[mis à jour le 8 juillet 2017] Il était temps d’en parler (même un surlendemain de second tour de présidentielles)… Les « droits GDPR » des personnes concernées : accès / rectification / effacement / limitation / notification… Celles et ceux qui s’intéressent à la GDPR, ce Règlement 2016/679, n’attendaient pas de grandes nouveautés en la matière. Pourtant…

[wonderplugin_gallery id= »72″]

---

Droits GDPR : rien de neuf sous le soleil ?

Oui, les droits d’accès, de rectification, le droit à l’oubli et l’obligation de notification aux destinataires étaient prévus dans la Directive 95/46. Allez vérifier, c’était l’article 12. Alors, à part le nouveau « droit à limitation », rien de neuf ?

Parmi la liste des « droits GDPR », nous avons traités à part les droits d’opposition à prospection et à profilage, les droits d’information en cas de collecte directe ou indirecte, et nous traiterons séparément le « droit à portabilité » qui a déjà donné lieu à modification de l’actuelle loi « informatique et Libertés » par la loi « pour une République Numérique » du 7 octobre 2016.

Place maintenant à une revue de détail des droits offerts aux personnes dont les données sont traitées, quelles que soient les « bases juridiques » du traitement (AVEC ou SANS consentement…).

Le droit d’accès (art.15 GDPR)

Le droit d’accès, c’est d’abord le droit de savoir si un responsable de traitement traite (ou non) vos données personnelles. Et si la réponse est « oui », chaque personne concernée dispose du droit d’obtenir  « à intervalle raisonnable » une copie gratuite d’une grande qualité d’informations relatives au traitement de ses données. Nous verrons dans les slides le détail précis de ces informations obligatoires. Dans les contrats pour mes clients, je prévoie actuellement « 2 fois par an » comme « intervalle raisonnable« .

[mise à jour du 8 juillet 2017 : dans le projet de Règlement « e-Privacy », c’est « tous les 6 mois » pour le droit d’opposition]

Le droit de rectification (art.16 GDPR)

Là pas grand chose à dire, c’est une reprise (logique) de la Directive 95/46.

Le droit à effacement (ou « droit à l’oubli ») (art.17 GDPR)

Avec l’arrêt « Google Spain » de 2014, la CJUE avait déjà sévèrement boosté l’interprétation de l’article 12 de la Directive 95/46. Le principe du droit à l’oubli est aujourd’hui consacré, clairement consacré dans la GDPR.

6 cas dans lesquels toute personne concernée peut demander application de son droit GDPR à effacement de ses données [personnelles].

Avec 5 exceptions, dont une est en réalité la porte ouverte à toutes les interprétations (de bonne ou de mauvaise foi) : l’exception de conservation pour respect de la liberté d’information (pour Google et tous les autres moteurs de recherche « à grande capacité de mémoire »…) ou de la liberté d’expression.

Notez que ce droit à l’oubli concerne (i) ceux qui stockent les data ainsi que (ii) les professionnels qui les référencent. OUI, les moteurs de recherche sont directement visés par ce droit à l’oubli.

—> lire « « Droit à l’oubli » : Google plaide pour la mise en balance des intérêts en présence » sur le site Next INpact (article du 17 mai 2017)

Le droit à limitation (art.18 GDPR)

C’est la vraie nouveauté de la GDPR. Ce droit GDPR ne se comprend qu’au regard du droit pour les entreprises d’effectuer des traitements de données SANS consentement « dans l’intérêt légitime » du responsable du traitement. 

Toute personne dont les données seraient collectées SANS consentement, « dans l’intérêt légitime » du responsable du traitement, peuvent contester cet intérêt légitime. Pendant la « procédure » l’opposant au responsable du traitement, la personne concernée aura droit (c’est donc une obligation à la charge de celui qui traite les données) de faire limiter l’utilisation des données litigieuses. C’est ça, le droit à limitation.

 

La notification aux destinataires (art.19 GDPR)

Ecrit comme cela, c’est pas très clair… Il faudrait plutôt écrire « obligation de notifications aux destinataires« . C’est toujours pas clair ? Bon… La GDPR a pour objectif de permettre le commerce des données personnelles, le business de la data (le fameux « pétrole du XXI° siècle« , le « Big Data« ).

Le commerce des données personnelles est parfaitement possible au sein de l’UE. Pour autant que… en cas de collecte indirecte de données personnelles (c’est l’article 14 GDPR), les personnes dont les données sont traitées soient clairement informées de ce traitement (par qui, combien de temps, etc.).

Mais si l’on exerce son droit d’accès, son droit de rectification ou son droit à l’oubli auprès d’un « vendeur » de données, les destinataires « acheteurs » en seront-ils informés par le « vendeur » des données ? L’article 12 de la Directive 95/46 le prévoyait déjà. Avec 2 exceptions assez similaires avec celles figurant (comme par hasard) dans la GDPR.

 

 

De la Directive 95/46 à la GDPR

Alors, que retenir des « droits GDPR » offerts aux personnes dont les données sont traitées ? « Tout changer pour que rien ne change » comme disait, un rien cynique, le Guépard dans le film de Visconti ?

Ce sont les sanctions qui changent la donne : tous les « droits GDPR », transparence (art.12 GDPR), information directe (art.13 GDPR), information indirecte (art.14 GDPR), et bien évidemment les droits d’accès / rectification / effacement / limitation / notification (art. 15 à 19) qui ne seraient pas respectés par les « data controlers » font encourir une « amende administrative » au format « 20 millions / 4% CA ».

Ben oui, à la Fac de droit, on apprend ça en première année : une obligation sans sanction, ça ne sert à rien. Dans les jeux de carte, ça s’appelle du bluff. En décoration, ça s’appelle un accessoire : ça fait joli mais ça ne sert à rien.

Le message (implicite) de la Commission européenne et des Autorités de contrôle est le suivant : attention, gros niveau de sanction en cas de non-respect des « droits GDPR ». « Vae victis » pour reprendre la sentence du chef gaulois Brennos : malheur à celui qui se fera prendre, il servira d’exemple aux autres. Ah… L’exemplarité de la peine… Au Moyen-Âge, on pendait les coupables en public, pour édifier les foules…

Requalifier ses bases de données avant le 25 mai 2018

Vous êtes responsable de traitement ? Soit vous anticipez la mise en conformité de votre base de données et vous allez devoir la « requalifier », soit il vous reste à espérer que les sanctions tombent sur votre concurrent… Attention, tout cela n’est pas que du bla bla de juriste : il va falloir techniquement modifier votre base de données, notamment pour le droit à limitation si vous comptez utiliser le droit à traiter des données SANS consentement sur le fondement de « l’intérêt légitime » de votre entreprise.

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer (pour fêter « 1 an » avant l’entrée en vigueur de la GDPR). Si vous voulez être certain de ne rien rater, abonnez vous à ce blog : c’est gratuit et vous serez informé des nouveaux posts en temps réel !

tic tac tic tac… dans à peine plus de 12 mois… 

---

---

 

---

---