RGPD : les droits des personnes concernées expliqués simplement

Le RGPD a considérablement renforcé les droits des personnes sur leurs données personnelles. Ces droits, prévus aux articles 12 à 23 du règlement, imposent aux organisations de mettre en place des procédures claires et efficaces pour répondre aux demandes dans les délais légaux.

1. Droit d'accès (Article 15)

Toute personne a le droit d'obtenir la confirmation que ses données sont ou ne sont pas traitées, et le cas échéant, l'accès à ces données ainsi qu'a plusieurs informations : finalités, catégories de données, destinataires, durée de conservation, existence de droits, source des données si collecte indirecte, existence d'une prise de décision automatisée.

2. Droit de rectification (Article 16)

La personne peut exiger la correction de données inexactes ou le complement de données incompletes. Vous devez également informer les tiers à qui les données ont été communiquées de cette rectification.

3. Droit à l'effacement - "Droit à l'oubli" (Article 17)

La personne peut demander l'effacement de ses données dans plusieurs cas : les données ne sont plus nécessaires, le consentement est retiré, la personne s'oppose au traitement, le traitement est illicite, ou une obligation légale l'exige. Attention : ce droit n'est pas absolu et comporte des exceptions (obligation légale, intérêt public, exercice de droits en justice...).

4. Droit à la limitation du traitement (Article 18)

La personne peut demander le "gel" temporaire de l'utilisation de ses données pendant la vérification de leur exactitude, en cas de traitement illicite, lorsque le responsable n'en a plus besoin mais que la personne en a besoin pour un litige, ou en attendant la vérification d'une opposition.

5. Droit à la portabilité (Article 20)

La personne peut récupérer les données qu'elle a fournies dans un format structure, couramment utilise et lisible par machine. Elle peut également demander le transfert direct de ces données à un autre responsable de traitement. Ce droit ne s'applique qu'aux traitements fondés sur le consentement ou un contrat et effectués à l'aide de procédés automatisés.

6. Droit d'opposition (Article 21)

La personne peut s'opposer à tout moment au traitement de ses données pour des raisons tenant à sa situation particulière. Le droit d'opposition est absolu (sans justification) en matière de prospection commerciale, y compris le profilage lié à cette prospection.

7. Droit relatif aux décisions automatisées (Article 22)

La personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l'affectant de manière significative. Des exceptions existent pour les décisions nécessaires à un contrat, autorisées par la loi ou fondées sur le consentement explicite.

8. Droit à l'information (Articles 13 et 14)

Avant même toute demande, les personnes doivent être informees de manière claire, concise et accessible de l'ensemble des traitements les concernant : identité du responsable, finalités, base légale, destinataires, durée de conservation, droits, transferts hors UE, etc.

Comment mettre en place un processus efficace de gestion des demandes (DSR)

• Désignez un référent charge de centraliser et traiter les demandes
• Mettez en place un formulaire dédié ou une adresse email spécifique (ex: dpo@votre-entreprise.fr)
• Vérifiez l'identité du demandeur avant de répondre (pour éviter les fraudes)
• Tenez un registre de toutes les demandes reçues et des réponses apportées
• Formez vos équipes a reconnaître et transmettre les demandes
• Automatisez le suivi des délais avec des alertes (1 mois = vite dépassé !)
• Documentez les refus avec leur justification légale