Le principal objectif du RGPD (Règlement général sur la protection des données) est de renforcer la protection des données personnelles des individus. Dans cette optique, cette règlementation a introduit un certain nombre de droits que les entreprises se doivent de respecter. Information, rectification, accès, effacement, portabilité ou encore déréférencement : découvrez toutes les règles à appliquer.
Le droit d’être informé
Si vous collectez des données à caractère personnel, vous avez l'obligation d'en informer les individus concernés de manière claire. Ce droit doit permettre aux personnes de savoir comment leurs informations sont traitées, mais aussi de comprendre la manière dont il leur est possible d'exercer leurs droits. Ce réflexe doit permettre aux individus de décider s'ils souhaitent ou non vous confier leurs données personnelles.
Pour cela, vous devez notamment communiquer sur :
- l'identité de la personne responsable du fichier de données ;
- la finalité du fichier ;
- le caractère obligatoire ou non des réponses ;
- les destinataires des informations ;
- les droits des individus (accès, rectification et opposition) ;
- le cas échéant, le transfert des données en dehors de l'Union européenne.
Le droit d'information des utilisateurs est garanti si trois conditions principales sont réunies.
- L'accès à l'information est facile : les individus disposent d'une information concise, compréhensible et facilement accessible. Il ne doit pas y avoir besoin d'être un expert pour comprendre la finalité de la collecte, l'usage qui sera fait des données et les possibilités d'exercice des droits.
- L'usage des données est clair : vous devez fournir une notice d'information relative à la protection des données. Disponible sur la page d'accueil de votre site, elle doit expliciter de manière simple comment les données des individus sont utilisées.
- Les données sont bien protégées : l'entreprise doit garantir la sécurité des données qu'elle détient. En cas de violation de ces informations (suppression accidentelle, perte, vol des données, etc.), vous devez en informer les individus le plus rapidement possible si le risque d'atteinte à leurs droits est élevé.
Bon à savoir : le recueil du consentement est un préalable à la collecte des données. Cela signifie qu'il n'est pas possible de réaliser cette collecte si l'individu n'a pas exprimé clairement qu'il y était d'accord. Sur Internet, cela peut notamment être réalisé par une case à cocher.
Le droit d'opposition
Dans le cadre du RGPD, les individus ont la possibilité de refuser que certaines de leurs données ne soient utilisées. Ce droit doit pouvoir être exercé facilement, à condition qu'il réponde à des besoins légitimes. À titre d'exemple, un individu peut exercer son droit d'opposition car :
- il reçoit des e-mails publicitaires indésirables ;
- il estime que le profilage de son activité web le défavorise ;
- il refuse de figurer dans l'annuaire téléphonique.
Malgré tout, certains motifs peuvent vous permettre de refuser aux individus d'exercer leur droit d'opposition. À l'exception d'une demande d'opposition concernant de la prospection commerciale, une entreprise peut refuser la requête d'un individu car :
- le traitement des données est légitime ;
- la personne concernée a consenti à l'usage de ses données (elle doit alors retirer son consentement) ;
- un contrat est en cours entre la personne et votre entreprise ;
- vous avez l'obligation légale de traiter ces données.
Le droit d'accès
Le droit d'accès permet à un individu de demander à un organisme de consulter les données personnelles qu'il détient à son sujet afin de les vérifier, de les rectifier ou encore de demander leur effacement.
Pour exercer son droit d'accès, un individu doit contacter le responsable du traitement des données de l'entreprise. Ce dernier a alors l'obligation de fournir une copie des informations personnelles détenues, ainsi qu'un certain nombre d'autres informations, dont :
- la finalité de la collecte ;
- la nature des données collectées ;
- l'identité des éventuels autres destinataires des données ;
- la durée de conservation ;
- ou encore l'éventuel transfert des données hors de l'Union européenne.
Le droit d'accès peut s'exercer par courrier postal ou directement au siège de l'entreprise. À compter de la réception de la demande, le responsable du traitement dispose d'un mois pour répondre à la personne.
Le droit de rectification
Après avoir eu accès à ses données personnelles, un individu peut demander à ce que des informations inexactes ou incomplètes le concernant soient modifiées. L'intérêt ? Éviter que l'entreprise n'utilise des informations erronées sur une personne, pouvant lui porter préjudice.
Une fois encore, c'est au responsable du fichier de faire appliquer ce droit si une personne en fait la demande. Si cette dernière est incomplète, il peut d'ailleurs demander des informations complémentaires afin de rectifier la donnée fausse ou parcellaire.
Le droit à l'effacement
Dans le cadre du RGPD, un organisme doit également faire en sorte de respecter le droit d'effacement : il permet à un individu de demander à ce qu'une information le concernant soit supprimée du fichier. Vous devez notamment appliquer la demande de l'individu si :
- les informations sont utilisées à des fins de prospection commerciale ;
- les données ne servent plus la finalité de la collecte ;
- la personne retire son consentement à l'usage de ses données ;
- les informations sont illicitement traitées ;
- la personne s'est opposée au traitement de ses données.
Lire aussi : Ce qu'il faut savoir sur le traitement des données personnelles
Le droit au déréférencement
Le droit au déréférencement s'applique principalement aux moteurs de recherche : il permet à un individu de demander à ne plus être associé à un contenu qui lui porte préjudice. En l'exerçant, il est possible de faire supprimer certains résultats obtenus à partir de l'identité de la personne (nom et prénom). L'exercice de ce droit peut notamment être réalisé auprès de Google, Bing, Yahoo ou encore Qwant par exemple.
Toutefois, la demande de déréférencement n'entraîne pas la suppression de la page Internet visée : celle-ci reste en ligne et il est donc possible d'y accéder par d'autres moyens (via l'URL par exemple). En revanche, il ne sera plus possible d'y accéder via une recherche Internet avec le nom et le prénom de la personne concernée.
Le droit à la portabilité
Le droit à la portabilité permet à un individu de récupérer une partie de ses données personnelles, notamment dans l'optique de les transmettre à une autre entreprise (lors d'un changement de mutuelle par exemple).
Si une personne en fait la demande, l’organisme doit lui envoyer ses données dans un format structuré, qu'il est possible de lire sur un ordinateur. Si c'est techniquement possible et que la personne en fait la demande, vous devez également transférer directement les données à un autre responsable de traitement.
Lire aussi : Les organisations concernées par le RGPD