Le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne présente essentiellement des obligations pour les entreprises et des droits pour les personnes dont les informations sont traitées. Applicable depuis le 25 mai 2018, il prévoit aussi un ensemble de dispositions pour la gestion de ces droits.
Sommaire de l'article
Introduction au RGPD et gestion des droits des personnes
Le RGPD est un ensemble de directives qui s’appliquent à toutes les entreprises et organisations traitant les données des résidents de l’UE. S’il a pour principal but de rendre le contrôle des données personnelles à leurs émetteurs, il contient surtout un certain nombre d’obligations à l’endroit des entreprises. En leur qualité de responsables de traitements, ces organisations sont par exemple tenues de constituer un registre de traitements RGPD et d’assurer les droits des personnes concernées.
Le règlement exige également la désignation d’un délégué à la protection des données (DPO) et un signalement des éventuelles violations de données aux régulateurs. En outre, le RGPD impose aux entreprises d’effectuer une analyse d’impact sur la protection des données (DPIA) pour les traitements les plus risqués pour les personnes concernées.
Notons que le RGPD est assorti de sanctions administratives, civiles et pénales à l’encontre des organisations qui tentent d’échapper aux obligations. Des pénalités allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou jusqu’à 20 millions d’euros peuvent ainsi s’appliquer et le non-respect du RGPD ternit souvent la réputation des entreprises réfractaires.
Les droits des personnes concernées
Le RGPD garantit pas moins de 7 droits aux personnes concernées.
Le droit d’accès
L’article 15 du RGPD octroie aux personnes concernées, un droit d’accès absolu à leurs données personnelles ainsi qu’à leur statut de traitement auprès des organisations auxquelles elles sont confiées. Ce droit d’accès couvre par ailleurs les informations relatives aux finalités du traitement, aux destinataires des données et leur durée de conservation entre autres.
Il est à préciser cependant que l’exercice du droit d’accès se heurte à deux limites. En effet, la personne concernée ne peut pas faire valoir ce droit lorsqu’il s’agit de certains fichiers de police ou quand ceux-ci sont pris en charge par la sûreté de l’État. De plus, le responsable de fichier n’a aucune obligation de répondre aux demandes infondées ou excessives.
Les autres droits
Les dispositions du RGPD incluent 6 autres droits principaux, à savoir :
- Le droit de rectification
- Le droit à l’oubli ou à l’effacement
- Le droit à la portabilité
- Le droit à la limitation du traitement
- Le droit d’opposition
Notons qu’il existe aussi un droit au déréférencement qui implique la suppression des résultats fournis par un moteur de recherche à partir d’une requête composée du nom et du prénom d’une personne.
La gestion des droits des personnes
Les personnes concernées peuvent exercer leurs droits en effectuant une demande au responsable de traitement via tout moyen. À la réception de la demande, le responsable de traitement est tenu d’effectuer des vérifications préalables quant à l’identité de la personne.
Ensuite, un délai d’un mois au maximum (à compter de la date de réception de la demande) s’offre au responsable de traitement qui devra donner une suite favorable ou justifier son refus. Ce délai peut toutefois être porté à 3 mois, mais la prolongation devra être notifiée et expliquée au demandeur dans le délai d’un mois.