Les droits des personnes concernées

Les droits peuvent être considérés comme un ensemble de moyens donnant aux personnes des leviers d’action concrets sur leurs données. Les droits peuvent être exercés à partir du moment où un organisme dispose ou traite des données sur une personne. Le Responsable de traitement devra respecter le délai légal d’1 mois (pouvant être rallongé dans certains cas) pour répondre à la demande d’exercice de droit de la personne concernée.

Droit à l’information

Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations nécessaires :
identité et coordonnées du responsable du traitement (et son représentant éventuel) ; coordonnées du délégué à la protection des données ; finalités et base juridique du traitement ; destinataires ou catégories de destinataires; s’il y a transfert de données hors UE et garanties prises ; durée de conservation ou, critères de détermination ; ses droits ; caractère obligatoire ou facultatif de fournir les données, les conséquences de leur défaut.

Droit d’accès

La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, il doit lui transmettre une copie de ces données personnelles ainsi que les informations s’y rapportant : finalités ; catégories de données ; destinataires ; durée de conservation ; ses droits (rectification, effacement, limitation ou opposition, recours auprès de la CNIL) ; les informations disponibles quant à la source lorsque les données n’ont pas été collectées auprès d’eux) ; décision automatisée, y compris un profilage.

Droit de rectification

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, que ses données personnelles soient rectifiées ou complétées lorsqu’elles sont inexactes ou incomplètes.
Le responsable de traitement a obligation de notifier la rectification des données (sauf si la communication est impossible ou exige des efforts disproportionnés).

Droit à l’effacement « droit à l’oubli »

La personne concernée a le droit d’obtenir l’effacement, dans les meilleurs délais, de ses données personnelles.
Dans certains cas, le responsable de traitement doit par ailleurs effacer ses données automatiquement (données plus nécessaires, retrait du consentement sans autre base légale, etc…).
Il existe également des cas particuliers où ce droit ne pourra s’exercer ou sera limité (obligation légale à laquelle est soumis le responsable de traitement par exemple).
Le responsable de traitement a obligation de notifier l’effacement des données (sauf si la communication est impossible ou exige des efforts disproportionnés).

Droit d’opposition

La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’exécution d’une mission d’intérêt public ou l’intérêt légitime poursuivis par le responsable de traitement, y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

Décision individuelle automatisée et profilage

La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

Droit à la portabilité

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque le traitement est fondé sur le consentement ou sur un contrat ; et qu’il est effectué à l’aide de procédés automatisés. (sous réserve de la possibilité technique)

Droit à la limitation du traitement

La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement :
a) pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel, lorsque cette exactitude est contestée par la personne concernée ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée, lorsqu’elle s’est opposé au traitement pour des motifs tenant à sa situation particulière.