Dans le cadre du GDPR, de nouveaux droits apparaissent, dont le droit à la portabilité des données. En synthèse, les droits sont :
- (droit d’accès) le droit d’obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées. Si elles le sont, alors la personne a le droit d’avoir toutes les informations ci-avant visées (que nous avons appelées « notice données personnelles »). Le responsable du traitement fournit une copie (format ouvert) des données faisant l’objet d’un traitement ;
- (droit de rectification) le droit de rectifier les données la concernant qui sont inexactes ;
- (« droit à l’oubli ») le droit à l’effacement de données la concernant. Le responsable du traitement a l’obligation d’effacer ces données si:
- les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière; ou
- la personne concernée retire son consentement et s’il n’existe pas d’autre fondement juridique au traitement; ou
- la personne concernée s’oppose à un traitement de décision individuelle (droit d’opposition); ou
- les données à caractère personnel ont fait l’objet d’un traitement illicite; ou
- en cas de respect d’une obligation légale.
Lorsqu’il a rendu publique les données, le responsable du traitement doit informer les autres responsables du traitement qui traitent ces données que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.
- (droit à la limitation du traitement) le droit d’obtenir du responsable du traitement la limitation du traitement en cas :
- d’inexactitude des données, au moins le temps que le responsable du traitement vérifie l’exactitude des données; ou
- d’opposition au traitement, au moins le temps que le responsable du traitement vérifie si les motifs légitimes poursuivis par lui-même prévalent sur ceux de la personne concernée; ou
- d’illicéité du traitement; ou
- de nécessité pour la personne concernée des données pour la constatation, l’exercice ou la défense de droits en justice alors que le responsable du traitement n’en a plus besoin.
- (droit à la portabilité des données) le droit de recevoir, dans un format structuré et ouvert, les données la concernant et qu’elles ont fournies à un responsable de traitement. Ce droit va même jusqu’à la transférabilité puisqu’une personne a le droit de demander au responsable de transmettre ces données à un autre responsable du traitement pour les traitements fondés sur le consentement ou sur l’exécution d’un contrat. L’opinion de l’EDPB du 13 décembre 2016, révisée le 5 avril 2017, a précisé la portée de cette obligation. L’EDPB a notamment indiqué que :
- il existe, dans le cadre du droit à la portabilité, un principe juridique général selon lequel le responsable du traitement n’est qu’un mandataire de la personne concernée (avec toutes les conséquences que cela implique juridiquement comme, par exemple, le fait que le droit de la consommation n’est alors pas applicable) ;
- le responsable du traitement doit répondre à la demande d’exercice du droit à la portabilité dans un délai d’un mois à compter de la demande ;
- la personne concernée peut demander à un responsable du traitement de transférer ses données personnelles directement à un autre responsable du traitement, et le premier responsable de traitement ne peut y faire obstacle (transférabilité) ;
- la portabilité ne peut s’exercer que lorsque la personne concernée le demande expressément et/ou sur une base contractuelle (fondement juridique) ;
- il apparaît que ce droit concerne toutes les données personnelles fournies par la personne concernée soient concernées, qu’elles soient fournies par la personne activement et sciemment ou encore indirectement, à partir de l’observation de son utilisation d’un service ou d’un dispositif (ce qui inclut alors l’historique de navigation ou encore les données de géolocalisation). En revanche, ne peuvent être obtenues dans un format ouvert et interopérable ou transférées à un autre responsable de traitement les données générées, déduites ou dérivées par le responsable de traitement ou les données.
- la communication des données doit être sécurisée (elle peut par exemple s’effectuer au moyen de messages sécurisés, d’un serveur SFTP, d’une interface de programme d’application web ou d’un portail web sécurisés).
- (droit d’opposition) le droit de s’opposer, pour des raisons tenant à sa situation particulière, à un traitement nécessaire à l’exécution d’une mission d’intérêt public, relevant de l’exercice de l’autorité publique ou nécessaire aux fins des intérêts légitimes. Ce droit existe évidemment en cas de prospection commerciale ;
- (droit à l’intervention humaine) le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage. Toutefois, ce droit est limité puisqu’il n’est pas possible, a priori, de réclamer une intervention humaine lorsque la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ; ou est autorisée par le droit national ou a été explicitement et préalablement autorisée de la personne concernée. Exception à l’exception puisque la personne peut, malgré tout, obtenir une intervention humaine de la part du responsable du traitement, exprimer son point de vue et contester in fine la décision.
Ces droits et obligations sont encadrés par une responsabilité stricte des responsables de traitement qui auront à mettre en place des procédures internes importantes pour être conformes au GDPR. Cette transformation sera importante, pour tous les acteurs traitant des données personnelles, car les sanctions seront lourdes, allant jusqu’à 4% du CA mondial.