Droits des personnes concernées : ce que les utilisateurs peuvent demander sous le RGPD
Le RGPD accorde aux individus des droits étendus sur leurs données personnelles. Les organisations traitant des données de résidents européens doivent être prêtes à honorer ces droits dans des délais spécifiés, généralement un mois pour la plupart des demandes.
Points clés
| Point | Résumé |
|---|---|
| 8 droits | Information, Accès, Rectification, Effacement, Limitation du traitement, Portabilité, Opposition, Décision automatisée |
| Délai de réponse | Un mois (prolongeable de deux mois supplémentaires pour les demandes complexes) |
| Demandes les plus courantes | Accès (DSAR) et Effacement ("droit à l'oubli") |
| Gratuité | La première demande doit être gratuite ; possibilité de facturer pour les demandes excessives/répétitives |
| Vérification d'identité | Vous pouvez vérifier l'identité avant de répondre aux demandes |
Réponse rapide : Le RGPD donne aux individus 8 droits incluant l'accès à leurs données, la suppression et la portabilité. Vous devez répondre dans un délai d'un mois. Les plus courants : Demandes d'accès aux données (DSAR) et demandes d'effacement. Ayez un processus prêt avant de recevoir des demandes.
Vue d'ensemble des droits des personnes concernées
- Droit à l'information. Savoir comment leurs données sont utilisées
- Droit d'accès. Obtenir une copie de leurs données
- Droit de rectification. Corriger les données inexactes
- Droit à l'effacement. Supprimer leurs données ("droit à l'oubli")
- Droit à la limitation du traitement. Limiter l'utilisation des données
- Droit à la portabilité. Transférer les données ailleurs
- Droit d'opposition. Arrêter certains traitements
- Droits liés à la décision automatisée. Intervention humaine dans les décisions automatisées
Droit à l'information
Les individus ont le droit de savoir comment leurs données sont collectées et utilisées.
Informations que vous devez fournir
| À la collecte | Après la collecte (indirect) |
|---|---|
| Votre identité et coordonnées | Source des données |
| Contact du DPO (si applicable) | Catégories de données |
| Finalités du traitement | Finalités du traitement |
| Base légale du traitement | Base légale du traitement |
| Destinataires ou catégories | Destinataires ou catégories |
| Détails des transferts internationaux | Détails des transferts internationaux |
| Durée de conservation | Durée de conservation |
| Leurs droits | Leurs droits |
| Droit de réclamation auprès de la DPA | Droit de réclamation auprès de la DPA |
| Si la fourniture des données est obligatoire | - |
Comment communiquer
- Politique de confidentialité : Complète, toujours accessible
- Notices au moment opportun : Au point de collecte
- Approche en couches : Résumé + détails complets
- Langage clair : Éviter le jargon juridique
Droit d'accès (DSAR)
Les individus peuvent demander une copie de leurs données personnelles et des informations sur le traitement.
Ce que vous devez fournir
| Information requise | Détails |
|---|---|
| Confirmation de traitement | Oui/non si vous traitez leurs données |
| Copie des données | Toutes les données personnelles que vous détenez |
| Finalités du traitement | Pourquoi vous traitez |
| Catégories de données | Types de données |
| Destinataires | Avec qui vous avez partagé |
| Durée de conservation | Combien de temps vous conservez |
| Leurs droits | Droit à la rectification, effacement, etc. |
| Source des données | D'où vous avez obtenu les données |
| Décisions automatisées | Logique de tout traitement automatisé |
Processus de réponse DSAR
Jour 1 : Demande reçue
- Logger la demande
- Démarrer le délai d'un mois
- Accuser réception
Jour 1-5 : Vérifier l'identité
- Confirmer l'identité du demandeur
- Demander des informations supplémentaires si nécessaire
- Le délai est suspendu en attente de vérification
Jour 5-20 : Rassembler les données
- Rechercher dans tous les systèmes
- Compiler les données personnelles
- Caviarder les données de tiers
- Préparer le document de réponse
Jour 20-25 : Revue
- Revue juridique/conformité
- S'assurer de l'exhaustivité
- Appliquer les éventuelles exemptions
Jour 25-30 : Répondre
- Envoyer la réponse de manière sécurisée
- Documenter la finalisation
- Clôturer la demande
Délai de réponse
| Scénario | Délai |
|---|---|
| Demande standard | Un mois |
| Demande complexe | Jusqu'à trois mois (notifier dans le premier mois) |
| Vérification d'identité en cours | Délai suspendu |
| Manifestement infondée/excessive | Peut refuser ou facturer des frais |
Droit de rectification
Les individus peuvent demander la correction de données personnelles inexactes.
