Fiche thématique
22 min de lecture
10 novembre 2022

Le RGPD a pour principes clés notamment la transparence et l’« accountability », ces principes étant couplés à la volonté de permettre aux personnes concernées de (re)prendre, dans une certaine mesure, le contrôle des données personnelles les concernant, avec en filigrane l’ambition d’améliorer la protection des droits et libertés des personnes ainsi que la confiance envers les organismes qui collectent et traitent leurs données.

Suivant cette logique, le RGPD consacre un chapitre complet aux droits des personnes concernées et aux obligations corrélatives des responsables du traitement.

Sommaire

Droits d’information et d’accès aux données personnelles

Informations à fournir lorsque les données sont collectées auprès de la personne concernée

Les articles 13 et 14 du RGPD distinguent deux cas s’agissant du droit à l’information, selon que les données à caractère personnel sont collectées directement ou non auprès de la personne concernée, à l’instar de ce que prévoyait la directive 95/46/CE, abrogée le 25 mai 2018 lors de l’entrée en application du RGPD.

En cas de collecte directe, le responsable du traitement doit fournir directement à la personne concernée, au moment où les données sont obtenues, les informations suivantes :

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du DPO ;
  • les finalités du traitement, ainsi que la base juridique du traitement ;
  • lorsque le traitement est fondé sur l’article 6, § 1, f) du RGPD, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
  • le cas échéant, les destinataires ou catégories de destinataires des données à caractère personnel ;
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale et la preuve du respect des règles afférentes prévues aux articles 46 et suivants (RGPD, art. 13, § 1).

Des informations complémentaires sont prévues pour garantir un traitement équitable et transparent (RGPD, art. 13, § 2) :

  • la durée de conservation des données à caractère personnel ;
  • l’existence du droit de demander au responsable du traitement l’accès, la rectification ou l’effacement des données, une limitation du traitement relatif à la personne concernée ou le droit de s’opposer au traitement et le droit à la portabilité des données ;
  • lorsque le traitement est fondé sur l’article 6, § 1, a) ou sur l’article 9, § 2, a) du RGPD, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • des informations sur l’exigence de fourniture de données à caractère personnel, ainsi que les conséquences éventuelles de leur non-fourniture ;
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, § 1 et 4 du RGPD.

Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement doit fournir au préalable à la personne concernée des informations au sujet de cette autre finalité (RGPD, art. 13, § 3).

Le RGPD prévoit une dérogation à l’application du droit à l’information lorsque la personne concernée dispose déjà des informations (RGPD, art. 13, § 4).

Informations à fournir lorsque les données ne sont pas collectées auprès de la personne concernée

Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement lui fournit les mêmes informations que si ces données avaient été directement collectées auprès d’elle, telles que prévues à l’article 13, § 1 du RGPD. L’article 14 exige en outre du responsable de traitement qu’il précise les catégories de données à caractère personnel concernées (RGPD, art. 14, § 1). Des informations complémentaires sont prévues au § 2 pour garantir un traitement équitable et transparent ; elles sont identiques à celles requises en cas de collecte directe, on notera simplement que le responsable du traitement doit en outre communiquer la source d’où proviennent les données personnelles, et le cas échéant, si elles sont issues ou non de sources accessibles au public.

Il existe des délais pour communiquer ces informations à la personne concernée. Elles doivent ainsi être fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, sans dépasser un mois. Si elles sont utilisées aux fins de la communication avec la personne concernée, elles doivent être fournies au plus tard lors de cette première communication. Enfin, s’il est envisagé de communiquer les informations à un autre destinataire, elles seront données lorsque les données sont communiquées pour la première fois (RGPD, art. 14, § 3).

Des dérogations au devoir d’information du responsable du traitement sont prévues, non seulement lorsque la personne concernée dispose déjà des informations, mais aussi lorsque leur fourniture se révèle impossible ou exigerait des efforts disproportionnés. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. Une autre dérogation tient à l’obtention ou la communication des informations qui seraient expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée. Enfin, la dernière dérogation tient au respect du secret professionnel réglementé par le droit de l’Union ou le droit des États membres, exigeant que les données à caractère personnel restent confidentielles (RGPD, art. 14, § 5).

