logo

Demandes d’un sujet de données dans le cadre du RGPD : Droits et devoirs

Le Règlement général sur la protection des données (RGPD) est un texte législatif de l’Union européenne (UE) qui régit la manière dont les organisations sont susceptibles de collecter et d’exploiter les données personnelles des résidents de l’UE. Il établit des normes qui contribuent à garantir que ces données personnelles ne sont pas stockées, gérées ou partagées de telle manière qu’elles exposeraient les personnes concernées à des risques. En outre, le RGPD spécifie le mode opératoire des organisations pour réagir en cas d’atteinte aux données.

La caractéristique clé du RGPD est qu’il codifie un ensemble de droits propres aux « sujets de données » (les personnes) – droits qui les autorisent à déposer, auprès des organisations, des demandes d’accès aux données les concernant. Dans cet article, nous détaillons la nature de ces demandes, ainsi que la manière dont votre organisation est tenue d’y répondre. L’article propose en outre des solutions pour réagir rapidement et précisément aux demandes de données dans le cadre du RGPD, et ainsi éviter des amendes de plusieurs dizaines de millions d’euros ou plus.

Demandez une démo personnelle :

Quels types de données le RGPD couvre-t-il ?

Protégés par le RGPD, les résidents de l’Union européenne disposent de droits spécifiques sur les données à caractère personnel que les organisations détiennent à leur sujet. Ces données personnelles sont notamment :

  • Des informations d’identification de base, telles que noms et adresses
  • Des informations financières, telles que des coordonnées bancaires
  • Des caractéristiques personnelles, notamment la nationalité, la date de naissance et le sexe
  • Des informations de santé, notamment des détails sur l’état médical et sur un éventuel handicap
  • Des données génétiques, notamment des résultats de test ADN et autres informations de composition génétique
  • Des informations sur l’emploi, telles que le nombre d’employés et les salaires
  • Des identifiants en ligne, comme des noms d’utilisateur
  • Des données comportementales, incluant des détails relatifs aux intérêts ou à l’activité en ligne
  • Des données biométriques, notamment celles de la reconnaissance faciale
  • Des informations de localisation

Quelles sont les étapes d’une demande d’accès aux données ?

Lorsqu’une personne émet une demande d’accès aux données, l’organisation doit, bien sûr, commencer par s’assurer qu’elle stocke ou traite des données personnelles afférentes à cette personne. Dans la négative, elle devra rapporter sa conclusion à la personne concernée et l’affaire s’arrêtera là.

À l’inverse, si elle stocke ou traite des données appartenant à ladite personne, elle doit alors passer à l’étape suivante et traiter sa demande. La section qui suit explique les différents types de demandes et la manière de les gérer.

Téléchargez le guide gratuit (en anglais) :

Quelles demandes une personne peut-elle formuler auprès d’une organisation dans le cadre du RGPD ?

Voici 6 types de demandes qu’une personne exerçant ses droits dans le cadre du RGPD peut formuler, et ce qu’ils impliquent pour votre organisation.

1. Quelles informations détenez-vous sur moi, et à quelles fins ?

Cette demande repose sur deux droits :

  • Le droit d’être informé (articles 13 et 14). Les résidents de l’UE ont droit à des détails clairs et précis sur les informations à caractère personnel qu’une organisation a collectées auprès d’eux, même si cela implique uniquement de déterminer que l’organisation n’a collecté aucune donnée à leur sujet.
  • Le droit d’accès (article 15). Les résidents de l’UE sont également en droit de savoir si leurs données personnelles ont été ou non traitées et, dans l’affirmative, comment elles l’ont été. Il s’agit ici notamment des catégories de données collectées, de l’objectif du traitement, des procédés et politiques de conservation, des personnes auxquelles les données sont divulguées, de la durée de conservation et de l’endroit où les données ont été obtenues.

2. Vous disposez d’informations inexactes à mon sujet ; je veux qu’elles soient rectifiées

Ce type de demande repose sur le droit de rectification (article 16). Ce droit oblige les organisations à s’assurer que toutes les données à caractère personnel qu’elles stockent sont précises et à jour. Les sujets de données ont ainsi le droit de demander que les données personnelles inexactes soient corrigées ou que les données partielles soient complétées.

Garantir la conformité passe par une intégration étroite à l’échelle de tous vos systèmes et processus de données. Ainsi, toute information mise à jour sur un système donné est automatiquement corrigée à tous les autres emplacements.

Demandez une démo personnelle : Une conformité RGPD réussie, preuve à l’appui

3. Je ne vous autorise plus à détenir des données me concernant. Merci de les supprimer !

Ce type de demande repose sur deux droits :

  • Le droit à l’effacement (« droit à l’oubli ») (article 17). Une personne peut exiger la suppression de ses propres informations à caractère personnel des enregistrements et ressources d’une organisation, et que celle-ci cesse immédiatement toute dissémination plus avant de ces renseignements. L’organisation doit alors supprimer toutes les données qui remplissent un quelconque critère suivant :
  • Ont été collectées de manière illégitime
  • Ne sont plus nécessaires
  • Ont été collectées au cours de l’enfance du sujet de données
  • Apparaissent en ligne

L’organisation peut refuser la demande d’effacement si celle-ci enfreint un quelconque critère suivant :

  • Le droit à la liberté d’expression
  • Des motifs d’intérêt public dans le secteur de la santé publique, ou de la recherche historique ou scientifique
  • La constatation, l’exercice ou la défense de droits en justice, ou un dépôt de plainte

Remarquons que même si votre entreprise est autorisée à conserver les données d’une personne, vous devez obtenir le consentement de cette dernière pour tout traitement ultérieur.

Article de blog associé : Le droit à l’effacement : Lois de l’Union européenne et responsabilités aux États-Unis (en anglais)

  • Le droit à la limitation du traitement (article 18). Lorsque l’obligation de supprimer les données d’une personne demeure floue, la personne peut tout de même demander une restriction temporaire de leur traitement, jusqu’à ce que l’entreprise remédie au problème, informe la personne et obtienne son consentement. La conformité à ce droit du RGPD nécessite un examen au cas par cas.

4. Je veux transférer les informations que vous détenez à mon sujet à un autre prestataire de services.

Le droit à la portabilité des données (article 20) autorise les résidents de l’UE à exiger d’une entreprise qu’elle déplace leurs données personnelles chez un autre prestataire de services. Ce droit promeut l’interopérabilité en facilitant le transfert de données d’utilisateur entre différents responsables du traitement. En outre, il encourage une concurrence entre différents services numériques, car les utilisateurs peuvent ainsi changer de prestataires sans perdre leurs données personnelles.

Se conformer à cette disposition implique de fournir les données dans un format structuré lisible par une machine, et ainsi de pouvoir les transmettre directement à l’autre partie.

5. Cessez de m’appeler !

Les sujets de données ont le droit de rejeter les activités de traitement des données (article 21 – Droit d’opposition), notamment l’utilisation de leurs données personnelles à des fins de marketing. Pour rejeter ce type de demande, l’entreprise doit faire la preuve d’un des motifs valables suivants :

  • Besoin légitime de traitement
  • La demande est excessive ou infondée
  • Les données demandées sont utilisées à des fins publiques, statistiques ou historiques
  • Les données demandées ont été utilisées ou fournies pour exercer un recours en justice

 

6. Cessez d’autoriser votre système automatique à prendre des décisions qui affectent mes intérêts légaux.

Le RGPD confère également aux personnes des droits liés aux décisions individuelles automatisées et au profilage (article 22).  Si vous avez mis en place une prise de décision automatisée, y compris un profilage, portant sur des données à caractère personnel, vous devez fournir « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ».

Un profilage et un traitement automatisé interviennent pour trois raisons valables :

  • La personne a donné son consentement.
  • Le traitement est nécessaire à la conclusion ou l’exécution d’un contrat.
  • Le traitement est autorisé par le droit de l’Union européenne ou le droit de l’État membre dont la législation s’applique au responsable du traitement.

Pour éviter les infractions susceptibles de déboucher sur de fortes amendes, veillez à ce que vos employés ne traitent aucune information via des dispositifs automatisés sans s’assurer au préalable d’avoir un motif valable de le faire.

Article de blog associé : Qu’est-ce que le RGPD :10 questions fréquentes (en anglais)

Comment Netwrix vous aide à réagir face à des demandes RGPD

Quelques clics suffisent au logiciel de conformité au RGPD de Netwrix pour identifier toutes les informations que vous stockez. Il vous permet ainsi de gérer tous ces types de demandes de données sans effort et en toute confiance.

Plus largement, les solutions Netwrix contribuent à protéger toutes les données sensibles et réglementées de votre organisation. Pour éviter les frais considérables qu’impliquent les violations de sécurité et de conformité, vous mettez en place une gouvernance des données robuste, éliminez les accès inadaptés, faites appliquer des politiques de sécurité et détectez à temps les menaces sophistiquées.

Notre équipe d’experts comprend parfaitement les enjeux du RGPD, mais aussi ceux de la loi californienne de protection de données des consommateurs (CCPA), ainsi que de nombreuses autres réglementations liées à la sécurité des données. Elle prodigue aux organisations des conseils ciblés et personnalisés pour satisfaire leurs besoins de conformité. Pour en savoir davantage, inscrivez-vous à une démonstration ou téléchargez le document de correspondance entre les exigences du RGPD et la fonctionnalité de Netwrix.

Foire aux questions

Qu’est-ce qu’une demande RGPD ?

Les exigences du RGPD en matière de demande d’accès par un sujet de données permettent aux personnes de solliciter une organisation pour qu’elle leur fournisse une copie des données à caractère personnel qu’elle stocke à leur sujet, ou encore pour qu’elle les efface ou les transfère à un autre prestataire. Les organisations qui ne parviennent pas à se conformer à ces demandes dans le temps imparti risquent de fortes amendes.

Qu’est-ce que la demande de droit d’accès dans le cadre du RGPD ?

Le droit d’accès est également connu sous le nom d’accès du sujet de données. Il s’agit du droit dont disposent les personnes à accéder à des copies de leurs données et informations à caractère personnel, ainsi qu’à des données complémentaires, sous l’égide du Règlement général sur la protection des données, le RGPD. Ce droit leur donne les moyens de savoir comment et à quelles fins les organisations exploitent leurs données.

Que comprend le droit d’accès dans le cadre du RGPD ?

Les informations sur lesquelles les sujets de données ont un droit d’accès dans le cadre du RGPD sont notamment les suivantes :

  • Les catégories de données personnelles traitées
  • La durée sur laquelle les organisations envisagent de stocker les informations personnelles
  • Les destinataires ou les catégories de destinataires des données personnelles
  • Les informations sur l’origine des données
  • L’existence d’une éventuelle prise de décision automatisée

Si des données personnelles, quelles qu’elles soient, sont acheminées vers un pays tiers sans protection adéquate, les sujets de données doivent être informés quant aux garde-fous utilisés pour protéger leurs informations.

Quels sont les droits des sujets de données dans le cadre du RGPD ?

Dans le cadre du RGPD, les sujets de données peuvent exercer certains droits en lien avec leurs données personnelles. Ces droits sont notamment les suivants :

  • Le droit de recevoir toutes les informations collectées à leur sujet
  • Le droit de rectification de données erronées ou incomplètes
  • Le droit de restreindre le traitement de leurs données
  • Le droit à la portabilité des données de sorte à pouvoir changer facilement de prestataire
  • Le droit de ne pas faire l’objet de décisions prises uniquement via un traitement automatisé
  • Le droit de s’opposer à la manière dont leurs données sont détenues ou traitées
  • Le droit à l’effacement des données

Les entreprises doivent-elles se conformer au RGPD ?

Toute organisation qui stocke ou traite les données de résidents de l’Union européenne doit se conformer au RGPD. La non-conformité peut déboucher sur des amendes allant jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise au cours de l’exercice fiscal précédent, ou 10 millions d’euros, le montant retenu étant le plus élevé.

Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Recommandations de la CNIL : sécurité des données à l\\\\\\\'époque du télétravail
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data classification Insider threat IT compliance IT security Office 365 PowerShell Risk assessment SharePoint Windows Server
...