Exigences de rectification
| Exigence | Action |
|---|---|
| Données inexactes | Corriger sans délai excessif |
| Données incomplètes | Ajouter des informations complémentaires |
| Tiers | Informer les destinataires des corrections |
| Délai de réponse | Dans le mois |
Mise en œuvre
- Édition de profil en self-service (préféré)
- Canal support pour les corrections
- Processus de vérification des corrections
- Mise à jour de tous les systèmes détenant les données
- Notification des tiers ayant reçu les données originales
Droit à l'effacement (Droit à l'oubli)
Les individus peuvent demander la suppression de leurs données personnelles dans certaines circonstances.
Quand l'effacement s'applique
| Circonstance | Effacement requis |
|---|---|
| Données plus nécessaires | Oui |
| Consentement retiré | Oui |
| Opposition au traitement (pas de motif légitime prépondérant) | Oui |
| Traitement illicite | Oui |
| Obligation légale d'effacer | Oui |
| Données d'enfant collectées en ligne | Oui |
Quand vous pouvez refuser
| Circonstance | Effacement non requis |
|---|---|
| Obligation légale de conserver | Non (ex : registres fiscaux) |
| Défense d'actions en justice | Non |
| Finalités de santé publique | Non |
| Archivage d'intérêt public | Non |
| Liberté d'expression | Non |
Mise en œuvre de l'effacement
Étape 1 : Valider la demande
- Vérifier l'identité
- Vérifier si les motifs d'effacement s'appliquent
- Identifier les éventuelles exemptions
Étape 2 : Localiser les données
- Toutes les bases de données
- Sauvegardes (note : peut être impraticable)
- Sous-traitants
- Registres manuels
Étape 3 : Exécuter la suppression
- Systèmes principaux
- Notifier les sous-traitants
- Considérer la politique de conservation des sauvegardes
- Documenter ce qui a été supprimé
Étape 4 : Répondre
- Confirmer la suppression
- Expliquer toute donnée conservée (avec la raison)
- Dans le mois
Droit à la limitation du traitement
Les individus peuvent demander que vous arrêtiez de traiter leurs données pendant que des problèmes sont résolus.
Quand la limitation s'applique
| Circonstance | Action |
|---|---|
| Exactitude contestée | Limiter jusqu'à vérification |
| Traitement illicite mais l'utilisateur veut limitation pas effacement | Limiter comme demandé |
| Vous n'avez plus besoin des données mais l'utilisateur en a besoin pour des actions en justice | Conserver mais limiter |
| L'utilisateur s'est opposé en attente de vérification | Limiter en attente de décision |
Gestion des données limitées
Quand les données sont limitées, vous pouvez uniquement :
- Stocker les données
- Traiter avec consentement
- Traiter pour des actions en justice
- Traiter pour protéger les droits d'autrui
- Traiter pour un intérêt public important
Droit à la portabilité des données
Les individus peuvent recevoir leurs données dans un format portable et les transmettre ailleurs.
Quand la portabilité s'applique
La portabilité s'applique uniquement quand :
- Le traitement est fondé sur le consentement ou un contrat
- Le traitement est effectué par des moyens automatisés
Exigences de portabilité
| Exigence | Spécification |
|---|---|
| Format | Structuré, couramment utilisé, lisible par machine |
| Formats courants | JSON, CSV, XML |
| Transfert direct | À un autre responsable si techniquement faisable |
| Délai | Un mois |
Quelles données doivent être portables
Selon l'article 20 et les Lignes directrices WP29 sur la portabilité des données, le périmètre inclut :
| Catégorie | Exemples | Portable ? |
|---|---|---|
| Données activement fournies | Soumissions de formulaires, fichiers téléchargés, informations de profil | Oui |
| Données observées de l'usage | Historique de recherche, données de localisation, logs de transactions, fréquence cardiaque des wearables | Oui |
| Données inférées ou dérivées | Scores de crédit, inférences de santé, prédictions comportementales, segments utilisateurs | Non |
Nuance importante : La frontière entre données "observées" et "inférées" nécessite une évaluation au cas par cas. Les logs d'activité bruts sont généralement portables ; les analytics ou scores dérivés de cette activité ne le sont pas. En cas de doute, consultez les lignes directrices WP29 ou demandez un avis juridique pour les cas limites.
Droit d'opposition
Les individus peuvent s'opposer à certains types de traitement.
