Le règlement n°2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (ci-après « RGPD ») est désormais entré en application depuis plus d’un an. A l’heure de ce premier bilan, il nous a semblé opportun de revenir sur les aspects de cette règlementation visant à garantir aux personnes concernées, c’est-à-dire les personnes dont les données sont collectées et traitées, des droits sur leurs données et sur les moyens devant être déployés par les entreprises pour respecter ces droits.
En effet, ainsi que nous le rappelions dans notre guide pratique « Le RGPD en 10 leçons », lorsqu’un organisme met en œuvre un traitement de données à caractère personnel, il se doit de déployer les process appropriés pour respecter les droits des personnes concernées. Et vous, êtes-vous préparé à répondre aux demandes d’exercice de leurs droits par les personnes concernées et à déployer les actions nécessaires pour tenir compte des conséquences pouvant résulter d’une telle demande ?
*
* *
Un renforcement des droits des personnes concernées
Pour mémoire, les personnes concernées par un traitement de données à caractère personnel disposent d’un certain nombre de droits sur leurs données. Si ces droits ne sont pas pour la plupart une « nouveauté » issue du RGPD, cette règlementation vient toutefois les renforcer et ainsi leur donner une nouvelle dimension.
Ces droits se manifestent en deux temps :
– en amont de la mise en œuvre d’un traitement de données à caractère personnel, les personnes concernées doivent être informées du traitement qui sera fait de leurs données. Les modalités et le contenu de cette information, détaillés par les dispositions du RGPD, diffèrent selon que la collecte des données est effectuée directement auprès de la personne concernée ou de manière indirecte, par l’intermédiaire d’un tiers. Ce droit à être informé est un droit fondamental car l’information des personnes concernées a vocation à porter à leur connaissance des informations essentielles concernant le traitement de leurs données, et à leur expliquer quels sont leurs droits sur leurs données. Il est donc nécessaire pour les organismes traitant des données à caractère personnel de s’assurer qu’une telle information est bien délivrée aux personnes concernées, pour l’ensemble des traitements mis en œuvre ;
– une fois le traitement mis en œuvre, la personne concernée dispose de nombreux autres droits lui permettant de conserver une certaine maîtrise, un certain contrôle sur ses données, à savoir :
-
- le droit d’accès à ses données ;
- le droit de rectification de ses données ;
- le droit à l’effacement de ses données ;
- le droit à la limitation du traitement de ses données ;
- le droit à la portabilité de ses données ;
- le droit d’opposition au traitement de ses données ;
- le droit de faire valoir des directives post-mortem s’agissant du sort de ses données ;
- le droit d’intenter un recours devant une autorité de contrôle.
L’existence de ces droits des personnes concernées implique que ces dernières sont susceptibles de formuler des demandes en ce sens afin de les exercer et suppose que le responsable de traitement ait anticipé les réponses à y apporter ainsi que les actions à déployer afin que ces demandes soient suivies d’effets.
Et ce d’autant que les personnes concernées sont désormais fortement sensibilisées et prennent conscience des droits qu’elles détiennent sur leurs données…
Une sensibilisation accrue des personnes concernées
En effet, l’entrée en application du RGPD a, pour diverses raisons, induit une sensibilisation accrue des personnes concernées s’agissant de la règlementation en matière de protection des données à caractère personnel. En effet, le principe d’accountability (ou « auto-responsabilisation ») des organismes traitant des données à caractère personnel, couplé à l’augmentation des sanctions encourues en cas de non-respect des dispositions applicables en ce domaine, a conduit les responsables de traitements à sensibiliser leurs personnels et les médias à communiquer sur le sujet, tous azimuts !
Or, formant les salariés et plus généralement en diffusant de l’information au public, ce sont les personnes concernées que l’on informe, forme et sensibilise…
Depuis l’entrée en vigueur du RGPD, la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») se fait également fort de sensibiliser et d’accompagner tous les acteurs du traitement des données à caractère personnel s’agissant de l’application de la réglementation en matière de protection des données. Et la thématique des droits des personnes est au centre de ses préoccupations, comme tel a été opportunément rappelé lors de l’émission “50 nuances du net” sur la radio RCJ dédiée au thème “Vos données personnelles : vous avez des droits!” du 31 mars 2019.
