Quels sont les droits RGPD des personnes dont vous collectez les données ?
À des fins commerciales, marketing ou purement administratives : les entreprises collectent et stockent des données personnelles à propos de leurs prospects et clients. Le RGPD (Règlement Général sur la Protection des Données) encadre ces pratiques pour éviter les dérives et protéger les libertés individuelles. Parmi les objectifs phares du texte : s’assurer que les personnes gardent toujours une maîtrise parfaite de leurs données personnelles. Pour cela, le RGPD consacre un chapitre entier aux droits des personnes.
Voici un décryptage des douze articles du chapitre III intitulé « Droits de la personne concernée », ainsi que des conseils pratiques pour vous y conformer sans difficultés.
Les 5 catégories de droits RGPD des personnes
#1 Transparence et exercice des droits : cette première catégorie pose les grands principes en matière de droits des personnes. Deux enseignements à retenir :
- Votre politique de protection des données doit être facilement accessible, et fournir une information exhaustive et compréhensible de tous.
- Vous devez mettre tous les moyens en œuvre pour faciliter l’exercice des droits des personnes dont vous collectez les données.
#2 Information et accès aux données : cette section du RGPD liste les mentions qui doivent obligatoirement figurer dans votre politique de protection des données, et que vous devez fournir aux personnes qui en font la demande.
#3 Rectification, effacement et portabilité : vous devez rectifier les informations que vous détenez sur une personne à sa demande. Sauf intérêt impérieux, vous avez également l’obligation d’effacer ses données personnelles de vos fichiers si une personne le demande. Le droit à la portabilité vous oblige à communiquer à la personne qui le demande l’ensemble des données dont vous disposez à son propos.
#4 Opposition : si une personne s’oppose au traitement de ses données, vous devez cesser de les utiliser mais vous pouvez les conservez. L’opposition peut être partielle : la personne ne veut plus recevoir vos newsletters hebdomadaires mais accepte que vous lui envoyiez des offres promotionnelles, par exemple.Concrètement, la personne concernée impose une utilisation de ces données et s’oppose à une autre. Ce droit a été pensé pour permettre aux personnes de s’opposer à certaines actions de prospection.
#5 Limitations : Le droit à la limitation consiste en une demande d'opposition à l'utilisation des données en attendant des vérifications. Comme l'opposition, l'organisme doit cesser l'utilisation des données tout en les conservant. Mais à la différence de l'opposition, la limitation est une demande temporaire en vue d'une future action (opposition, rectification, effacement etc.) alors que le droit d'opposition est définitif et principalement exercé à l’encontre de prospections commerciales.Le droit à la limitation des traitements concerne des cas beaucoup plus larges. Par exemple, une personne peut demander la conservation d’images de vidéosurveillance pour une future procédure.
Comment respecter les droits RGPD des personnes ?
En tant qu’entreprise, vous devez respecter les droits des personnes dont vous détenez les données personnelles :
- Pour éviter des sanctions pour non-respect du RGPD.
- Pour préserver la relation client ainsi que votre image de marque.
Voici quatre bonnes pratiques à adopter.
Élaborer une politique de protection des données personnelles conforme au RGPD
L’article 13 du RGPD fournit la liste des mentions obligatoires. Mentionnez notamment :
- Les coordonnées du responsable du traitement, pour permettre aux personnes de le contacter.
- Les raisons pour lesquelles vous collectez des données : analyse d’audience de votre site web, campagnes marketing ou encore gestion commerciale.
- Les tiers autorisés qui ont accès aux données que vous stockez.
- La durée de conservation des données.
- La liste des droits RGPD des personnes, principalement : droit de rectification, droit à l’effacement (ou droit à l’oubli), droit à la portabilité et droit d’opposition.
Communiquer la politique de protection des données personnelles en toute transparence
A priori, la politique de protection des données personnelles – ou politique de confidentialité – est un document légal obscur et rébarbatif, au même titre que les CGV. De l’avis général, peu de personnes prennent le temps de lire ces documents, et les entreprises accordent en conséquence une attention minime à leur rédaction. Sauf que le contexte actuel fait évoluer les mœurs…
Les personnes sont de plus en plus sensibles au sort de leurs données personnelles, et veulent en retrouver la maîtrise totale : plus une entreprise est transparente, plus les personnes lui font confiance.
Concrètement, il s’agit de :
- Donner de la visibilité à votre politique des données, via un onglet facilement accessible sur votre site web.
- Expliquer le plus clairement possible ce que vous faites des données personnelles que vous conservez.
- Insérer un lien vers la page dédiée chaque fois que vous collectez des données personnelles, pour dûment informer les personnes.
Fournir aux personnes un moyen pratique et efficace pour exercer leurs droits
Les personnes dont vous détenez les données personnelles en restent seules propriétaires, et ont à ce titre des droits étendus. Ils peuvent notamment :
- Vous demander la liste des informations que vous avez à leur propos.
- Vouloir mettre à jour leurs informations.
- Exiger que vous supprimiez leurs coordonnées de vos fichiers, ou d’une liste de diffusion marketing.
Pour leur faciliter la tâche, proposez-leur un système pratique et efficace : une adresse e-mail ou un numéro de téléphone dédié, géré par une personne réactive.
Avec Leto, vous pouvez mettre en place un portail dédié à l’exercice des droits RGPD : pratique, ludique et efficace !
Être réactif aux demandes d’exercice des droits RGPD
Quand une entreprise manipule un gros volume de données personnelles, elle doit en contrepartie répondre à un grand nombre de demandes d’exercice de droits RGPD. Et la tâche devient vite fastidieuse. Or il est primordial d’exécuter rapidement les demandes : pour satisfaire les personnes, et pour respecter le RGPD (vous avez un mois maximum pour traiter les demandes).
- Mettez en place une organisation infaillible pour assurer le traitement rapide des demandes.
- Veillez en outre à mettre à jour l’ensemble des fichiers qui contiennent les données personnelles à modifier ou à effacer.
- Enfin, n’oubliez pas de notifier les modifications requises aux tiers qui ont accès aux données.
⚠️ Attention, si vous ne donnez pas suites aux demandes d'exercice de droits, les personnes concernées ont la possibilité de saisir la CNIL pour effectuer un signalement ou une plainte.
Pour faciliter la gestion des droits RGPD des personnes, Leto propose, entre autres, une fonctionnalité de data mapping. L’ensemble des données personnelles détenues par l’entreprise est cartographié pour offrir une vision globale et organisée. Le traitement des demandes des personnes est ainsi facilité, et fiabilisé.
Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts.
Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.