Lorsque les données à caractère personnel d'une personne sont collectées et traitées, le RGPD1 lui donne le droit de demander à l'entreprise en charge du traitement :

  • la confirmation que ses données à caractère personnel sont ou ne sont pas traitées ;
  • l'arrêt du traitement de ses données ;
  • les catégories de données à caractère personnel concernées ;
  • les finalités pour lesquelles elles sont traitées ;
  • les destinataires éventuels des données, ou éventuellement les destinataires qui se trouvent dans un pays tiers ;
  • la durée de conservation des données ou les critères utilisés pour calculer cette durée ;
  • l'obtention d'une copie des données ;
  • la modification des données ;
  • la suppression des données ;
  • la source des données, surtout si elles n'ont pas été collectées auprès de la personne, mais auprès d'une autre entité ;
  • l'existence, ou non, de traitements automatiques en vue de réaliser son profil.

La personne a aussi le droit de déposer une réclamation auprès de l'autorité de contrôle, c'est-à-dire la CNIL2 pour la France :

« La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement ;
f) le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. »

— Article 15-1 du RPGD, Droit d'accès de la personne concernée

Notes et références

  1. RGPD : Règlement Général de Protection des Données.
  2. CNIL : Commission Nationale de l'Informatique et des Libertés.