Maîtriser ses données ? Connaître et exercer ses droits !

Lun 4.07.2022 - 13:19

Nos données sont quotidiennement collectées : trajets et derniers lieux fréquentés sur Google Maps, sites internet consultés, préférences alimentaires au supermarché, etc. Comment garder la maîtrise de nos données et sur base de quels droits exactement ?

Les droits en tant que personne « concernée »

Un article précédent a décrit les différents acteurs de la protection de données et plus précisément les notions de personne concernée, de responsable/sous-traitant de traitement et d’autorité de contrôle. Nous sommes, au sens de la loi, une « personne concernée » lorsque que nos données font l’objet d’un traitement telles que la collecte de nos coordonnées pour notre abonnement de train ou l’enregistrement de nos coordonnées bancaires lors de nos achats en ligne. L’acquisition de cette qualité nous octroie différents droits et la possibilité de les exercer auprès du responsable du traitement qui utilise nos données personnelles. Nous pouvons également exercer un recours auprès de l’autorité de contrôle compétente.

Le droit à l’information

Chacun a le droit de connaître la raison pour laquelle ses données sont collectées, comment elles sont traitées ou combien de temps elles sont conservées. Concrètement, l’organisme ou l’autorité qui traite nos données doit nous proposer une notice d’information, facilement accessible, par exemple sur sa page d’accueil, reprenant de manière concise, claire et précise notamment :

l’utilisation qui sera faite de nos données ;
les tiers qui auront accès aux données ;
la durée de conservation de nos données ;
les modalités d’accès à nos droits et la possibilité d’introduire une réclamation auprès de l’autorité de contrôle ;
l’utilisation de nos données hors de l’UE ;
la base juridique du traitement de données, c’est-à-dire ce qui autorise légalement le traitement : notre consentement, le respect d’une obligation prévue par un texte, etc.
les coordonnées du délégué à la protection des données de l’organisme, ou d’un point de contact sur les questions liées à la protection des données personnelles

Généralement, les notices d’informations prennent la forme d’une « politique de confidentialité », d’une « politique vie privée » ou encore de « mentions légales ».

Le droit au transfert

Nous avons un droit à la portabilité de nos données. Si j’envisage par exemple de changer de marque de montre connectée et souhaite obtenir une copie de mes données enregistrées pour les réutiliser dans la nouvelle application, je peux les réclamer à l’organisme responsable concerné.

Le droit d’accès direct et le droit à la rectification

Si je veux vérifier les données à caractère personnel me concernant détenues par un réseau social comme Facebook ou les données contenues dans mon dossier médical, j’ai le droit d’accéder à ces données, d’en obtenir une copie afin de vérifier leur exactitude et de réclamer leur rectification en cas d’inexactitude ou incomplétude.

Une exception existe concernant les données détenues par les services de police et de renseignement. Vous n’avez pas un droit d’accès direct à vos données mais un droit d’accès indirect via l’autorité de contrôle compétente, soit l’Organe de contrôle de l’information policière, soit le Comité R ou le Comité P (voir infra). Ces organes pourront exiger l’adaptation ou la suppression des données enregistrées si l’enregistrement n’est pas conforme aux dispositions légales. Néanmoins, ils pourront uniquement vous communiquer qu’il a été procédé aux vérifications nécessaires car ils ne sont pas autorisés à vous informer précisément du résultat.

Le droit d’opposition

J’ai bien entendu le droit de ne plus recevoir la newsletter d’un magazine sur ma boîte mail personnelle ou des appels publicitaires, donc de m’opposer à l’utilisation de mos données par ces organismes.

Le droit à l’effacement

Nous pouvons demander au responsable du traitement qu’il efface dans les meilleurs délais nos données à caractère personnel dans le cas où

nos données sont utilisées à des fins de prospection ;
nos données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
nous retirons notre consentement à l’utilisation de nos données ou que celles-ci ont été obtenues sans notre consentement ;
nos données font l’objet d’un traitement illicite (par exemple, publication de données piratées) ;
nos données doivent être effacées pour respecter une obligation légale ;
nous nous sommes opposés au traitement de nos données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.

Il faudra dans ce cas préciser les données que nous souhaitons voir effacées car l’exercice du droit à l’effacement desdites données n’entraine pas la suppression de toutes les données nous concernant. Par exemple, la suppression d’une publication Facebook nous concernant n’entrainera pas la suppression de notre compte.

Le droit à la limitation du traitement

Je peux m’opposer à la publication d’une photo qui a été postée sur un réseau social parce que j’estime que l’on peut me reconnaître et demander sa suppression. Je peux également contester l’exactitude d’une information et exercez mon droit à la rectification.

Je peux exercer parallèlement mon droit à la limitation du traitement de mes données. En conséquence, le réseau sera tenu de dépublier la photo en question ou ne pourra plus utiliser mes données le temps d’examiner ou de vérifier ma demande. En d’autres termes, l’utilisation des données contestées sera gelée.

Que faire en cas de refus ou de réponse insuffisante ?

Si je constate que mes droits ne sont pas respectés (absence de réponse ou insuffisance), je peux adresser une plainte auprès de l’autorité de contrôle compétente.

Pour rappel en Belgique, il existe quatre autorités de contrôle dont la compétence dépend de la qualité du responsable du traitement de vos données :

l’Organe de contrôle de l’information policière s’il s’agit de données traitées par les services de police dans leurs banques de données ;

le Comité R ou le Comité P si les données sont traitées par la Sûreté de l'État, le Service Général du Renseignement et de la Sécurité et l'Organe de coordination pour l'analyse de la menace ;

l'Autorité de protection des données si une autre autorité est responsable du traitement des données en question.

Néanmoins, grâce à un protocole de coopération entre les quatre autorités fédérales belges de la protection des données entré en vigueur le 24 novembre 2020, le citoyen ne doit pas s’inquiéter s’il n’a pas saisi l’autorité appropriée pour sa requête. Son dossier parviendra toujours à l’autorité compétente.

Maude BIETTLOT

Juriste-criminologue

Avec la collaboration de Philippe Baeten, juriste, expert en RGPD

Pour en savoir plus (notamment sur les modèles de lettre et les exceptions) :

https://www.autoriteprotectiondonnees.be/citoyen/vie-privee/quels-sont-mes-droits-

https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles

®SECUNEWS

Étiquettes

Actualités

Attention

Maîtriser ses données ? Connaître et exercer ses droits !

Les droits en tant que personne « concernée »

Que faire en cas de refus ou de réponse insuffisante ?

Étiquettes

Elections : puis-je refuser d’être assesseur ?

Moniteur de sécurité

Ce site web utilise des cookies

Attention

Tu es là:

Maîtriser ses données ? Connaître et exercer ses droits !

Les droits en tant que personne « concernée »

Que faire en cas de refus ou de réponse insuffisante ?

Étiquettes

Elections : puis-je refuser d’être assesseur ?

Moniteur de sécurité