Qu'êtes-vous en droit de réclamer aux entreprises sur vos données personnelles ?

Le règlement général sur la protection des données (RGPD) est un ensemble de règles de protection des données à l’échelle de l’UE qui ont été introduites dans le droit français sous la forme de la loi de 2018 sur la protection des données. Nous vous expliquons ici certains des droits les plus importants dont vous disposez pour contrôler vos données, la manière dont ces droits de protection des données pourraient vous affecter et comment vous pouvez les utiliser.

Collecte de vos données personnelles

Lorsque vous achetez des biens et des services, ou parfois même simplement lorsque vous visitez un site web, les organisations avec lesquelles vous traitez peuvent recueillir et traiter des informations vous concernant. Il peut s’agir de votre nom, de votre adresse et de votre numéro de téléphone. Ce type de données, qui permet d’identifier une personne vivante, est appelé “données à caractère personnel”.

Les organisations peuvent même vous demander des données telles que:

  • Votre date de naissance,
  • L’école que vous avez fréquentée,
  • Le travail que vous faites,
  • Des détails sur votre partenaire ou votre famille,
  • Le genre de choses que vous consultez ou achetez en ligne.

Que cela vous plaise ou non, de nombreuses organisations, notamment les conseils municipaux, les hôpitaux, les agences de voyage, les banques et les supermarchés, détiennent des données vous concernant.

GDPR ajoute une nouvelle gamme d’identifiants personnels, reflétant les changements technologiques et la manière dont les entreprises recueillent les données aujourd’hui: Les identifiants en ligne, tels que votre adresse IP, sont désormais inclus dans la définition des données personnelles.

Trouvez vos données – droit d’accès

Le droit de faire une demande d’accès existait sous l’ancienne loi sur la protection des données de 1998. Une demande d’accès en tant que personne concernée vous permet d’exercer votre droit d’accès à vos données personnelles traitées par une entreprise. Auparavant, vous deviez payer une petite somme pour en faire une, mais en vertu de la loi de 2018 sur la protection des données, elle doit maintenant être gratuite dans la plupart des cas.

Vous pouvez faire une demande d’accès si vous pensez qu’une entreprise ne traite pas vos données légalement ou pour vérifier quelles informations elle possède sur vous afin de s’assurer qu’elles sont exactes et à jour ou pour demander des notes d’entretien d’embauche. Les entreprises doivent vous fournir ces informations sans délai et au plus tard dans le mois suivant la réception de votre demande.

Toutefois, les entreprises sont autorisées à prolonger ce délai de deux mois supplémentaires si la demande est complexe ou si vous avez fait de nombreuses demandes. Dans ce cas, l’entreprise doit vous informer dans un délai d’un mois à compter de la date à laquelle vous avez introduit la demande et vous expliquer pourquoi la prolongation est nécessaire.

Un mot d’avertissement

Si votre demande est infondée ou excessive, le responsable du traitement des données peut vous facturer des frais ou refuser de donner suite à la demande. Si vous pensez que la redevance est injuste ou que votre demande est refusée, vous pouvez vous plaindre auprès de l’OIC.

Lorsque votre consentement est nécessaire à la commercialisation

Dans le cadre de la GDPR, il vous appartient généralement de faire un choix positif en acceptant de poursuivre les communications de marketing direct par courrier électronique, par exemple en cochant une case ou en acceptant par téléphone.

Le retrait de votre consentement devrait être aussi facile que son octroi. Les entreprises devraient vous faciliter la tâche, par exemple en fournissant un lien de désabonnement au bas de leurs courriels de marketing. Si vous souhaitez que les entreprises cessent d’utiliser vos données, faites une demande de cessation du traitement de vos données à des fins de marketing direct.

  • Les entreprises doivent vous indiquer clairement comment vos données seront utilisées
  • Les entreprises doivent indiquer clairement ce qu’elles vont faire de vos données, en utilisant un langage simple et facile à comprendre.
  • L’objectif de la collecte de vos données personnelles (par exemple, à des fins de marketing) doit également vous être clairement indiqué au moment où vos données sont recueillies.

Vous pouvez demander que vos données soient effacées

Le GDPR vous donne le droit de faire effacer vos données personnelles. Le droit à l’effacement est également connu sous le nom de “droit à l’oubli“. Vous pouvez faire une demande d’effacement verbalement ou par écrit et l’entreprise dispose d’un mois pour répondre à une demande.

Voici quelques raisons pour lesquelles vous pouvez demander à une entreprise d’effacer vos données à caractère personnel :

  • Vous n’avez plus besoin de ce service (il ne devrait donc plus être nécessaire qu’il conserve vos données)
  • Vous vous opposez à ce que l’entreprise utilise vos données à des fins de marketing direct
  • L’entreprise traite vos données sans votre consentement

Il existe certaines exceptions où l’entreprise ou l’organisation peut refuser votre demande. Il s’agit notamment des cas suivants:

  • Le droit à la liberté d’expression et d’information
  • De se conformer à une obligation légale
  • pour l’exécution d’une mission d’intérêt public ou d’exercice de l’autorité publique
  • A des fins d’archivage dans l’intérêt public, de recherche scientifique, de recherche historique ou à des fins statistiques, lorsque l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation de ce traitement
  • Pour la constatation, l’exercice ou la défense d’un droit en justice

Vous pouvez vous opposer au profilage et à l’utilisation de vos données à des fins de marketing direct

Vous avez désormais le droit de vous opposer aux activités des détaillants et des entreprises en ligne, y compris au profilage utilisé à des fins de marketing direct. Les entreprises doivent vous informer de votre droit d’opposition au moment de la première communication ou dans leur déclaration de confidentialité.

En cas d’opposition au traitement à des fins de marketing direct, les entreprises doivent vous informer de votre droit d’opposition au moment de la première communication ou dans leur déclaration de confidentialité.