Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « Règlement »), est le nouveau texte de référence en matière de protection des données à caractère personnel au sein de l’Union Européenne. Il entrera en vigueur le 25 mai 2018.

 
La loi Informatique et Libertés modifiée du 6 janvier 1978 et le Règlement permettent à toute personne concernée par un traitement de données d’avoir accès aux données qui la concernent.
L’exercice des droits personnels désigne une procédure qui s’exerce à double sens. Tout d’abord, la personne va faire une requête auprès du responsable de traitement, qui devra toujours y répondre, de manière claire et concrète (que la réponse soit positive ou négative).
Conformément à la loi Informatique et Libertés et au Règlement, les personnes concernées par un traitement de données à caractère personnel disposent de trois droits :

  • (i) Le droit d’accès : la personne concernée peut demander au responsable de traitement de pouvoir prendre connaissance de l’intégralité des données collectées et traitées dans un fichier, afin d’en obtenir une copie, pour notamment pouvoir contrôler l’exactitude des données ;
  • (ii) Le droit de modification : la personne concernée peut demander à faire rectifier les données contenues dans un fichier par le responsable de traitement, lorsque ces dernières s’avèrent inexactes ou lorsqu’il est nécessaire de les mettre à jour ;
  • (iii) Le droit d’opposition : la personne concernée peut s’opposer, pour des motifs légitimes, à figurer dans un fichier et à ce que ses données soient diffusées, transmises ou conservées.

ATTENTION : Pour pouvoir exercer valablement sa demande, la personne doit toujours justifier de son identité, préalablement à sa requête, en communiquant un justificatif. Ensuite, elle pourra s’adresser au responsable de traitement suivant l’adresse mail ou postale communiquée.
L’article 12 “Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée” du Règlement énonce la procédure à respecter.
Le responsable de traitement doit prendre toute mesure appropriée pour répondre à la demande formulée et pour procéder à la communication des éléments requis d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Et ceci dans les meilleurs délais !
En tout état de cause, le responsable de traitement dispose d’un délai de un mois à compter de la réception de la demande pour y répondre. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable de traitement informera alors la personne de cette prolongation et des motifs du report dans un délai de un mois à compter de la réception de la demande.
Ainsi, les responsables de traitement doivent, dans les plus brefs délais, prévoir des « documents types », afin d’être en mesure de répondre aux demandes des individus concernés dans le délai imparti dès l’entrée en vigueur du Règlement.
Si le responsable de traitement ne donne pas de suite à la demande formulée par la personne, celui-ci devra l’informer au plus tard dans un délai de un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
L’exercice des droits individuels ne requiert aucun paiement sauf exception, c’est-à-dire en cas de demandes manifestement infondées ou excessives.
Si des difficultés surviennent dans l’exercice de ces droits, la personne concernée est invitée à former un recours auprès des services compétents de la Commission Nationale de l’Informatique et des Libertés.
Pour plus d’informations :

A propos de Sophie GIRARD