AccueilJuridiqueRGPD #5 - Utilisation de nos données personnelles : quels sont nos...

RGPD #5 – Utilisation de nos données personnelles : quels sont nos droits ?

6 min de lecture

Tout le monde est forcément concerné par le RGPD puisque nous avons tous des données personnelles. Si le Règlement n’est pas fait pour empêcher les personnes de fournir leurs données personnelles à qui ils veulent (il n’est pas fait pour défendre les personnes contre elles-mêmes), il leur donne les moyens de les contrôler.

Ce sont donc les moyens que le Règlement fournit aux « personnes concernées » que nous allons étudier cette fois. Et à leur sujet, les effets du Règlement seront extrêmement visibles, à commencer par un très fort renforcement de leur information et des conditions pour obtenir leur consentement.

L’information

Le texte détaille les mentions à faire figurer lorsque les données sont collectées auprès des personnes elles-mêmes ou de façon indirecte.

Une information concise, formulée en des termes clairs et précis doit être délivrée à la personne concernée par le traitement.

Le Règlement établit une liste très détaillée des informations que doivent fournir les entreprises aux personnes concernées. Par exemple :

  • Du droit d’introduire une réclamation auprès de l’autorité de contrôle,
  • Des coordonnées de cette autorité,
  • Des détails de tout transfert de données hors de l’Union Européenne et des mesures de protection qui seront prises au sujet de ces transferts,
  • Des coordonnées du délégué à la protection des données (DPO), dans le cas où un tel DPO aurait été désigné.

La notion de consentement

Il convient de rappeler la notion de consentement : il s’agit de toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le responsable du traitement doit conserver un enregistrement de ce consentement.

Le profiling

Les techniques de profilage sont l’un des outils de traitement de données dont le Règlement se préoccupe le plus. Il s’agit en effet de méthodes qui ont particulièrement inquiété le législateur européen.

On emploie aussi très souvent le terme anglais  : « profiling ».

Il va s’agir de :

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. 

Concrètement, il s’agit de l’usage du big data, associé aux algorithmes qui sont créés pour l’analyse et la prédiction du comportement, des achats, du rendement, des déplacements, des préférences, etc… d’une personne physique.

Cette liste n’a pas d’autres limites que celle de l’imagination de tous ceux qui se sont emparés des nouveaux métiers qui sont apparus autour du traitement des données : data scientist, data analyst, …

Pour savoir si on se trouve effectivement en présence d’actions de profilage telles que visées par le texte, il faut que l’action ne nécessite aucune intervention humaine, donc des actions entièrement automatisées qui reposent sur la mise en œuvre d’un algorithme. Les traitements qui ne sont pas entièrement automatisés et dans lesquels au moins une partie du choix est réalisé par l’intervention de personnes sont donc exclus de la notion de profilage.

Le Règlement dispose que :

La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire . 

L’action de profilage est donc possible dans le cadre d’un contrat, ce qui est parfaitement logique puisqu’en pareil cas, la personne concernée aura donné son consentement pour la réalisation de cette action !

A notre avis, il faudra, pour que cette autorisation donnée par voie contractuelle n’aboutisse pas à un affaiblissement des objectifs poursuivis par le Règlement, que les « personnes concernées » soient à la fois conscientes de ce qu’elles acceptent dans le cadre du contrat et qu’elles se trouvent dans une situation où elles pourront se permettre de refuser l’action de profilage.

En effet, ici l’action de profilage ne repose pas sur une collecte de données personnelles, elles sont à la disposition du responsable du Traitement via le contrat et elles vont être utilisées pour aboutir à une décision concernant la personne mais pas obligatoirement concernant ses données personnelles.

Quoi qu’il en soit, cette partie du Règlement est promise à « un bel avenir » et la CNIL en a donné un avant-goût avec la décision qu’elle vient de prendre au sujet du système de sélection pour le second degré des bacheliers dit APB « Admission Post-Bac »
Le 28 septembre dernier, la Présidente de la CNIL a mis en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Le droit à l’oubli (ou « droit à l’effacement »)

Une autre notion importante pour les personnes concernées est celle du droit à l’oubli.

Cette notion est consacrée par le nouveau Règlement sur la base de la jurisprudence qui avait été dégagée par la Cour de Justice de l’Union Européenne mais qui ne s’appliquait qu’aux moteurs de recherche.

Le Règlement offre la possibilité aux individus de demander l’effacement de leurs données dans le cas où leur traitement n’est pas justifié par un motif légitime.

