Blog FGP Solutions

marketing digital alsace

RGPD : comment gérer les demandes concernant les droits sur les données personnelles ?

Publié le 31/08/2018 15:00

Le RGPD (Règlement Général sur la Protection des Données Personnelles) a repris et créé des droits permettant à chacun de maîtriser ses données personnelles. En tant que responsable d’un site internet, vous serez sûrement amené à répondre aux demandes de personnes souhaitant faire valoir leurs droits sur leurs données personnelles. Voici comment vous y prendre.

Prévoir un moyen pour faire valoir leurs droits

Pour que des personnes puissent faire valoir leurs droits sur leurs données personnelles, le plus simple est d’intégrer une information quant aux démarches à suivre dans votre site internet. Vous pouvez inclure cette information dans vos mentions légales ou dans un endroit facilement accessible de votre site comme le footer ou le menu.

Vous pouvez mettre en place une adresse mail, un formulaire, ou une option dans l’espace client de votre site permettant à chacun d’utiliser ses droits. Il n’est pas interdit de faire sa demande par écrit mais il sera plus simple pour vous de gérer les demandes en passant par la voie électronique.

Vous disposez d’un délai d’un mois pour répondre à une demande concernant les données personnelles (3 mois dans certains cas complexes). Mieux vous serez organisés, plus il sera simple de traiter les demandes dans les temps.

Vous pouvez également demander un justificatif pour vous assurer de l’identité du destinataire si cela est nécessaire. Dans le cas d’une demande via e-mail ou un formulaire de contact, une usurpation d’identité est possible. L’avantage du compte client est que vous savez que c’est bien votre client qui s’est connecté à son compte et qui fait une demande.

droits sur les données personnelles RGPD

Comment réagir face aux différents droits prévus par le RGPD ?

Le droit d’accès

Si une personne fait appel à son droit d’accès, vous devez lui fournir toutes les données que vous avez récolté sur sa personne ainsi que toutes les informations prévues par l’article 15 du RGPD, à savoir :

  • les finalités du traitement des données
  • les catégories de données à caractère personnel concernées
  • les destinataires des données récoltées
  • la durée de conservation des données
  • l'existence d’un droit de rectification, d’un droit à l'effacement, d’un droit à la limitation du traitement des données, ou d’un droit d’opposition
  • la possibilité de demander réclamation auprès d'une autorité de contrôle (ex : la CNIL)
  • la source des données récoltées, si ces dernières n’ont pas été collectées directement auprès de la personne
  • l'existence d'une prise de décision automatisée
  • les garanties du transfert des données, si ces dernières font l’objet d’un transfert vers un pays hors UE

Le droit d’opposition

Lorsqu’une personne fait valoir ce droit, vous devez cesser l’utilisation de ses données à caractère personnel. Vous pouvez vous y opposer dans les cas suivants (article 21 du RGPD) :

  • en cas de motifs légitimes et impérieux pour le traitement
  • pour la constatation, l'exercice ou la défense de droits en justice
  • si la personne a consenti à l’utilisation des données (elle doit dans ce cas retirer son contentement)
  • si la personne est liée par contrat avec vous
  • une obligatoire légale vous impose le traitement de ses données personnelles

Le droit de rectification

Dans ce cas, une personne vous demande la correction des données fausses ou manquantes la concernant (ex : âge, adresse…).

En tant que responsable du traitement, vous devez communiquer aux autres destinataires des données personnelles concernées, les modifications qui ont été demandées (ex : un sous-traitant). Cette obligation est aussi valable pour le droit à l’effacement et le droit à la limitation de traitement.

Droit à l’effacement

En exerçant ce droit, une personne vous demande l’effacement pure et simple des données personnelles la concernant. Cette demande est valable, selon l’article 17 de la RGPD, dans les cas suivants :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière
  • la personne retire son consentement
  • la personne concernée s'oppose au traitement
  • les données à caractère personnel ont fait l'objet d'un traitement illicite (ex : défaut de consentement)
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale
  • les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1 du RGPD.

Quand pouvez-vous faire opposition à ce droit ?

  • dans le cadre de l'exercice du droit à la liberté d'expression et d'information
  • pour respecter une obligation légale (ex : respect de l’obligation légale de conservation pour une facture)
  • pour des motifs d'intérêt public dans le domaine de la santé publique
  • à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
  • pour la constatation, à l'exercice ou à la défense de droits en justice.

Droit à la portabilité

Une personne faisant valoir son droit à la portabilité vous demande de lui transmettre les données à caractère personnel que vous détenez sur elle dans « un format structuré, couramment utilisé et lisible par machine » (article 20 de la RGPD). Les informations transmises devront être réutilisables par une machine, ce qui signifie qu’un PDF est à proscrire. Vous pouvez utiliser par exemple les formats CSV ou JSON.

Cette obligation concerne uniquement les données personnelles qui ont été fournies par accord de la personne ou par contrat (ex :  les données déclarées dans un formulaire, ou les informations recueillies lors de l’activité sur un site web comme l’historique d’achat).

Droit à l’intervention humaine dans une décision automatisée

Dans ce cas, une personne s’oppose à ce que soit prises des décisions automatisées qui l’impactent significativement ou ont un effet juridique sur sa personne. Ces décisions sont d’ailleurs souvent générées via des données recueillies par profilage (ex : la publicité ciblée sur le web).

Ce droit ne s’applique pas dans les cas prévus à l’article 22 du RGPD, c’est-à-dire :

  • si la décision est nécessaire pour conclure ou exécuter le contrat avec la personne
  • si la décision automatisée en question est autorisée par le droit de l’UE ou de l’Etat membre de la personne
  • si la personne a donné son consentement explicite

Droit à la limitation du traitement

Il s’agit d’un droit complémentaire à d’autres droits (rectification, opposition…) prévu à l’article 18 du RGPD. Une personne vous demande de ne plus utiliser ses données personnelles pendant le délai auquel vous avez droit pour répondre à sa demande de rectification par exemple. Pendant ce temps, vous ne pouvez plus utiliser les données de la personne en question mais vous devez les conserver.

En tant qu’agence web expérimentée nous avons déjà mis en place sur tous les sites de nos clients, un moyen permettant à chacun de faire valoir ses droits sur ses données personnelles. En travaillant avec nous pour la conception de votre site web, vous obtiendrez un véritable outil marketing performant et qui respecte les nouvelles normes instaurées par le RGPD.