En 2018, la CNIL a enregistré 11 077 plaintes, soit une augmentation de plus de 30% par rapport à l’année précédente ; 73% d’entre elles concernaient le non-respect de l’exercice des droits des personnes dont les données personnelles sont traitées.

 

Suite à ce constat, la CNIL a décidé de renforcer ses contrôles en la matière cette année, afin de garantir le respect de ces droits et notamment leur mise en œuvre dans le délai prévu par le RGPD. Les responsables de traitement devront donc être particulièrement vigilants sur ce point, sous peine d’être condamnés à des atteintes à leur image en cas de mise en demeure pouvant être rendue publique ou des sanctions pécuniaires par l’autorité de contrôle.

 

  1. Le renforcement par le RGPD des droits au profit des personnes concernées

 

Le RGPD liste les « droits de la personne concernée »  :

  • droit à l’information ;
  • droit d’accès ;
  • droit de rectification et d’effacement (autrement dit « droit à l’oubli ») ;
  • droit à la limitation du traitement ;
  • droit à la portabilité des données ;
  • droit d’opposition et de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé ; et
  • droit d’introduire un recours auprès de l’autorité de contrôle compétente.

 

Certains droits existaient déjà en droit français sous l’empire de la loi Informatique et Libertés ; d’autres ont été nouvellement créés, comme le droit à la portabilité.

 

Par ailleurs, la loi pour une République numérique du 7 octobre 2016 a introduit en France le droit de définir des directives quant à la conservation, l’effacement et la communication des données post-mortem ; il s’agit cependant d’une spécificité nationale, le considérant 27 du RGPD disposant que le règlement ne s’applique pas aux données des personnes décédées et que les États membres sont libres de prévoir leurs propres règles à ce sujet.

 

Le RGPD envisage quant à lui les modalités d’exercice de ces droits et précise notamment les délais impartis aux responsables de traitement pour donner suite aux demandes formulées par les personnes concernées, à savoir un mois à compter de leur réception avec une prolongation possible de deux mois « compte tenu de la complexité et du nombre de demandes ». Ainsi, il ne peut s’écouler plus de trois mois entre la demande d’exercice d’un droit et sa mise en œuvre par le responsable de traitement, sauf si celui-ci n’y accède pas et justifie auprès de la personne des motifs de son inaction.

 

Le responsable de traitement pourra également refuser de donner suite à une demande d’exercice de droit s’il peut établir le caractère infondé ou excessif de la demande, « notamment en raison de (son) caractère répétitif ».

 

  1. La mise en œuvre effective de ces droits

 

L’augmentation des plaintes adressées à la CNIL à ce sujet traduit non seulement une prise de conscience massive des individus quant au traitement de leurs données personnelles et une plus grande réactivité de leur part, mais également des difficultés récurrentes s’agissant de l’exercice effectif des droits.

 

Outre-Manche, le constat est similaire. Dans son rapport annuel 2017-2018, l’ICO (Information Commissioner’s Office), équivalent britannique de la CNIL, a fait état d’une augmentation de 23% du nombre de plaintes reçues par rapport à l’exercice précédent. Parmi elles, 39% portaient sur le droit d’accès aux données prévu à l’article 15 du RGPD. Les difficultés rencontrées en France à ce sujet font donc écho à celles identiques constatées dans d’autres États membres.

 

 

2.1 L’utiité d’une politique interne d’exercice des droits

 

Une des barrières à un exercice des droits effectif et dans le délai prévu par le RGPD est l’absence d’élaboration par le responsable de traitement d’une politique interne à cet effet, à savoir une procédure écrite détaillant les différentes étapes à suivre à compter de la réception de la requête d’un individu. Au sein d’une entreprise aux effectifs importants, la mise en œuvre d’une telle demande nécessite l’implication de différentes ressources humaines et de divers outils notamment informatiques. Sans politique claire et préétablie en ce sens, le risque pour le responsable de traitement est de ne pas savoir qui mobiliser en temps voulu et, sinon de ne pas accéder à la requête, du moins d’y faire droit hors délai. Cela constituerait alors une violation du RGPD, laquelle est susceptible de faire peser sur le responsable de traitement le risque d’une amende administrative, de 4% de son chiffre d’affaires mondial ou 20 millions d’euros.

 

  • Les modalités d’exercice incertain de certains droits des personnes

 

Les contours de certains droits sont par ailleurs délicats à déterminer :

 

  • S’agissant du droit d’accès, des incertitudes demeurent quant à l’étendue de celui-ci et sa conciliation avec les droits de la défense ou la protection du secret des affaires. Le RGPD n’envisage pas de restriction dans la communication des données à l’intéressé(e). Néanmoins, par exemple dans le cas d’un contentieux employeur/salarié, ce dernier est-il fondé à se voir communiquer toutes les données le concernant, même celles devant être tues en application de la stratégie judiciaire de son adversaire ? L’employeur pourrait alors refuser d’accéder à la demande d’accès de son salarié, au risque d’un dépôt de plainte contre lui auprès de l’autorité compétente et d’un contrôle au périmètre parfois plus large que la seule question du droit d’accès.

 

Ce droit d’accès permet également aux personnes concernées de connaître, en cas de prise de décision automatisée, la logique sous-tendant le traitement et ses conséquences attendues. Les implications de ce droit sont donc très importantes s’agissant des algorithmes, dont l’impact dans notre quotidien est de plus en plus significatif ; sa mise en œuvre risque de se révéler complexe compte tenu du degré de technicité de certains traitements algorithmiques.

 

  • S’agissant du droit à l’effacement, celui-ci ne peut être dissocié de l’élaboration d’une politique de conservation et d’archivage des données par le responsable de traitement. Ce travail méticuleux doit prendre en compte la nature des données traitées, les finalités du traitement et les caractéristiques des outils informatiques utilisés ; cette politique peut être complexe à mettre en œuvre, en particulier en cas de système informatique vieillissant, car elle requièrerait d’importantes mesures techniques et organisationnelles.

 

  • S’agissant du droit d’opposition, toute personne peut l’invoquer à l’encontre d’un traitement de ses données fondé sur l’exécution d’une mission d’intérêt public ou sur l’intérêt légitime du responsable de traitement, pour des raisons tenant à sa situation particulière. Le 18 mars 2019, à l’issue d’une procédure de plusieurs années et s’agissant des contours de cette notion, le Conseil d’État a jugé que des considérations d’ordre général ne suffisaient pas à invoquer ce droit, lequel doit se fonder sur des motifs propres à la personne concernée (ou à ses enfants mineurs en l’espèce). La mise en œuvre du droit d’opposition apparaît donc source de difficultés, voire même de contentieux devant les juridictions administratives.

 

Nos analyses approfondies des décisions sur ces sujets permettront de déterminer avec plus de précision les modalités concrètes de mise en œuvre des droits des personnes, et ainsi de dissiper le flou qui entoure encore cet aspect majeur du RGPD.

 

Nous pouvons vous assister pour un exercice et une gestion efficace des droits des personnes.

Isabelle GAVANON

Avocate associée - Contrats informatiques
Isabelle Gavanon assiste et aide ses clients à gérer les risques juridiques associés aux projets de transition numérique grâce à des techniques contractuelles (implémentations et projets informatiques, de communications électroniques, internet ...) et à l’optimisation du statut de données, informations et créations (conformité RGPD, open data, preuve électronique, identité numérique, bases de données/droit d’auteur et contrefaçon, etc.). Une forte activité contentieuse complète cette pratique de conseil.

Voir toutes ces publications
Échanger en live Contacts