Droit d’accès de la personne concernée

La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel, ainsi que les informations suivantes :

  • les finalités du traitement ;
  • les catégories de données à caractère personnel concernées ;
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
  • lorsque cela est possible, la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données ou une limitation du traitement ou du droit de s’opposer à ce traitement ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  • l’existence d’une prise de décision automatisée, y compris un profilage.

Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées (par exemple, des clauses types de protection des données, un instrument juridiquement contraignant et exécutoire, des règles d’entreprises contraignantes, un code de conduite approuvé, etc.). Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Ce droit d’obtenir une copie ne doit pas porter atteinte aux droits et libertés d’autrui (RGPD, art. 15 ).

Si les droits d’accès et d’information étaient déjà prévus par la directive 95/46/CE, désormais abrogée, nul doute que les droits consacrés par le RGPD sont plus protecteurs, dans la mesure où leur périmètre est mieux précisé.

Droits de rectification et d’effacement (ou « droit à l’oubli ») des données personnelles

Les droits de rectification et d’effacement - ce dernier étant aussi appelé « droit à l’oubli » -, sont souvent présentés comme des droits nouvellement consacrés par le RGPD. Cette affirmation doit être nuancée par le fait qu’ils ne sont accordés que dans certains cas limitativement énumérés et qui ne sont pas nouveaux. L’article 12, b) de la directive 95/46/CE, aujourd’hui abrogée, reconnaissait ainsi de manière générale le droit à la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données. Le RGPD a simplement précisé ces droits.

Droit de rectification

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. En outre, compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire (RGPD, art. 16 ).

Droit à l’effacement ou « droit à l’oubli »

La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant. Le responsable du traitement doit effacer ces données à caractère personnel dans les meilleurs délais. Toutefois, ce droit n’est pas général mais a vocation à ne s’appliquer que pour des motifs limitativement énumérés, ce qui en limite fortement la portée. Il s’applique lorsque :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  • la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
  • la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
  • les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
  • les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information aux enfants (RGPD, art. 17, § 1).

Remarque

Toutes les hypothèses visées supposent que le traitement en cause ne soit pas ou plus conforme au RGPD, ce qui était la formulation générale de la directive 95/46/CE aujourd’hui abrogée. Si on peut se réjouir des précisions apportées et d’une formulation plus affirmée, on constate également que, sur le fond, aucun droit n’est finalement accordé. Au demeurant, la formulation générale de la directive avait pour mérite d’englober tout type de violation, alors que l’énumération précise du RGPD perd cette souplesse au profit de la précision.

La portée de ce « droit à l’oubli » est limitée. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, doit prendre des mesures raisonnables, y compris d’ordre technique, pour informer les tiers qui traitent ces données que la personne concernée a demandé l’effacement (RGPD, art. 17, § 2). Les mesures prises pour informer les tiers trouvent donc leur limite, compte tenu du coût et de la difficulté, ce que prévoyait aussi la directive 95/46/CE, en cas d’impossibilité ou d’effort disproportionné. De ce point de vue, la logique des deux textes est identique.

Par ailleurs, des dérogations au droit à l’effacement sont prévues dans la mesure où le traitement est nécessaire :

  • à l’exercice du droit à la liberté d’expression et d’information ;
  • pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;
  • à la constatation, à l’exercice ou à la défense de droits en justice.

Ces dispositions viennent donc encore restreindre la portée du droit à l’effacement (RGPD, art. 17, § 3).

Remarque

Compte tenu du fait que ce droit n’est pas véritablement nouveau et qu’il fait l’objet de limitations ou de dérogations, son apport à la protection des personnes concernées n’est pas aussi important que l’on pourrait le croire et ne paraît guère plus ambitieux que le droit au déréférencement consacré en 2014 par la Cour de justice de l’Union européenne dans l’arrêt Google Spain ( CJUE, 13 mai 2014, aff. C-131/12 ).

Droit à la limitation du traitement de données personnelles

Un nouveau droit limité

Le RGPD consacre un nouveau droit à la limitation du traitement. Il semble que ce droit n’a vocation à jouer que dans des hypothèses limitées, relativement marginales. Ainsi, la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

  • l’exactitude des données à caractère personnel est contestée par la personne concernée ;
  • le traitement est illicite et la personne concernée exige la limitation de leur utilisation ;
  • le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • la personne concernée s’est opposée au traitement en vertu de l’article 21, § 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée (RGPD, art. 18, § 1).

Lorsque le traitement a été limité, les données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice ou encore pour la protection des droits d’une autre personne physique ou morale ou enfin pour des motifs importants d’intérêt public de l’Union ou d’un État membre (RGPD, art. 18, § 2).

Obligation de notification du responsable du traitement

Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement doit fournir à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande (RGPD, art. 19 ).

Droit à la portabilité des données personnelles

Gérer et réutiliser ses données personnelles…

Le RGPD a créé un droit à la portabilité des données. Désormais, les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. Elles ont aussi le droit de transmettre ces données à un autre responsable du traitement, sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (RGPD, art. 20, § 1). Il peut alors y avoir transmission des données, lorsque le traitement est :

  • fondé sur le consentement en application de l’article 6, § 1, a) ou de l’article 9, § 2, a) du RGPD ;
  • fondé sur un contrat en application de l’article 6, § 1, b) du RGPD ;
  • effectué à l’aide de procédés automatisés.

Lorsque la personne concernée exerce son droit à la portabilité des données, elle a le droit d’obtenir que les données soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible (RGPD, art. 20, § 2).

… sans porter atteinte aux données d’autrui

Par ailleurs, l’exercice du droit à la portabilité s’entend sans préjudice de l’article 17 relatif au droit à l’effacement des données. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Ce droit ne doit pas porter atteinte aux droits et libertés de tiers (RGPD, art. 20 ).

Remarque

Ce droit à la portabilité des données est à mettre en lien avec les objectifs du droit de la consommation et de la concurrence. La portabilité des données facilite le changement d’opérateur et de service, ce qui stimule la concurrence. De ce fait, on espère une baisse des prix au profit des consommateurs. En effet, certaines pratiques courantes des acteurs dominants de l’économie numérique peuvent non seulement porter atteinte à la protection des données personnelles, mais aussi au droit de la concurrence (v. Rapp. Autorité conc., Droit de la concurrence et données, 10 mai 2016 : https://www.autoritedelaconcurrence.fr/sites/default/files/2019-05/rapport-concurrence-donnees-vf-mai2016.pdf).

Droit d’opposition à un traitement de données personnelles

Un droit assorti de conditions

Le RGPD accorde à la personne concernée un droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant. Le responsable du traitement ne doit plus traiter les données à caractère personnel, à moins de démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. En cas d’opposition, les données à caractère personnel traitées à des fins de prospection ne doivent plus être traitées à ces fins (RGPD, art. 21 ).

Ce droit d’opposition est assorti d’un certain nombre de conditions. Il était déjà accordé par la directive 95/46/CE abrogée depuis le 25 mai 2018, mais le RGPD donne la possibilité au responsable du traitement de démontrer l’existence de motifs légitimes et impérieux de nature à prévaloir sur le droit d’opposition, alors que la directive ne lui accordait pas cette possibilité.

Modalités d’exercice

Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données la concernant à ces fins. Autrement dit, aucun motif ne doit accompagner l’exercice du droit d’opposition dans une telle hypothèse mercantile d’utilisation des données (RGPD, art. 21, § 2).

Au plus tard au moment de la première communication avec la personne concernée, le droit d’opposition est explicitement porté à son attention et doit être présenté clairement et séparément de toute autre information (RGPD, art. 21, § 4). Dans le cadre de l’utilisation de services de la société de l’information, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques (RGPD, art. 21, § 5). Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public (RGPD, art. 21, § 6). Si l’exercice du droit d’opposition risque de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques de ce type de traitement, il peut y être dérogé ( L. no 78-17, 6 janv. 1978, art. 36 ; D. no 2018-687, 1er août 2018 : JO, 3 août).

Droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage

Un droit existant mais précisé

La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (RGPD, art. 22, § 1).

Remarque

Cette disposition est essentielle, à l’heure du traitement algorithmique sur lequel de plus en plus de décisions ayant une incidence sur les individus sont prises. Une telle mesure existait déjà à l’article 15 de la directive 95/46/CE, abrogée depuis le 25 mai 2018, qui précisait toutefois que le traitement automatisé de données était destiné à évaluer certains aspects de la personnalité de la personne concernée, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement. Les dispositions du RGPD sont plus larges dans la mesure où la finalité du profilage n’est pas précisée.

Exceptions prévues par le RGPD

Le RGPD prévoit cependant un certain nombre d’exceptions au droit de ne pas faire l’objet d’un profilage ou décision automatisée, lorsque cette décision :

  • est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ;
  • est fondée sur le consentement explicite de la personne concernée (RGPD, art. 22, § 2).

Remarque

Ces exceptions, loin d’être anecdotiques, sont en mesure de vider le principe de son sens. La directive 95/46/CE prévoyait les mêmes deux premières exceptions. La troisième exception est donc nouvelle et illustre le fait que l’expression de son consentement par la personne concernée est de nature à remettre en cause la protection légale. Ainsi, de nombreux services numériques fonctionnent sur la base d’un traitement algorithmique automatisé et les utilisateurs donnent aisément leur consentement à l’usage de tels outils sans pour autant avoir conscience de leur mode de fonctionnement.

Toutefois, le responsable du traitement doit mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée. Cette limitation des risques passe notamment par la reconnaissance du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. Pour autant, il ne s’agit pas là de reconnaître un principe de loyauté ou de transparence algorithmique, tel que prévu dans la loi no 2016-1321 du 7 octobre 2016 pour une République numérique. En particulier, l’intervention humaine ne permet pas véritablement de garantir une « explicabilité » de la décision (RGPD, art. 22, § 3).

En tout état de cause, les décisions automatisées, même si elles rentrent dans le cadre des exceptions prévues par le RGPD, ne peuvent être fondées sur des données sensibles, sauf si la personne concernée a donné son consentement ou si le traitement est nécessaire pour des motifs d’intérêt public et si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée sont mises en place (RGPD, art. 22, § 4).

Limitations aux droits de la personne concernée

Une mesure nécessaire et proportionnée

L’ensemble des droits précités, accordés à la personne concernée, tels que prévus aux articles 12 à 22 du RGPD reçoivent des limitations. Ainsi le droit de l’Union et le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis, peuvent limiter la portée des obligations et droits, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir notamment :

  • la sécurité nationale ;
  • la défense nationale ;
  • la sécurité publique ;
  • la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
  • d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;
  • la protection de l’indépendance de la justice et des procédures judiciaire ;
  • la prévention et la détection des manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuite en la matière (RGPD, art. 23, § 1).

Remarque

Si la plupart des limitations sont justifiées par l’intérêt général et notamment par l’objectif de sécurité publique, on peut douter qu’il en soit ainsi s’agissant de la matière économique et financière (RGPD, art. 23, § 1, e). Il est en effet contestable que de telles considérations prévalent sur la protection des individus.

Les lignes directrices du CEPD rappellent les conditions entourant l’utilisation de telles restrictions à la lumière de la Charte des droits fondamentaux de l’UE et du RGPD. Elles fournissent une analyse approfondie des critères d’application des restrictions, des évaluations qui doivent être respectées, de la manière dont les personnes concernées peuvent exercer leurs droits après la levée des restrictions et des conséquences des violations de l’article 23 du RGPD. Le CEPD rappelle que toute restriction doit respecter l’essence du droit qui est restreint et que les restrictions trop larges et intrusives dans la mesure où elles vident le droit fondamental à la protection des données personnelles de son contenu ne peuvent être justifiées ( Lignes directrices du CEPD no 10/2020, 15 déc. 2020 ).

La CJUE a précisé que l’article 23 du RGPD, qui permet de limiter les droits des personnes concernées prévus par le RGPD, notamment afin de garantir la sécurité nationale, la défense nationale, la sécurité publique, ou encore la prévention et la détection d’infractions pénales, doit être interprété comme s’opposant à une réglementation nationale imposant aux fournisseurs de services de communications électroniques CSP et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée, notamment, des données à caractère personnel afférentes à ces services ( CJUE, 6 oct. 2020, aff. C-623/17  ; CJUE, 6 oct. 2020, aff. C-511/18 ).

L’accès d’autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, permettant de tirer des conclusions précises sur la vie privée des personnes concernées, n’est autorisé qu’en vue de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique. Selon la Cour, ni la durée de la période pour laquelle l’accès à ces données est sollicité ni la quantité ou la nature des données disponibles pour une telle période n’ont d’incidence à cet égard ( CJUE, 2 mars 2021, aff. C-746/18 ).