Ainsi, la Cnil rappelle régulièrement aux responsables de traitements leurs obligations afin de respecter les droits des personnes concernées (voir par exemple la communication de la Cnil détaillant de manière pratique aux entreprises comment répondre à une demande de droit d’accès).
Mais surtout, elle met à disposition des personnes concernées un certain nombre de ressources en vue de l’exercice effectif de leurs droits. La Cnil propose notamment sur son site un guide à l’attention de personnes concernées visant à informer ces dernières de leurs droits en matière de protection des données à caractère personnel et des moyens de les exercer. Elle propose en outre des modèles de courrier à l’attention des personnes concernées pour exercer leurs droits ou encore leur donne les clés pour retrouver les coordonnées d’un organisme aux fins d’exercice de leurs droits. La liste des entités ayant désigné un DPO, ainsi que les coordonnées de ces derniers, sont même diffusées depuis tout récemment en « open data »[1]. Et dernièrement, la Cnil s’est focalisée sur les droits des salariés et a publié un guide sur le droit d’accès par les salariés à leur dossier professionnel.
Il résulte de ce qui précède que les personnes concernées sont naturellement plus averties s’agissant de l’existence de leurs droits en matière de protection de leurs données à caractère personnel et de la manière de les exercer.
Une prise de conscience de l’existence de ces droits
Si les enjeux relatifs à la protection des données sont devenus une préoccupation importante pour les professionnels (responsables de traitements), tel est donc également le cas pour les particuliers (personnes concernées).
Cela se traduit notamment, en matière de droit des personnes concernées, par une hausse de 32,5% du nombre de plaintes en 2018 par rapport à 2017 avec 11 077 plaintes enregistrées sur l’année, mais aussi par une augmentation de 15% des demandes d’aide sur la plateforme dédiée de la Cnil “Besoin d’aide” destinée tant aux entreprises qu’aux particuliers, avec un enregistrement de 16 877 demandes en 2018[2].
Madame Marie-Laure Denis, Présidente de la Cnil, rappelle d’ailleurs que : ” le RGPD a eu un impact direct sur les Français. Depuis son entrée en application, nous constatons une plus forte appétence de nos concitoyens sur la thématique de la protection des données personnelles. Le nombre de plaintes auprès de la CNIL a augmenté d’un tiers en un an, tout comme le nombre de visiteurs sur le site qui a explosé (8 millions de visiteurs soit une augmentation de plus de 80 %), et le nombre de consultations des FAQ (Foire aux questions), en hausse de 60 %.”[3]
Face à ces demandes croissantes, les entreprises responsables de traitements ne savent pas toujours comment réagir et quelles mesures concrètes elles doivent mettre en place pour (i) répondre aux demandes reçues des personnes concernées et (ii) définir et implémenter les actions visant à tenir compte des conséquences de ces demandes, et ce d’autant que la démarche à déployer à cette fin peut présenter une certaine complexité lorsqu’elle n’a pas été anticipée.
Un risque d’instrumentalisation des droits des personnes concernées
Enfin, outre la multiplication des demandes visant à l’exercice de leurs droits par les personnes concernées, il apparaît que les entreprises doivent désormais faire face à des pratiques parfois à la limite de la malveillance (de type « fausse » demande d’accès ou d’effacement de ses données par exemple), mais surtout à une instrumentalisation des demandes des personnes concernées !
A titre d’exemple, les compagnies aériennes font notamment les frais de cette instrumentalisation. Le « système API-PNR France » adopté en application de la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019, est un fichier qui collecte et conserve les données de réservation (données PNR), d’enregistrement et d’embarquement (données API) des passagers des compagnies aériennes. La Cour de cassation ayant décidé, dans un arrêt du 14 février 2018, que les passagers des compagnies aériennes devaient apporter la preuve de leur présence à l’embarquement pour solliciter le remboursement en cas de retard ou annulation d’un vol par exemple, plusieurs demandes d’exercice de leur droit d’accès aux données API ont été déposées par ces derniers dans le but unique d’obtenir la preuve leur permettant de prétendre à un remboursement.
