permet de savoir si des données vous concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou de les effacer.

L’organisme auprès duquel vous demandez votre « droit d’accès » devra être en mesure de vous faire parvenir une copie des données qu’il détient sur vous et de vous renseigner sur :

  • Les finalités d’utilisation de ces données
  • Les catégories de données collectées
  • Les destinataires ou catégories de destinataires qui ont pu accéder à ces données,
  • La durée de conservation des données ou les critères qui déterminent cette durée
  • L’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition)
  • La possibilité de saisir la CNIL
  • Toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées auprès de vous
  • L’existence d’une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision,
  • L’éventuel transfert de vos données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.

Attention cependant, certaines limites rendent impossible l’exercice du droit d’accès

  1. Certains fichiers sont particulièrement encadrés: Pour certains fichiers de police ou intéressant la sûreté de l’Etat, la loi n’autorise pas un particulier à accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNIL. Si l’organisme estime que votre demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».
  2. Les droits ou libertés d’autrui sont également des limites: l’exercice de votre droit d’accès ne doit pas porter atteinte :
    • Au droit des tiers : seules vos données peuvent être communiquées au titre du droit d’accès
    • A la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel
    • Au secret des affaires

 

4/ Le droit à la portabilité des données

Avec le droit à la portabilité des données, vous pouvez demander à récupérer les données que vous avez fournies à une plateforme, pour un usage personnel ou pour les transmettre à un tiers de votre choix. Ce nouveau droit vise à renforcer la maîtrise de vos données personnelles et à vous permettre de tirer vous aussi partie de leur pouvoir.

De quelles données il s’agit ? Dans quel format  pouvez-vous les récupérer ? Utilisez-les comme bon vous semble

 

Seules les données recueillies avec votre accord ou dans le cadre d’un contrat sont concernées.

 

Par exemple des informations que vous avez déclarées ou des données tirées de votre activité (historique d’achat, données enregistrées par une montre connectée)

Inversement, les images de vidéosurveillance, votre déclaration d’impôt, vos données de badgeuse ne sont pas concernées par le droit à la portabilité.

Ces données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine »

En privilégiant des formats ouverts, interopérables.

 

Vous pourrez utiliser ces données pour :

  • un usage strictement personnel
  • les transmettre à un autre service en ligne qui pourra les enrichir et vous proposer de nouveaux services
  • changer de plateforme tout en conservant votre « historique ».

Dans ces deux (2) derniers cas, vous avez la possibilité de demander à un organisme A de directement transmettre vos données à un organisme B sans que vous ayez à intervenir, à condition que ce transfert soit techniquement possible.

Si l’organisme qui traite vos données refuse de réaliser cette transmission, il doit vous expliquer en quoi ce transfert direct est techniquement impossible.

 

 

L’exercice de vos droits

 

Comment exercer ces droits ? Une procédure identique quel que soit l’exercice du droit d’accès

  1. Consulter le site de l’organisme pour trouver un contact (le plus souvent c’est un lien en bas de page « protection des données » ; « politique de confidentialité » ; « données personnelles » ; « vie privée » ; « loi informatique et libertés » ou encore « RGPD ».
  2. Ecrire votre demande, aussi précise soit-elle, soit par voie électronique (adresse mail ou formulaire dédié) ou par courrier. Des modèles de lettre existes sur le site de la Cnil : https://www.cnil.fr/fr/modeles/courrier
  3. Conservez une trace de votre envoi pour conserver toute preuve permettant de dater votre démarche en cas d’absence de réponse (courrier envoyé, accusé de réception). Ces informations vous seront utiles en cas de litige.

Stop aux idées reçues

  • Fournir un justificatif n’est pas systématique : pour exercer vos droits, l’organisme ne peut vous demander un justificatif qu’en cas de doute sérieux sur votre identité.
  • C’est gratuit : dans certains cas, des frais raisonnables liés au traitement de votre dossier pourront vous être demandés, par exemple en cas de demande d’une copie supplémentaire.
  • C’est rapide : le RGPD impose aux organismes de fournir une procédure simple et de vous répondre dans les meilleurs délais

Obligation de l’organisme sollicité

Tous les organismes qui utilisent vos données personnelles ont l’obligation de vous proposer une information concernant vos droits. L’organisme doit vous répondre au plus tard dans un délai d’un mois, voire trois mois compte tenu de la complexité de la demande. L’organisme devra vous informer des raisons de cette prolongation dans le délai d’un mois.

 

Sans réponse de la part de l’organisme, vous pouvez adresser une plainte auprès de la CNIL avec les éléments attestant de vos démarches préalables. https://www.cnil.fr/fr/webform/adresser-une-plainte

 

Retrouvez toute l’actualité du #Siliconvalasse sur notre page Facebook Siliconvalasse !

Vous êtes professionnels ? Découvrez notre espace de coworking à l’Abbaye du Valasse !