Les personnes concernées peuvent exercer un certain nombre de droits auprès du responsable du traitement ou son délégué à la protection des données.
Le droit à l’information (art. 12 à 14)Les personnes concernées doivent être informées des traitements mis en œuvre par le responsable du traitement, des modalités de collecte des données (en particulier lorsqu’elles sont collectées à partir d’une collecte indirecte), des modalités d’exercice des droits et des durées de conservations. |
|
Le droit d’accès (art. 15)Les personnes concernées peuvent, à leur demande, avoir accès à leurs données à caractère personnel collectées et traitées pour un traitement donné ou l’ensemble des traitements. Les données calculées, estimées et déduites (barèmes, profilages …) peuvent aussi être accessibles, accompagnées des moyens de calcul et d’obtention de ces informations. |
|
Le droit de rectification (art. 16)Les personnes concernées peuvent demander à rectifier une donnée à caractère personnel erronée ou obsolète. Une preuve peut être légitimement demandée pour la rectification, mais si elle est justifiée, la donnée doit être modifiée et prise en compte par la suite (dans tous les traitements qui peuvent la traiter). |
|
Le droit à l’effacement (art. 17)La personne concernée peut demander son droit à l’effacement de toutes ses données à caractère personnel. Ce droit ne s’applique pas pour les traitements fondés sur des missions d’intérêt public ou les obligations légales (sauf au-delà de leurs durées d’utilisation ou de la durée d’utilité légale). |
|
Le droit de limitation (art. 18)Les personnes concernées peuvent demander de suspendre temporairement le traitement de leurs données personnelles, par exemple, le temps que la rectification d’une donnée soit réalisée. Les personnes pourraient aussi refuser que leurs données soient transmises à certains tiers. |
|
Le droit à la portabilité (art. 20)Les personnes concernées peuvent demander une extraction dans un format exploitable de leurs données à caractère personnel. Ce droit s’applique aux traitements basés sur le consentement ou un contrat. La portabilité permet entre autres de réintégrer ses données personnelles dans les services d’un autre fournisseur. |
|
Le droit d’opposition (art. 21)Les personnes concernées peuvent s’opposer aux traitements de leurs données personnelles. Dans le cas d’une opposition à un traitement fondé sur l’intérêt légitime ou une mission d’intérêt public, la personne doit justifier de ses motivations et d’une raison particulière pour justifier cette demande d’exercice. |
|
Le droit à l’intervention humaine (art. 22)Les personnes concernées peuvent demander une intervention humaine dans un traitement automatisé tel que le calcul d’un barème par un algorithme ou le profilage réalisé par une intelligence artificielle. |
La limite de l’exercice des droits
Tous ces droits ne peuvent pas s’exercer sur tous les traitements de données à caractère personnel.
La base légale détermine des limitations dans l’exercice de ces droits, par exemple, il est impossible de s’opposer à un traitement de données à caractère personnel basé sur une obligation légale ou de demander la suppression de ses données.
Enfin, les demandes d’exercices de droit d’opposition, de limitation, de suppression ou encore d’intervention humaine doivent être motivées et justifiées. Une demande telle que « je m’oppose au traitement de mes données dans l’établissement » n’est pas recevable, le demandeur doit expliquer pourquoi il souhaite s’opposer au traitement de ses données.
Le retrait du consentement
Le retrait du consentement n’est pas un exercice de droit. Une telle demande doit être traitée directement par le responsable du traitement qui interrompt aussitôt le traitement des données de la personne concernée pour le traitement concerné.
Le retrait de consentement ne concerne que le traitement dont il fait l’objet. Les données de la personne concernée peuvent toujours être traitées conformément aux inscriptions du registre de la structure. Les données exclusivement concernées par le traitement basé sur le consentement qui ne font pas l’objet d’une nécessité d’archivage doivent être alors supprimées.
Par exemple, des parents souhaitent retirer leur consentement pour le traitement des données biométriques de leur enfant pour l’accès au restaurant scolaire. À partir de la réception de cette demande, l’établissement ne peut plus traiter le modèle biométrique de la main de l’enfant pour accéder au restaurant scolaire. Conformément au registre le modèle biométrique de la main est supprimé de l’application, mais toutes les autres données permettant l’accès au restaurant scolaire (nom, prénom…) peuvent encore être traitées en vue de l’attribution d’un autre moyen d’accès, tel qu’une carte magnétique par exemple.
Exercez vos droits
Seuls la personne concernée, ou ses représentants légaux peuvent demander à exercer leurs droits sur leurs données à caractère personnel. Si les moyens de contacts ne permettent pas une identification de la personne concernée (par exemple, une adresse de courriel personnelle d’un agent ou d’un parent d’élève), le délégué à la protection des données est en droit de demander une preuve de l’identité de la personne.
Le responsable du traitement dispose d’un mois pour répondre à un exercice de droit, ce délai peut être allongé de 2 mois complémentaires si la demande d’exercice est particulièrement complexe.
En absence de réponse, le demandeur peut s’adresser à la Commission Nationale Informatique et Libertés (CNIL).
Vous pouvez exercer vos droits sur vos données personnelles en contactant le délégué à la protection des données.
Mise à jour : janvier 2022