Quelles sont les réglementations relatives à l’exercice de droit RGPD ?
Chaque utilisateur dispose de droits pour maîtriser ses données personnelles.
Dans ce dossier spécial exercice de droit RGPD, nous allons vous rappeler les règles existantes et vous proposer des conseils pour les gérer au mieux !
Dans cet article nous vous proposons un zoom sur le RGPD et les droits que peuvent exercer les internautes afin d’en comprendre les enjeux.
Vous en saurez un peu plus sur les conseils à suivre pour répondre aux requêtes dans le second article de ce dossier (en ligne très bientôt !).
Quels sont les principaux droits RGPD que peuvent exercer les personnes physiques ?
Les individus dont les données personnelles sont traitées peuvent exercer jusqu’à 7 droits : le droit d’accès, le droit de rectification, le droit d’opposition, le droit à l’effacement, le droit à la limitation, le droit à la portabilité et le droit à l’intervention humaine.
Ici, nous vous proposons un résumé des droits que peuvent exercer un utilisateur vis à vis de ses données personnelles.
Le droit d’accès : obtenir et vérifier les données qu’un organisme détient.
Le droit d’accès permet à l’utilisateur de savoir si un organisme traite des données personnelles le concernant, le cas échéant d’obtenir une copie lisible et compréhensible de ses données et de connaître les traitements effectués.
L’utilisateur peut donc demander à un organisme s’il détient des données le concernant et la communication de celles-ci afin d’en vérifier le contenu.
Nous avons d’ailleurs déjà écrit sur le sujet.
Si vous souhaitez en savoir plus :
Le droit de rectification : rectifier les informations inexactes.
Le droit de rectification permet à un utilisateur de mettre à jour ses données personnelles en les modifiant ou en les corrigeant.
Ce droit permet de limiter l’utilisation de données erronées mais aussi de compléter des informations clés en lien avec la finalité d’un traitement.
Le droit d’opposition : s’opposer à tout moment à ce qu’un organisme utilise certaines données.
Le droit d’opposition permet à l’utilisateur de refuser l’utilisation de ses données personnelles pour des finalités précises, pour le ou les traitements qui y sont associés. Le droit d’opposition doit être accessible à tout moment.
Le droit à l’effacement (ou “droit à l’oubli”): effacer des données concernant l’individu.
Le droit à l’effacement permet à une personne de supprimer les données à caractères personnel qui la concernent.
Il peut s’agir d’une photo ou toute autre information que l’internaute juge non utile à exploiter. Cela peut être des données utilisées à des fins de prospection, ou encore des données qui étaient utilisées à des fins illicites.
Si vous souhaitez aller plus loin, la CNIL met à disposition une liste des différents cas d’usage du droit à l’effacement.
Le droit à la limitation : geler l’utilisation des données personnelles.
Le droit à la limitation permet à une personne de demander l’arrêt temporaire de l’utilisation des données qui le concernent.
Ce droit est surtout un moyen de stopper l’utilisation des données en attendant que l’organisme puisse répondre à l’une de vos demandes d’exercice de droit.
Cette situation est valable lorsque l’organisme nécessite un délai supplémentaire pour vous donner accès à vos droits ou pour examiner une contestation.
Le droit à la portabilité : transmettre une copie des données pour les réutiliser ailleurs.
Le droit à la portabilité permet à une personne de “porter” ses données personnelles d’un organisme à un autre, c’est-à-dire d’obtenir une copie de ses données dans un format structuré lisible par machine (ex: csv ou json) et de les transférer à un ou plusieurs autres responsables de traitement de son choix.
Quand c’est possible, ce transfert doit être effectué directement.
Le droit à l’intervention humaine : demander l’intervention d’un humain.
Une personne peut demander l’intervention d’un être humain face à une décision automatisée qui l’affecte de manière significative.
En quelque sorte, c’est un droit de plaider sa cause. Cela concerne notamment le profilage : quand un ensemble de données personnelles est collecté et analysé afin d’en dégager un profil.
Ici, le profil représente par exemple des habitudes d’achat ou de comportement de l’internaute. De ce profilage peut en découler des décisions automatisées (entraver l’accès à un service, désavantage financier…).
Dans le cas d’un profilage, l’internaute peut demander l’intervention d’un humain pour que celui-ci puisse réexaminer la décision qui a été prise.
Comment gérer ces requêtes d’exercice de droit RGPD
Il existe certaine obligation de gestion, comme faciliter l’accès à l’exercice de droit RGPD mais aussi des solutions qui vous permettent de gagner du temps d’optimiser vos processus de réponse aux demandes.
Faciliter l’accès à l’exercice des droits
Dans un premier temps, il est important de savoir que les demandes d’exercice de droits peuvent être formulées à l’oral (exemple: par téléphone) comme à l’écrit (par email, par courrier postal, etc).
Lorsqu’une personne physique souhaite exercer un droit, elle doit pouvoir comprendre facilement où s’adresser.
Les informations de contact doivent être accessibles et être localisées à des endroits logiques : espace client, compte utilisateur, FAQ, les politiques de confidentialité, etc.
En général, l’utilisateur va pouvoir trouver un formulaire ou une adresse e-mail par lequel il va pouvoir exercer ses droits.
Vous (responsable de traitement) devez donc répondre à cette demande et pour cela il existe un délai à respecter.
Celui-ci est d’un mois à compter de la réception (article 12 du RGPD).
Répondre efficacement aux demandes d’exercice de droit RGPD
Les demandes sont de plus en plus nombreuses. Il est primordial d’adapter son processus de gestion des réponses en fonction de votre flux de demande.
Pour cela, il existe bien sûr des solutions de gestion des requêtes d’exercice de droit RGPD qui vous permettent de traiter efficacement ces demandes.
La plateforme Fair&Smart propose un outil de gestion de requêtes RGPD : Right Requests.
Il permet aux entreprises de centraliser les requêtes en exercice de droit qui leur sont adressées par des particuliers dans le cadre du RGPD et d’en suivre le bon traitement, dans les délais impartis, avec la génération et l’archivage des éléments de preuve nécessaires.
Pour en savoir plus sur le sujet de la demande d’exercice de droit, rendez-vous sur la page de notre partie 2 du dossier exercice de droit RGPD (en ligne très bientôt !).
Nous vous expliquons le fonctionnement de Right Requests.
Pour en savoir plus sur Right Requests :
Vous souhaitez en savoir plus sur notre solution de gestion des demandes d'exercice de droits RGPD ?
Rejoignez-vous sur les réseaux sociaux :