GDPR (19) Droits de la personne concernée – Droit à l’information

12 janvier 2018

Dans ce blog, nous avons jusqu’à ce jour principalement parlé des obligations qu’entraînait le GDPR pour les entreprises ou les organisations qui traitent des données à caractère personnel. Nous avons surtout examiné la loi selon le point de vue du responsable du traitement des données et du sous-traitant. Le moment est à présent venu d’étendre le champ d’action aux personnes concernées.

L’un des principaux objectifs du GDPR est en effet de définir vos droits en tant que personne individuelle dans le cadre des nombreuses données qui circulent à votre sujet et sont utilisées par autrui. En tant que personne concernée, vous pouvez avoir prise sur ces informations, même si, comme nous allons le voir, vos droits ne sont pas absolus.

L’un des concepts majeurs du GDPR est la transparence. Un responsable du traitement des données doit faire preuve d’ouverture envers les personnes dont il traite les données. Vous devez facilement savoir quelles données conserve et traite un responsable du traitement à votre sujet, ce qu’il en fait et pourquoi il a besoin de ces traitements. Il doit pouvoir vous expliquer cela dans un langage simple et intelligible. Dans l’épisode 11 et l’épisode 12, nous avons largement évoqué la façon dont une entreprise ou une organisation pouvait par exemple fournir ces informations sur son site web, sous la forme d’une déclaration de confidentialité.

C’est principalement lorsqu’un responsable du traitement des données vous demande des données en vue de les enregistrer et de les utiliser qu’il doit veiller à bien vous informer préalablement de ses intentions, des conséquences possibles et des risques que vous encourez. Il doit vous faire comprendre clairement que les avantages compensent les inconvénients.

En outre, le responsable du traitement des données doit vous indiquer ce que vous pouvez faire en cas de question ou de plainte. Vous devez bénéficier d’un interlocuteur direct au sein de l’organisation. Et le responsable doit vous expliquer que vous pouvez vous opposer au traitement des données en déposant une plainte auprès de l’autorité de protection des données. En Belgique, il s’agit de la Commission de la protection de la Vie Privée. Il faut évidemment que votre plainte soit fondée.

Outre le droit à des informations générales, vous avez également, en tant qu’individu concerné, des droits spécifiques en ce qui concerne vos propres données personnelles. Chacun peut s’adresser à un responsable du traitement des données pour consulter les données que cette entreprise ou organisation conserve à son sujet et les traitements qui en sont faits. Cela peut sembler une requête simple à résoudre, mais cela peut représenter une montagne de travail pour une organisation. Le fait de pouvoir réagir correctement à de telles demandes nécessite une bonne préparation et une procédure claire, d’autant plus que les personnes concernées ont, selon le GDPR, le droit de recevoir une réponse dans le mois. Soit le responsable doit fournir les informations demandées dans ce délai, soit il doit au moins expliquer de façon plausible pourquoi il a besoin de plus de temps.

Respecter cette obligation ne se fait pas sans difficultés. Tout d’abord, le responsable doit savoir précisément où se trouve quelle information. Pour les fichiers de coordonnées dans une application CRM ou pour les données du personnel dans un système administratif, ce n’est pas trop compliqué. De nombreuses informations sont toutefois réparties dans des informations non structurées, dans des dossiers sur papier ou des fichiers qui ne sont pas gérés dans le cadre de la gestion documentaire ou qui sont gérés localement quelque part par des travailleurs individuels. Ces données sont beaucoup moins faciles à rassembler. Le GDPR stipule en outre explicitement que ce service doit être gratuit, sauf si la demande est manifestement infondée ou exagérée.

Il faut ajouter à cela que ce droit de consultation est en conflit avec d’autres droits et intérêts. Le responsable du traitement des données doit par exemple veiller à ce qu’en communiquant des informations à une personne concernée, il n’enfreigne pas en même temps les droits d’une autre personne concernée. Clarifions cela par un exemple. Une organisation ne pourra que très rarement, voire jamais, satisfaire la demande d’une personne de consulter tous les documents ou e-mails dans lesquels elle est mentionnée. En effet, ces documents contiennent également des informations relatives à d’autres personnes concernées, dont la vie privée doit aussi être protégée. Certaines sources d’information contiennent en outre d’autres données confidentielles, dont la divulgation peut porter préjudice aux intérêts de l’entreprise. Dans tous ces cas, il est nécessaire de confronter les différents droits pour aboutir à un point de vue équilibré. De la sorte, il peut arriver qu’il soit impossible d’accéder à la demande d’une personne concernée. En tant que demandeur, vous devez toutefois recevoir une explication motivant le refus du responsable d’accéder à votre requête.

Outre le droit à l’information, le GDPR confère de nombreux autres droits à la personne concernée. Nous les évoquerons dans un prochain article.

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING