Adresse postale oubliée, note médicale mal recopiée, numéro de client inversé : une information inexacte peut vite devenir un cauchemar. Le Règlement général sur la protection des données (RGPD) en fait donc une priorité : toutes les données à caractère personnel doivent rester exactes, complètes et à jour. Derrière cette règle apparemment simple se cache un ensemble d’obligations très concrètes pour les entreprises, les associations et les administrations. Cet article décrypte, en langage clair, le principe d’exactitude, ses conséquences pratiques et les bonnes pratiques pour éviter les sanctions.
1) L’exactitude : de l’idée simple à la notion juridique
Le RGPD ne livre pas de formule magique : il parle d’« exactitude » sans la définir. Pour saisir le concept, il faut revenir aux textes fondateurs. Depuis la loi Informatique et Libertés de 1978, en passant par la directive 95/46, jusqu’au RGPD et à la directive « Police-Justice », le message reste identique : la donnée doit coller aux faits.
Concrètement, un élément demeure exact s’il décrit la réalité au moment où il se produit. Ainsi, signaler qu’une personne habitait rue Victor-Hugo en 2018 reste fiable même si elle a déménagé depuis. Le marquage temporel lève toute ambiguïté. Les juges ont d’ailleurs reconnu l’intérêt de conserver certains faits « datés ». Tenir la trace d’un baptême, d’un diagnostic médical erroné ou d’une sanction professionnelle annulée peut s’avérer nécessaire pour comprendre un parcours ou éviter de répéter une erreur.
À l’inverse, présenter ces mêmes données comme toujours actuelles fausse la réalité. Dire qu’un individu réside encore à une adresse quittée depuis trois ans, ou qu’il appartient à un syndicat parce qu’il a suivi une grève, outrepasse le principe d’exactitude. Les autorités belges et la CNIL rappellent qu’une déduction ou une extrapolation ne remplace pas un fait vérifié.
Enfin, l’exactitude ne s’applique pas qu’aux informations « brut ». Une opinion médicale ou un score de crédit restent licites si le responsable précise qu’il s’agit d’une évaluation, distingue clairement l’analyse des faits et tient ces données à jour. C’est cette vigilance — contextualiser, dater, rectifier — qui transforme une information brute en donnée conforme au RGPD.
2) Opinions, calculs : distinguer le subjectif du factuel
Une opinion ne se mesure pas comme un fait. Elle reflète le point de vue d’un professionnel à un instant donné. Ainsi, si un médecin écrit « probable dépression », la note reste exacte : elle rapporte une hypothèse médicale, non une vérité scientifique. Pourtant, la présentation compte. Vous devez indiquer clairement qu’il s’agit d’un jugement, pas d’un constat définitif.
Pour y parvenir, enregistrez les avis dans un champ distinct des données brutes. Signalez ensuite, le cas échéant, qu’un second diagnostic les a confirmés ou infirmés. Cette méthode évite de transformer une appréciation en fait erroné. Elle protège la personne contre une interprétation abusive.
À l’inverse, un score de crédit provient d’un calcul statistique. Son exactitude dépend de la qualité des chiffres de départ : revenus, historique bancaire, incidents de paiement. Le responsable de traitement ne doit pas corriger le score en lui-même, mais vérifier chaque donnée source. Si un revenu change ou si un incident est régularisé, mettez simplement à jour les informations brutes.
En résumé, traitez l’opinion comme un contenu subjectif encadré. Traitez le calcul comme une opération objective fondée sur des faits fiables. Cette distinction, simple en apparence, réduit les risques d’inexactitude et respecte pleinement le RGPD.
3) Devoir de moyens ou obligation de résultat ? Tout dépend des risques
Le principe d’exactitude varie donc selon la sensibilité du traitement et les conséquences possibles pour l’individu. Dans un simple fichier marketing, une adresse restée inchangée quelques semaines ne crée, en général, qu’un envoi perdu ; la justice admet ce décalage puisque le risque reste faible. À l’inverse, dans un fichier policier ou judiciaire, confondre deux homonymes peut entraîner une interpellation injustifiée, voire une garde à vue. Ici, l’exactitude devient stricte : chaque renseignement doit être vérifié avant d’être exploité.
La CNIL reprend ce principe de proportionnalité. Lorsqu’un bug a, à 1 531 reprises, relié l’adresse IP d’un internaute à des téléchargements illicites, l’autorité a exigé zéro erreur ; la simple possibilité de confusion portait atteinte aux droits fondamentaux. Toutefois, la Cour de cassation rappelle que, si la correction est matériellement impossible et qu’aucun préjudice n’en découle, l’obligation reste une obligation de moyens : le responsable doit prouver qu’il a fait tout ce qui était raisonnable pour garantir la fiabilité des données.
4) Maintenir l’exactitude : une vigilance quotidienne
Le responsable de traitement organise la qualité des données ; il ne la subit pas. Il programme des revues régulières, relance les contacts et corrige les adresses invalides. Il propose aussi un canal clair : bouton dans l’espace client, adresse mail dédiée ou numéro vert. Chacun peut ainsi signaler une erreur et suivre la correction.
Côté technique, il limite les confusions. Il pseudonymise les dossiers sensibles, attribue des identifiants uniques et lance des contrôles d’intégrité lors des imports. Il chiffre les données en transit et au repos. Ces outils réduisent les incohérences sans alourdir la collecte.
Le RGPD exige « toutes mesures raisonnables ». Inutile donc de traquer chaque déménagement en direct. En revanche, il faut agir dès qu’un courrier revient avec la mention « n’habite plus à l’adresse indiquée ». La CNIL défend cette approche pragmatique : selon les secteurs, elle valide l’échantillonnage ou la consultation ciblée de fichiers tiers plutôt qu’un contrôle exhaustif.
La mise à jour rapide reste pourtant essentielle. Ignorer la demande d’un salarié, d’un patient ou d’un client revient à traiter une donnée fausse en toute connaissance. L’autorité peut alors infliger une amende et exiger la purge immédiate de la base. Enfin, plus le risque pour la personne est élevé — perte d’emploi, refus de crédit, erreur médicale —, plus la fréquence des vérifications doit augmenter. Cette vigilance graduée assure une information fiable tout en gardant la conformité proportionnée.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
