Droits des personnes : quelles obligations en entreprise ?
Sommaire
Droits des personnes : quelles sont les obligations pour les entreprises ? Les individus dont les données sont récoltées et traitées par des compagnies disposent d’un ensemble de droits spécifiques qu’ils peuvent exercer à n’importe quel moment, dès lors que la situation l’autorise.
Droits des personnes : le devoir d’information
Les entreprises collectant et traitant des données personnelles ont pour obligation d’en informer leurs possesseurs, qu’ils soient clients ou collaborateurs. L’information doit être précise, claire et être délivrée avant le recueil des données.
Elle doit notamment porter à la connaissance des individus concernés :
- Leurs droits d’accès, de rectification ou d’opposition.
- L’objectif poursuivi par cette collecte.
- L’identité de la personne en charge du fichier des données.
- Les destinataires de ces informations ainsi que, le cas échéant, les transferts de ces données vers des pays extérieurs à l’Union européenne.
Pour communiquer au mieux ces éléments, les compagnies peuvent utiliser différents supports selon les méthodes de récolte des données. Par exemple, une mention sur un formulaire en cas de recueil par voie numérique ou un écriteau dans un bâtiment en cas de vidéosurveillance.
Droits des personnes et consentement
Après avoir préalablement informé les personnes, l’entreprise doit aussi obtenir leur consentement libre et éclairé avant de récolter leurs données. Le consentement correspond ici à l’accord explicite de l’individu concerné, délivré préférablement par écrit. Il doit se matérialiser par une action réalisée par la personne concernée. Par exemple, dans le cadre d’un formulaire en ligne, une case à cocher pour donner son consentement fonctionne. Par contre, il ne faut pas qu’elle soit déjà cochée par défaut.
Plus spécifiquement, le consentement doit notamment être obtenu dans le cas :
- D’une récolte d’informations considérées comme étant sensibles.
- D’usage de cookies.
- D’usage des informations récoltées en vue d’une prospection commerciale digitale.
- De réutilisation des données pour d’autres finalités que celle préalablement visée.
Le droit d’accès à ses données personnelles et le droit de rectification
Toute compagnie traitant des données personnelles de tiers doit respecter le droit d’accès des personnes à leurs informations. En effet, chaque individu, dès lors qu’il est concerné, peut faire une telle demande à une entreprise, par écrit ou bien en se rendant directement sur place. Pourront ainsi être réclamées :
- Les durées de conservation des données.
- La provenance des données (si elles ne sont pas directement récoltées auprès de la personne, mais fournies par un autre organisme, par exemple).
- Les garanties prises par l’entreprise dans le cadre d’un éventuel transfert des informations à l’extérieur de l’Union européenne.
- Les données de profilage, le cas échéant.
La compagnie en possession desdites informations aura alors l’obligation de transmettre, dans un délai d’un mois, une copie de l’ensemble des données qu’elle possède à son sujet. Seule exception à la règle : lorsque les demandes sont abusives (répétitives, trop nombreuses ou systématiques). Il faut savoir que l’entreprise peut facturer l’opération, mais que le montant ne peut excéder le coût de reproduction.
Attention : les compagnies ne peuvent délivrer de copies qu’aux personnes qu’elles concernent. Ainsi, un salarié ne peut faire une telle requête au sujet de l’un de ses collègues.
Enfin, les personnes dont les informations sont manipulées disposent d’un droit de rectification dès lors que les données détenues les concernant sont incomplètes ou fausses. La compagnie aura alors, ici aussi, un mois pour les mettre à jour, sauf exception lors de requêtes abusives.
Le droit d’opposition aux données
En France, la législation prévoit que tout individu puisse s’opposer au traitement de ses données personnelles collectées. Les entreprises doivent alors appliquer ce droit d’opposition et arrêter d’utiliser ces informations.
Toutefois, ce droit peut être outrepassé dans certaines situations. Ainsi, il ne peut s’exercer dans le cadre de raisons sérieuses et légitimes dépassant les droits et libertés individuelles. C’est aussi le cas lorsque l’usage des informations est nécessaire au niveau légal ou juridique.
La Commission nationale de l’informatique et des libertés (CNIL) recommande aux entreprises (et autres organismes concernés) de mettre en place un système de case à cocher pour permettre aux personnes d’exercer leur droit en amont. Un libellé indiquant de cocher la case en cas de refus de recevoir des courriels peut par exemple y apparaître.
Droit des personnes : l’effacement des données
Le RGPD stipule que les données à caractère personnel ne peuvent être conservées que sur une durée limitée. Celle-ci ne peut en outre pas excéder le temps nécessaire à la réalisation des objectifs pour lesquels elles ont été récoltées. Si ce droit à l’effacement (ou droit à l’oubli) existait déjà auparavant, le règlement européen vient le renforcer en prévoyant l’interdiction de conserver ce type d’information de façon indéfinie.
Tout individu peut donc demander l’effacement de ses données, dans les meilleurs délais, dès lors :
- Qu’elles ne sont plus nécessaires au regard de leur objectif.
- Qu’elles sont traitées de manière illégale.
- Que la personne annule son consentement.
La portabilité des données à caractère personnel
L’article 20 du RGPD stipule que les individus ont le droit d’obtenir et de réutiliser leurs données à caractère personnel pour les transférer à un autre organisme ou entreprise. C’est, parmi les droits des personnes, ce que l’on appelle le droit à la portabilité.
Par exemple, dans le cadre d’une compagnie d’électricité, tout client est en droit de demander à récupérer ses informations pour les transmettre à son futur fournisseur d’énergie.
Plus concrètement, ce droit assure aux personnes qui l’exercent de :
- Récupérer leurs informations personnelles sous une forme électronique et lisible, directement exploitable par un autre organisme.
- Faire transmettre lesdites données à un autre responsable de traitement lorsque c’est possible.
Le droit au refus du profilage
Le profilage est une technique qui consiste à recouper les différentes informations concernant un individu afin de l’assigner à un profil type de prospect ou de client. C’est une méthode largement exploitée par les entreprises à des fins marketing et publicitaires. Elle leur permet par exemple de déterminer, en amont, l’intérêt d’une personne pour un produit.
Or, le droit au refus du profilage est explicitement instauré par le RGPD. Toutefois, l’organisme traitant ces informations est en droit de s’opposer à la demande dans trois situations bien précises :
- Si le profilage est indispensable à l’exécution d’un contrat entre l’individu et l’entreprise.
- Lorsque la personne a explicitement donné son consentement pour le profilage. Attention toutefois, elle est en droit de le retirer.
- Si le profilage est autorisé par l’UE ou un État membre.
Droits des personnes et limitation du traitement des données
Autre droit des personnes instauré par le RGPD : la limitation du traitement des données.
Celui-ci consiste en la possibilité, pour un individu, de demander à ce qu’une entreprise cesse, temporairement, d’utiliser ses données personnelles. Dès lors, bien que la compagnie puisse garder ces informations, elle ne pourra plus les utiliser pendant une période déterminée.
Plus spécifiquement, il existe quatre cas pour lesquels un individu peut faire valoir ce droit :
- S’il conteste l’exactitude des données en la possession de la compagnie. L’entreprise devra alors geler le traitement de celles-ci jusqu’à ce qu’elles soient rectifiées.
- Dans le cas où la personne exerce son droit d’opposition.
- Si elle considère que la compagnie effectue des traitements illégaux sur ses données.
- Si lesdites informations ne sont plus nécessaires à l’objectif pour lequel elles avaient été recueillies.
Guides par thématiques
Choisissez la catégorie de la définition à consulter.
- Assemblée générale (7)
- Auto-entrepreneur (16)
- Brevet (18)
- Business plan (6)
- Création d'entreprise (36)
- Cycle de vie de l'entreprise (6)
- Financement (7)
- Fiscalité (15)
- Formalités et démarches d'entreprise (11)
- Franchise (8)
- Gestion comptable et financière (16)
- Marque (8)
- Obligations légales des entreprises (6)
- Obligations sociales du dirigeant (12)
- Publication des comptes annuels (8)
- RGPD (7)