Ce droit à l’effacement peut s’appliquer dans six cas :

  • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou traitées,
  • la personne a retiré son consentement au traitement de ses données,
  • la personne a exercé son droit d’opposition et il n’existe pas de motif légitime impérieux pour le traitement,
  • le traitement est illicite,
  • l’effacement correspond au respect d’une obligation légale,
  • les données ont été collectées dans le cadre d’une offre de services de la société de l’information faite à des personnes mineures.

De plus, lorsque ce droit à l’effacement trouve à s’appliquer, le responsable du traitement est alors tenu d’informer l’ensemble des responsables de traitements qui ont bénéficié de ces données que la personne concernée a demandé l’effacement de tout lien vers ces données ou de toute copie ou reproduction de celles-ci. Il doit le faire en utilisant les technologies qui sont à sa portée.

Cela fait le lien avec les droits et obligations des responsables de traitements que nous traiterons dans le prochain article.

Ce type d’obligation induit que les responsables de traitements, pour pouvoir y répondre, aient mis en place les outils, généralement informatiques, et les processus nécessaires bien avant que ces demandes leur parviennent.La capacité à répondre aux demandes des personnes concernées doit être envisagée dans la conception même des traitements et être maitrisée par les équipes.

Bien entendu, il existe des exceptions à ce droit à l’effacement, il s’agit de :

  • la liberté d’expression et d’information,
  • le respect d’une obligation légale,
  • un motif d’intérêt public dans le domaine de la santé,
  • de l’archivage dans l’intérêt public à des fins de recherche scientifique, historique ou statistique,
  • la constatation, l’exercice ou la défense de droits en justice.

Le droit à la limitation du traitement

Une autre nouvelle notion est celle du droit à la limitation du traitement.

Ce concept, plus complexe, s’applique lorsque la personne concernée ne souhaite pas qu’un traitement se poursuive et lorsqu’il existe néanmoins des raisons ou un besoin à ce qu’il soit maintenu en partie et le cas échéant de manière temporaire. 

Cette limitation peut être obtenue dans quatre cas :

  • le responsable du traitement doit vérifier l’exactitude des données relatives à la personne concernée qui conteste le traitement,
  • le responsable du traitement doit apprécier la légitimité des motifs d’une demande d’opposition de la personne concernée,
  • quand les données qui sont sur le point d’être effacées « sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice »,
  • quand le traitement est illicite mais que la personne concernée préfère la limitation de l’utilisation des données la concernant à leur effacement.

La limitation entraîne le gel temporaire du traitement des données qui ne peuvent alors faire l’objet que d’une conservation, à l’exclusion de tout autre usage, sauf si la personne concernée donne son consentement à une autre forme de traitement ou que leur traitement est nécessaire à « la constatation, l’exercice ou la défense de droits en justice  (…), la protection des droits d’une autre personne physique ou morale, ou encore pour des  motifs importants d’intérêt public de l’Union ou d’un État membre ».

Le droit à la portabilité

Le droit à la portabilité permet à une personne de recevoir les données la concernant dans « un format structuré, couramment utilisé et lisible par machine ».

Cela va être notamment en vue d’une transmission à un autre tiers. Par exemple, pour les transmettre à un concurrent afin de faire jouer la concurrence.

Mais cela ne peut concerner que les données :

  • transmises volontairement par la personne (dans le cadre d’un formulaire, un contrat…),
  • et collectées du fait de son activité.

Et bien sûr sans porter atteinte aux droits et libertés des tiers.

Le Règlement a aussi pour objectif de faciliter le contrôle des personnes sur leurs données en leur permettant de les faire transmettre d’un interlocuteur à un autre et donc d’un partenaire économique à un autre.

Protection spécifique des mineurs

Enfin, les personnes mineures font l’objet d’une protection spécifique.

Les traitements qui portent sur une offre directe de services aux enfants ne sont licites que lorsque l’enfant est âgé d’au moins 16 ans. Mais les États membres peuvent abaisser cet âge par la loi, sans qu’il ne puisse toutefois être inférieur à 13 ans.

Si l’enfant est âgé de moins de 16 ans (ou n’a pas l’âge fixé par l’État membre), le traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de l’autorité parentale. 

Le responsable du traitement doit s’efforcer raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de l’autorité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

Cela ne va pas être facile à démontrer et nous verrons dans le prochain article que ce n’est pas la seule des nouvelles contraintes ou formalités qui pèsent sur le responsable du traitement.

✅ Cet article vous a-t-il plu ? :
0 / 5

Note de l'article

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Catégories

articles les plus populaires

Shares
Share This