Traitements que vous devez arrêter (Droit absolu)
| Type de traitement | L'utilisateur peut s'opposer |
|---|---|
| Marketing direct | Toujours. Doit arrêter immédiatement |
| Profilage pour le marketing | Toujours. Doit arrêter immédiatement |
Traitements que vous pouvez continuer (Conditionnel)
| Type de traitement | Quand vous pouvez continuer |
|---|---|
| Intérêts légitimes | Des motifs impérieux prévalent sur les intérêts de l'utilisateur |
| Recherche/statistiques | Motifs d'intérêt public |
Gestion des oppositions
Opposition au marketing direct :
- Arrêter le traitement immédiatement
- Pas d'évaluation nécessaire
- Confirmer à l'utilisateur
Autres oppositions :
- Évaluer si des motifs impérieux existent
- Documenter l'évaluation
- Soit arrêter le traitement SOIT expliquer les motifs impérieux à l'utilisateur
Droits liés à la décision automatisée, y compris le profilage
L'article 22 du RGPD donne aux individus des droits concernant les décisions fondées "exclusivement sur un traitement automatisé, y compris le profilage," produisant des effets juridiques ou les affectant de manière significative similaire.
Qu'est-ce que le profilage ?
Le profilage est défini à l'article 4(4) comme : "Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique."
Exemples courants de profilage :
- Scoring de crédit - Évaluation de la solvabilité basée sur l'historique financier
- Analyse comportementale - Prédiction d'intérêts ou comportements à partir de patterns de navigation
- Évaluation de performance - Évaluation de la productivité des employés via des métriques automatisées
- Évaluation de risque santé - Analyse de données de santé pour prédire des résultats médicaux
Quand ces droits s'appliquent
- Décision fondée exclusivement sur un traitement automatisé (pas d'intervention humaine significative)
- Inclut les activités de profilage
- Produit des effets juridiques ou significatifs similaires
- Exemples : Décisions de prêt automatisées, rejet automatisé de candidature, calculs de primes d'assurance
Droits des utilisateurs
| Droit | Description |
|---|---|
| Information | Être informé du traitement automatisé |
| Intervention humaine | Demander une revue humaine de la décision |
| Exprimer son point de vue | Expliquer leur point de vue |
| Contester la décision | Contester le résultat automatisé |
Exemptions
La décision automatisée est autorisée quand :
- Nécessaire pour un contrat
- Autorisée par la loi
- Fondée sur un consentement explicite
Même avec des exemptions, vous devez mettre en place des garanties.
Construire un système de réponse DSAR
| Composant | Finalité |
|---|---|
| Canal de réception | Recevoir et logger les demandes |
| Vérification d'identité | Confirmer l'identité du demandeur |
| Découverte des données | Trouver toutes les données personnelles |
| Template de réponse | Réponses cohérentes et conformes |
| Système de suivi | Surveiller les délais |
| Processus d'escalade | Gérer les demandes complexes |
Comment Bastion peut vous aider
Gérer les droits des personnes concernées efficacement nécessite des processus bien conçus et la capacité de localiser les données rapidement à travers vos systèmes. Travailler avec des partenaires expérimentés aide à s'assurer que votre approche est à la fois conforme et opérationnellement durable.
| Défi | Comment nous aidons |
|---|---|
| Gestion des DSAR | Workflows rationalisés pour gérer les demandes efficacement |
| Découverte des données | Support pour cartographier où les données personnelles résident à travers vos systèmes |
| Templates de réponse | Formats de réponse pré-construits qui répondent aux exigences du RGPD |
| Suivi des délais | Systèmes pour surveiller les délais de réponse et escalader si nécessaire |
| Documentation | Collecte de preuves pour démontrer une gestion conforme |
Construire des processus robustes de gestion des droits avec un support expert aide à éviter la panique qui survient souvent quand les organisations reçoivent leur première DSAR complexe sans préparation.
Vous cherchez de l'aide pour établir des processus de droits des personnes concernées ? Parlons-en →
Sources
- RGPD Chapitre III : Droits de la personne concernée - Articles 12-23 du RGPD
- Guide ICO sur les droits individuels - Guide du régulateur britannique
- Lignes directrices CEPD sur les droits des personnes concernées - Lignes directrices du Comité Européen de la Protection des Données
- Article 15 RGPD : Droit d'accès - Texte officiel sur les demandes d'accès
- Article 17 RGPD : Droit à l'effacement - Texte officiel sur le "droit à l'oubli"