Le Conseil d’État s’est appuyé sur l’infléchissement de la position de la Cour de justice qui, dans son arrêt La Quadrature du Net, a admis la conservation généralisée et indifférenciée des données de connexion autres que les adresses IP « aux seules fins de sauvegarde de la sécurité nationale lorsqu’un État est confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, sur injonction d’une autorité publique, soumise à un contrôle effectif d’une juridiction ou d’une autorité administrative indépendante […], pour une période limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace ». Or la France est confrontée, depuis 2015, au terrorisme, mais aussi au risque d’espionnage et d’ingérence étrangère ainsi qu’à des menaces graves pour la paix publique. La conservation de ces données est donc justifiée. Il est seulement enjoint au gouvernement de modifier, dans les six mois, les dispositions réglementaires contestées pour prévoir le réexamen périodique de l’existence d’une menace réelle et actuelle ou prévisible. Il devra également en limiter les finalités à la sauvegarde de la sécurité nationale ( CE, 21 avr. 2021, no 393099 ).

Tirant les conséquences de cette décision, l’article 17 de la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a modifié l’encadrement de la conservation des données de connexion par les opérateurs de communications électroniques, les fournisseurs d’accès à internet (FAI) et les hébergeurs ( L. no 2021-998 du 30 juillet 2021 : JO, 31 juill.). Cette disposition précise la liste des données qu’il convient de conserver et renvoie à l’adoption de plusieurs décrets (D. no 2021-1361, 20 oct. 2021 : JO, 21 oct. ; D. no 2021-1362, 20 oct. 2021 : JO, 21 oct. ; D. no 2021-1363, 20 oct. 2021 ).

Remarque

Contrairement au Conseil d’État, la Cour constitutionnelle belge estime que l’arrêt de la CJUE « La Quadrature du net » impose aux États de renoncer, pour l’essentiel, à la conservation généralisée et indifférenciée des données de connexion (Cour constit. belge, 22 avr. 2021, no 57/2021).

Saisi d’une question prioritaire de constitutionnalité, le Conseil constitutionnel s’est également prononcé sur le sujet de la conservation des données de connexion ( Cons. const. 25 févr. 2022, no 2021-976/977 QPC ). Il a estimé qu’en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions de l’ancien article L. 34-1 du code des postes et des communications électroniques portent une atteinte disproportionnée au droit au respect de la vie privée. Pour autant, le Conseil constitutionnel rappelle que les dispositions attaquées ne sont plus en vigueur, et que la remise en cause des mesures prises sur leur fondement serait manifestement excessive au regard des objectifs à valeur constitutionnel de sauvegarde de l’ordre public et de recherche des auteurs d’infractions.

Dispositions spécifiques

Par ailleurs, le RGPD impose de prévoir, pour chaque mesure législative limitant la portée des droits et des obligations relatifs aux personnes concernées, des dispositions spécifiques relatives, au moins, le cas échéant :

  • aux finalités du traitement ;
  • aux catégories de données à caractère personnel ;
  • à l’étendue des limitations introduites ;
  • aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ;
  • à la détermination du responsable du traitement ou des catégories de responsables du traitement ;
  • aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ;
  • aux risques pour les droits et libertés des personnes concernées ;
  • et au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation (RGPD, art. 23, § 2).

Exercice des droits par le biais d’un mandataire

L'article 77 du décret no 2019-536 du 29 mai 2019 pris pour application de la loi Informatique et libertés, ainsi que le RGPD, permettent à une personne spécialement mandatée à cet effet par le demandeur, si celle-ci justifie de son identité et de l'identité du mandant, de son mandat ainsi que de la durée et de l'objet précis de celui-ci, d'exercer une demande d'exercice de droits au nom de la personne concernée.

La recommandation de la CNIL

La CNIL a adopté une recommandation afin d’aiguiller d’une part, les sociétés mandataires qui permettent aux personnes d’exercer leurs droits par leur intermédiaire, et d’autre part, les responsables de traitements, publics ou privés, qui reçoivent des demandes d’exercice de droits par le biais de sociétés mandatées ( Délib. CNIL no 2021-070, 27 mai 2021 ). La Commission a retracé les étapes de la demande d’exercice de droits par un tiers :

  • la création d’une relation contractuelle entre la personne concernée (le mandant) et le mandataire,
  • l’établissement d’un mandat spécifique,
  • la transmission de la demande d’exercice de droits au responsable de traitement,
  • la transmission des données par le responsable de traitement à la personne concernée ou au mandataire,
  • la transmission des données par le mandataire à la personne concernée, ou à un autre responsable de traitement,
  • le cas échéant, la conservation par le mandataire des données ainsi obtenues dans un espace accessible à la personne concernée ;
  • et l’éventuelle réutilisation par le mandataire des données ainsi obtenues.

