GDPR (20) Les droits de la personne concernée – Droits relatifs aux données propres

22 janvier 2018

Dans notre dernier article, nous évoquions le droit à l’information des personnes concernées. Tout responsable du traitement des données doit fournir des informations transparentes sur le type de données qu’il conserve, les traitements qu’il effectue et la finalité visée. En outre, toute personne concernée dispose du droit de demander ses données personnelles.

Les droits de la personne concernée (et donc les obligations du responsable) vont toutefois bien plus loin. Une personne concernée peut également demander de corriger, compléter ou supprimer les données conservées et traitées à son sujet. Dans ce cas également, il ne s’agit pas d’un droit absolu, et les possibilités de satisfaire cette demande doivent être confrontées aux autres droits ou obligations légales. Les données à archiver pendant un certain temps à la demande des autorités ne peuvent évidemment être supprimées à la demande d’un individu. Il arrive que des données doivent être conservées longtemps pour respecter toutes les obligations contractuelles. Un responsable du traitement doit même conserver un nombre limité de données pour démontrer qu’il a accédé à la demande de suppression d’une personne.

De même, le droit de corriger les données est évidemment relatif. Un rapport d’évaluation validé ne peut être modifié sans raison à la demande d’un travailleur. Toutefois, il peut exercer ses droits en y ajoutant un commentaire. Les corrections ou les ajouts sont logiques – voire utiles – si les données sont par exemple obtenues via des tiers. Juridiquement, cela devient plus complexe s’il s’agit d’enrichissements apportés par le responsable lui-même, et qui sont peut-être sa valeur ajoutée.

De manière générale, de telles demandes de modification des données valent également pour tous les tiers auxquels ces données ont été transmises (par exemple des partenaires ou des sous-traitants). Le responsable doit veiller à ce que cela se passe aussi bien que possible. Quant à ce fameux « droit à l’oubli », il a déjà été mis en œuvre à grand bruit dans le secteur des réseaux sociaux. Comme nous le verrons, exécuter de telles demandes n’a rien de simple. Il s’agit d’un argument de taille, pour un responsable du traitement, pour indiquer clairement dans les contrats avec des sous-traitants que les données doivent être supprimées immédiatement après leur traitement.

Une personne concernée peut également demander d’arrêter ou de suspendre tout traitement ultérieur de ses données, tandis que les données restent quand même conservées. Cela peut être indiqué dans le cas d’une plainte en cours, pour laquelle les autorités ne se sont pas encore prononcées, par exemple si la personne concernée conteste le bien-fondé du traitement. Une telle demande ne peut évidemment pas être satisfaite si le traitement repose sur une obligation légale ou se déroule dans le cadre d’une tâche des autorités. Comme nous l’avons déjà dit, un traitement effectué sur la base de l’autorisation de la personne concernée peut toujours être arrêté par le retrait de cette approbation. Dans ce cas, le responsable est également tenu de supprimer les données.

Enfin, la personne concernée dispose du droit de « portabilité de ses données ». Il s’agit d’un règlement préalablement repris dans la législation ePrivacy qui imposait des obligations aux fournisseurs de services électroniques. L’intention sous-jacente était d’éviter que les prestataires de services prennent les clients en « otage » sous prétexte qu’ils disposent de toutes leurs données et que celles-ci seraient perdues si l’utilisateur souhaitait changer de prestataire de services. Personne ne veut en effet perdre ses photos, blogs ou e-mails conservés en ligne. Ce droit de la personne concernée est désormais repris dans le GDPR et applicable à tous les traitements des données à caractère personnel. Dans ce contexte beaucoup plus vaste, le transfert n’est souvent pas réalisable dans la pratique. En outre, cela entraîne des conflits avec d’autres droits. Un responsable qui a effectué des traitements complexes avec les données (avec parfois certains algorithmes qui sont la propriété intellectuelle de l’entreprise) ne souhaite pas vraiment renoncer à ces résultats. L’interprétation la plus suivie est que le droit à la portabilité des données vaut uniquement pour les données que la personne concernée a elle-même mises à la disposition du responsable.

Il est préférable que chaque organisation définisse dans une bonne procédure comment traiter toutes ces demandes.

  • Pour commencer, il est nécessaire de signifier aux personnes concernées à quel interlocuteur elles doivent adresser leurs questions, et qui dans l’organisation en est responsable. Ceci peut par exemple être repris dans une déclaration de confidentialité.
  • Au sein de l’organisation, les demandes doivent être transmises rapidement à la bonne personne afin d’être traitées. Chacun doit être au courant de la procédure.
  • Il faut une méthode clairement décrite pour s’assurer que l’identité du demandeur correspond à celle de la personne concernée dont on demande les données. En général, il est suggéré de demander une copie de la carte d’identité du demandeur.
  • Il doit également y avoir des règles déterminant quelles informations peuvent être données et quelles informations ne le peuvent éventuellement pas, parce qu’elles peuvent contenir par exemple des données confidentielles sur d’autres personnes ou des secrets d’entreprise. L’argumentation à suivre doit être documentée. Il convient ici de gérer les droits de chacun de manière équilibrée, car les droits de la personne concernée ne sont pas absolus.
  • Un système de suivi doit permettre de traiter toutes les demandes dans les temps et de conserver de la documentation sur l’état d’avancement de la demande et les décisions prises.

Il est évident que l’exercice de ces droits occasionnera des problèmes pratiques dans le chef des responsables du traitement des données. Certains cercles craignent également que la loi soit utilisée par des activistes de la confidentialité des données pour harceler des entreprises bien précises avec des demandes organisées en masse. Le GDPR offre toutefois une certaine protection à cet égard, en précisant que les demandes doivent être motivées et ne peuvent être excessives (notamment en les répétant systématiquement). Si le responsable est en mesure de le démontrer, il n’est pas tenu d’accéder à de telles demandes.

Inversement, nous ne pouvons que louer le fait qu’avec le GDPR, en tant qu’individus, nous restons dans une certaine mesure maîtres des informations existant à notre sujet, et que les entreprises et organisations disposent d’un cadre pour gérer les données à caractère personnel avec soin et respect.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING