Après la mise en application du RGPD après le 25 mai 2018, lorsqu’une organisation réalisera un traitement des données à caractère personnel, elle devra mettre en place des mesures appropriées pour respecter les droits des personnes concernées. Le point sur les principaux droits à tenir compte et les mesures à mettre en place pour assurer leur protection.
Informer les personnes concernées, préalable à tout traitement
Le droit à l’information est un des principaux droits consacrés par le RGPD. En vertu de ce droit, avant la réalisation d’un traitement, les personnes concernées doivent être informées de l’utilisation qui sera faite de leurs données. De plus, on devra leur communiquer plusieurs informations.
Parmi ces informations, on peut citer : le nom et les coordonnées du responsable de traitement ou de son représentant, les coordonnées du délégué à la protection des données, l’intérêt légitime du responsable de traitement, les destinataires des données, la durée de conservation des données, les modalités d’introduction d’une réclamation, la présence d’une prise de décision automatisée (surtout en cas de profilage), les coordonnées des personnes à contacter si les personnes concernées ont des questions à poser…
Pour vérifier que les informations qui devraient être délivrées aux personnes concernées sont bien exhaustives, on pourra faire des vérifications en se posant les questions suivantes : comment sont collectées les données ? Quels sont les moyens utilisés pour leur collecte ? Que contiennent les informations collectées ?
Bien répondre aux demandes des personnes concernées
À part le droit à l’information, les personnes qui se sont vu leurs données personnelles faire l’objet d’un traitement ont le droit de demander au responsable certaines actions. Tout d’abord, elles peuvent demander l’accès à leurs données (demande d’une copie des informations collectées par le responsable de traitement).
Ensuite, elles peuvent demander la rectification des informations si ces dernières sont incorrectes ou incomplètes. Et comme prolongement de ce droit, le droit de suppression ou le droit d’obtenir l’effacement. Les personnes concernées peuvent demander la suppression de leurs données dans certains cas (les données ne sont plus utiles au responsable du traitement, si la personne concernée ne donne plus son consentement ou si elle exerce son droit d’opposition…).
Enfin, parmi les autres droits consacrés par le RGPD on peut citer le droit à la portabilité, le droit à la limitation, le droit d’opposition et le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.
Prendre en compte le droit national
Malgré le fait que le RGPD soit très complet, il reste néanmoins qu’il ne prévoit pas tout. À titre d’exemple, ce nouveau règlement ne prévoit aucune disposition particulière quant aux données personnelles des personnes décédées. Mais de telles règles sont en fait présentes dans le droit français.
Dans ce cas-là, on appliquera bien évidemment le droit français. Bref, le droit national s’appliquera donc systématiquement dans toute situation non prévue par le RGPD. Il appartiendra alors au responsable du traitement de prendre en considération ces dispositions nationales.
