Au cœur du Règlement général sur la protection des données (RGPD) se trouve la notion de personne concernée. C’est elle qui détient tous les droits relatifs à ses informations personnelles : droit d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition. Plus qu’une simple définition, ce concept incarne l’ambition du RGPD : redonner à chacun la maîtrise de sa vie privée dans l’univers numérique. Plongeons dans cette notion essentielle, de sa portée à ses contours, en passant par son évolution juridique, pour savoir comment exercer pleinement vos droits.
1) La définition juridique de la personne concernée
Le RGPD définit la personne concernée comme « toute personne physique identifiée ou identifiable ». Concrètement, c’est toute personne dont on peut retracer l’identité via ses données. Par exemple, un numéro d’identification ou des données de localisation. Un identifiant en ligne ou tout autre élément lié à son identité. Ces informations peuvent être physiques, génétiques, psychiques, économiques ou culturelles. Cette définition large couvre toutes les données à caractère personnel. Elle garantit que seules les données des personnes physiques sont protégées. Les entreprises doivent qualifier chaque individu de personne concernée dès la collecte. Elles doivent aussi garantir l’exercice des droits de chaque personne concernée.
2) Qui est véritablement concerné ?
Même si la notion paraît simple, son application peut se révéler plus complexe dans certains cas. Le cas le plus évident est celui du titulaire direct, comme un client, un salarié ou un abonné. Il s’agit de la personne dont les données font directement l’objet du traitement mis en place. Cependant, la jurisprudence a reconnu que d’autres personnes pouvaient aussi bénéficier de ce statut.
C’est notamment le cas des héritiers dans le cadre d’une succession à régler. Si l’accès aux données est nécessaire, les ayants droit deviennent personnes concernées pour exercer le droit d’accès. Ils n’ont pas besoin d’être eux-mêmes clients ou usagers de l’entreprise pour faire cette demande. En revanche, un simple mandataire, comme un avocat ou un administrateur, ne devient pas une personne concernée. Même s’il agit pour le compte du titulaire, il n’en tire pas ce statut personnellement. Il reste un représentant et non un bénéficiaire direct des droits liés aux données personnelles.
Autre cas particulier : le traitement de données pseudonymisées à des fins d’analyse statistique. Si les données ne permettent plus d’identifier une personne, celle-ci n’est plus concernée par le RGPD. Mais cela reste vrai uniquement si aucune clé de réidentification n’est conservée par l’organisme. Sinon, la possibilité de retrouver l’identité réelle réactive la protection prévue par le règlement.
3) De la loi « Informatique et Libertés » au RGPD
Jusqu’en 2004, la loi française n’offrait aucune définition explicite de la « personne concernée ». Cette lacune a été comblée par la loi n° 2004-801 du 6 août 2004, qui a introduit la notion par renvoi à la directive européenne 95/46/CE. Vint ensuite, en mai 2018, l’entrée en vigueur du RGPD, qui a intégré cette définition directement dans le règlement, puis l’ordonnance n° 2018-1125 du 12 décembre 2018, qui a aligné la loi française avec le RGPD en renvoyant expressément à ses définitions. L’objectif était clair : unifier les règles au niveau européen et assurer une protection homogène des droits, sans disparités entre États membres.
4) Exercer ses droits en pratique
Le statut de personne concernée donne accès à plusieurs droits clairement définis par le RGPD.
Tout d’abord, le droit d’accès permet de vérifier si des données sont traitées et d’en obtenir une copie.
Ensuite, le droit de rectification autorise à corriger toute information inexacte ou incomplète vous concernant. Par ailleurs, le droit à l’effacement, aussi appelé « droit à l’oubli », permet de supprimer certaines données personnelles. Cela s’applique, par exemple, à la fin d’un contrat ou si le consentement est retiré. De plus, le droit à la limitation offre la possibilité de bloquer temporairement un traitement contesté. Il s’agit d’une mesure de protection en attendant une décision finale sur l’utilisation des données. Également, le droit à la portabilité permet de récupérer ses données dans un format clair et réutilisable. Cela facilite le transfert d’un service à un autre sans perdre ses informations personnelles. Enfin, le droit d’opposition permet de refuser un traitement basé sur l’intérêt légitime du responsable. Ce droit s’applique souvent au profilage ou à la prospection commerciale non sollicitée.
En parallèle, le responsable de traitement doit informer les personnes de manière claire et accessible. Cela passe généralement par des mentions légales, une politique de confidentialité ou un espace dédié. De plus, il doit prévoir des moyens simples pour exercer ces droits, comme un formulaire ou un e-mail. Il est aussi tenu de répondre dans un délai maximum d’un mois à compter de la demande. Ce délai peut être prolongé de deux mois si la demande est complexe ou multiple. Toutefois, il doit alors informer la personne concernée du motif de cette prolongation. En cas de non-réponse ou de refus injustifié, des sanctions peuvent être infligées par la CNIL. Ainsi, les obligations du responsable garantissent l’effectivité des droits et la transparence du traitement.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
-
Loi n° 78-17 du 6 janvier 1978, art. 2, al. 3 : renvoi aux définitions du RGPD