Pour un autre exemple, il est devenu fréquent que des salariés cherchent à exercer leur droit d’accès pour obtenir des preuves dans le cadre d’un précontentieux ou d’un contentieux les opposant à leur employeur…
L’on assiste ainsi, par l’intermédiaire des droits octroyés aux personnes concernées notamment, à un véritable ruissellement du droit de la protection des données à caractère personnel sur les autres droits…
*
* *
Face à des demandes ayant vocation à être de plus en plus nombreuses et aux risques associés tels que précités, les entreprises doivent mettre en place un process et un plan d’actions dédiés pour être et rester en conformité avec les dispositions du RGPD, et notamment pour savoir réagir en cas de demande par une personne concernée d’exercice de ses droits.
Il est donc indispensable pour les responsables de traitements d’anticiper une telle réaction, et de déployer une procédure et un plan d’actions spécifiques en matière de droits des personnes concernées, comme suit :
Action 1 :
Définir et formaliser une procédure interne de gestion et de traitement des demandes d’exercice de leurs droits par les personnes concernées.
Notamment, définir le service / la cellule / les personnes dédié(es) en charge de centraliser les demandes, de les traiter, d’y répondre, d’effectuer les actions nécessaires, de superviser le processus de traitement et de réponse,…
Action 2 :
Savoir identifier les demandes reçues des personnes concernées et leur objet précis.
Sensibiliser le personnel sur la nécessité de remonter les demandes reçues en ce sens à la personne en charge d’y répondre (ou a minima en charge de centraliser les demandes et de superviser leur traitement).
Action 3 :
Définir les modalités de traitement des demandes en fonction du droit invoqué et les réponses à y apporter.
Notamment :
– s’assurer de l’identité du demandeur
– vérifier le bien-fondé de la demande (au regard des critères et conditions posés par les textes pour l’exercice de chacun des droits)
– définir le contenu de la réponse à apporter (complétude de la réponse, respect des droits des tiers, …)
– appréhender les conséquences et les actions à mettre en place
Action 4 :
Vérifier les mentions d’information portées à l’attention des personnes concernées.
Outre le fait que les mentions d’information doivent être complètes au sens des dispositions applicables, il convient de s’assurer de leur cohérence s’agissant des droits des personnes concernées (cf. notamment référence au “bon” service ou aux “bonnes” personnes en charge des droits et coordonnées valables pour exercer ses droits).
Action 5 :
Mettre en place une bibliothèque de courriers types pour chaque droit.
Afin de respecter le délai d’un mois imposé au responsable de traitement pour la réponse aux demandes d’exercice de leurs droits par les personnes concernées, il est conseillé de rédiger des modèles de réponse adaptés à chaque droit. Ces modèles doivent servir de base à adapter ensuite pour chaque destinataire en fonction de la situation spécifique.
Action 6 :
Implémenter les outils nécessaires permettant de répondre aux demandes d’exercice de leurs droits par les personnes concernées et déployer les actions appropriées pour tenir compte des conséquences pouvant en résulter (ex : fonctionnalités d’extraction, notamment pour répondre aux demandes d’accès ou de portabilité).
Si possible, déployer des outils :
– permettant aux personnes concernées d’exercer elles-mêmes, de manière autonome, certains de leurs droits ;
– permettant d’automatiser les réponses / actions à déployer (ex : requêteur et formatage / paramétrage / configuration des résultats).
Télécharger le livre blanc : « Le RGPD en 10 leçons, l’essentiel du RGPD dans un guide pratique ».
Sur le même thème, retrouvez toutes les focus sectoriels et/ou métiers : Le RGPD en focus
[1] https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/ et https://www.cnil.fr/fr/recherche-dpo-delegues-protection-donnees
[2] Rapport d’activité 2018 de la Cnil, disponible en suivant ce lien : https://www.cnil.fr/sites/default/files/atoms/files/cnil-39e_rapport_annuel_2018.pdf
[3] La Semaine Juridique Edition Générale n° 23, 10 Juin 2019, 590 – Entretien avec Marie-Laure Denis, présidente de la Cnil
Par AGIL’IT – Pôle IT, Télécoms & Data protection
Laure LANDES-GRONOWSKI, Avocate associée