La recommandation précise que « la durée du mandat doit être indiquée, ce qui implique que l’échéance à laquelle le mandat prend fin doit être déterminée ou déterminable ».

Par exemple, selon la CNIL, les missions devant être accomplies par le mandataire peuvent être précisément listées, et il peut être indiqué que l’accomplissement de ces dernières entraînera la résiliation automatique du mandat.

Par ailleurs, la Commission rappelle qu’en application de l’article 2004 du code civil, la personne concernée a le droit de révoquer le mandat à tout moment. La Commission recommande que lorsque la personne concernée révoque son mandat, le mandataire avise les responsables de traitement auprès desquels des demandes d’exercice des droits ont été adressées et qui sont toujours en cours de traitement.

Exemple de mandat type fourni par la CNIL

La CNIL propose un exemple de mandat type auquel peuvent se référer les mandataires ainsi que les responsables de traitement détenteurs des données Exemple de mandat pour l’exercice des droits conférés par le RGPD, CNIL.

Remarque

La CNIL a précisé que le mandat type ne concerne que la protection des données : d’autres clauses à caractère com-mercial peuvent également y être intégrées, à condition qu’elles ne contredisent pas la réglementation applicable à la protection des données.

La Commission recommande au mandataire de s’assurer que le mandat contient tous les éléments permettant au responsable de traitement :

  • d’identifier la personne à l’origine de la demande d’exercice du droit ;

Remarque

Dans les cas où le responsable de traitement aurait des doutes raisonnables sur l’identité de la personne concernée, notamment lorsque la personne a recours à un pseudonyme qui ne concorde pas avec les informations détenues par le responsable de traitement, ce dernier peut collecter des informations supplémentaires pour confirmer son identité, dans le respect du principe de pertinence des données.

  • de s’assurer de l’authenticité du mandat ;
  • et d’identifier le destinataire auquel les données doivent être transmises.
ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Autres sites à consulter
Aller plus loin
ELnet DROIT EUROPÉEN DES AFFAIRES
Retrouvez l’ensemble des dispositions européennes en matière sociale, fiscale, économique et commerciales.
à partir de 304.7€ HT/mois au lieu de à partir de 358.48€ HT/mois
ELnet DROIT EUROPÉEN DES AFFAIRES
Questions fréquemment posées

A quel moment faut-il informer la personne concernée par un traitement de ses données personnelles ?

Le responsable de traitement doit informer la personne dont les données sont collectées (RGPD art. 13 et 14) :

  • au moment de cette collecte, dans le cas d’une collecte directe ; dès que possible (par exemple, lors du premier contact ou de la première communication à un autre destinataire) et au plus tard dans le délai d’un mois lors d’une collecte indirecte ;
  • en cas de modification de leur utilisation (nouvelle finalité, nouveau destinataire, par exemple) ;
  • régulièrement, dans un souci de transparence.

Il existe des exceptions à cette obligation, notamment lorsque la personne concernée est déjà informée.

Comment informer une personne concernée par le traitement de ses données personnelles ?

L’information doit être aisément accessible (l’internaute doit la trouver facilement ; elle doit être distinguée des autres types d’informations, telles que les CGV). Elle doit être concise (une notice composée d’un bloc compact de 20 pages ne permet pas d’informer efficacement la personne concernée). Elle doit être transparente, compréhensible, formulée en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

Le responsable de traitement peut recourir à une approche combinant plusieurs niveaux et plusieurs modalités d’information (introduisant des visuels ou des icones, par exemple).

Les dernières actualités dans ce thème
Collecte déloyale par un enquêteur privé de données personnelles en libre accès sur internet
Droit des affaires
Protection des données personnelles (RGPD)
Collecte déloyale par un enquêteur privé de données personnelles en libre accès sur internet
12 juil. 2024