Connaître le socle complété des droits des personnes

La loi « informatique et libertés » a consacré le principe de la maîtrise par les personnes concernées de leurs données personnelles, qui se trouve consolidé par les dispositions du règlement général sur la protection des données (RGPD). Il se traduit, au premier chef, par la subordination de la mise en œuvre du traitement au consentement de la personne intéressée ⁽¹⁾.

Cependant, les administrations sont, en général, exonérées de l’obligation de recueil du consentement, celle-ci ne trouvant pas à s’appliquer lorsque le traitement de données à caractère personnel a pour objet le respect d’une obligation légale incombant au responsable du traitement ⁽²⁾ (par exemple, tenue des registres de l’état civil) ou l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ⁽³⁾.

En outre, les administrations responsables de traitements sont soumises à une obligation d’information renforcée par le RGPD ⁽⁴⁾, et les administrés ou agents peuvent corrélativement exercer auprès d’elles un certain nombre de droits : accéder à leurs données et en obtenir une copie ⁽⁵⁾, les rectifier ⁽⁶⁾, s’opposer à leur utilisation ⁽⁷⁾ et le droit à l’oubli ⁽⁸⁾.

A cet arsenal, le RGPD est venu ajouter le droit à la portabilité ⁽⁹⁾, qui ne concerne cependant pas les traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Réviser les mentions d’information obligatoires

Le RGPD vient renforcer et préciser l’obligation d’information spontanée mise à la charge des responsables de traitements (RT) à l’égard des personnes concernées. Concrètement, il impose une – modeste – mise en conformité des mentions d’information déjà requises. La liste des informations à fournir obligatoirement n’est pas significativement différente de celle figurant actuellement dans l’article 32 de la loi « informatique et libertés ».

Il conviendra essentiellement d’y ajouter : les coordonnées du délégué à la protection des données, la base juridique précise du traitement, l’information sur les nouveaux droits introduits par le RGPD et leurs modalités d’exercice (droit à l’oubli notamment).

Doit également figurer parmi ces informations l’éventuelle existence d’une prise de décision automatisée, voire d’un profilage, sur la base des informations recueillies ; les collectivités pourront s’inspirer sur ce point des mentions obligatoires prévues pour les décisions individuelles prises sur le fondement d’un traitement algorithmique (art. R.311-3-1-1, code des relations entre le public et l’administration).

La liste reste légèrement différente selon que les informations à fournir sont collectées auprès de la personne concernée ou non ((Art. 13 et 14, ibid.)) ; dans ce dernier cas devra être ajoutée la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.

Mettre à disposition des informations obligatoires

Sur la forme, le RGPD exige des RT la mise à disposition d’une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ⁽¹⁰⁾.

Il précise, quant aux modalités de fourniture de ces informations, qu’elle est naturellement gratuite et peut avoir lieu par écrit (mention sur le questionnaire de collecte, remise préalable d’un document, envoi d’un courrier ou courriel, affichage), mais pas exclusivement. La communication orale, à la demande de la personne concernée, est même autorisée, à condition que son identité soit vérifiable.

Au regard de ces éléments, on recommandera, de manière générale, une communication écrite de façon à se ménager la preuve du respect de l’obligation. Quant au moment de la communication, il reste préalable ou, à tout le moins, concomitant à l’obtention, s’agissant des collectes de données opérées directement auprès de la personne concernée.

Lorsque les informations n’ont pas été collectées auprès de la personne concernée, l’information doit être communiquée dès la première communication à la personne intéressée ou à un tiers et, en tout état, dans le mois qui suit l’obtention des données à caractère personnel.

Réévaluer les procédures d’exercice des droits de la personne concernée

En principe, les collectivités ont déjà, dans le cadre de la loi « informatique et libertés », mis en place des procédures internes de traitement des demandes des personnes concernées. L’entrée en vigueur du RGPD constitue l’occasion d’évaluer et d’adapter ces procédures.

Le RGPD pose les règles minimales devant dans tous les cas s’appliquer (y compris pour le droit à l’oubli et d’opposition). Il convient, d’abord, de faciliter l’exercice des droits de la personne concernée (rappel des droits et explication de la procédure sur le site internet).

Il est recommandé de s’assurer, a minima, de l’identité de la personne physique présentant la demande (engagement sur l’honneur et rappel des peines encourues en cas de fraude). La collectivité doit ensuite répondre gratuitement dans les meilleurs délais et, au maximum, un mois (qui peut être prolongé jusqu’à trois mois en fonction de la complexité et de l’ampleur de la demande) après réception de la demande. La voie électronique sera privilégiée, sauf requête spécifique contraire de la personne intéressée.

Lorsque l’administration n’entend pas donner suite à la demande, elle doit également en informer le demandeur de manière motivée dans un délai d’un mois, et lui indiquer qu’il peut former une réclamation auprès de la Commission nationale de l’informatique et des libertés (Cnil) et un recours juridictionnel.

Mettre à jour les procédures d’accès et de modification

Dans le cadre du droit d’accès, la collectivité doit disposer de procédures prévoyant les modalités d’accueil et de traitement, d’une part, des demandes d’informations et, d’autre part, des demandes de copie des données à caractère personnel.

La personne concernée peut en effet obtenir du RT la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaires (finalités du traitement, catégories de données, destinataires, durée de conservation, droits de rectification, d’effacement, de limitation et d’opposition, droit d’introduire une demande auprès de la Cnil, source des données, le cas échéant, existence d’une prise de décision automatisée). Ce droit d’accès comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.

S’agissant de la forme et de la transmission de cette copie, le RGPD semble favoriser la forme électronique par défaut ; toutefois, si une personne sollicite une copie sous forme papier, la collectivité est tenue de lui en délivrer une à titre gratuit.

La personne concernée disposant également du droit de rectification des informations inexactes et de complément des informations incomplètes, la procédure correspondante doit également être prévue et formalisée. Il est conseillé dans cette dernière hypothèse d’établir un formulaire de déclaration complémentaire ⁽¹¹⁾. Dans tous les cas, il convient de garder une preuve de la modification à laquelle il a été procédé.

Appliquer pleinement le droit à l’effacement

Contenu en germe dans la loi « informatique et libertés », le droit à l’effacement (« droit à l’oubli ») est pleinement consacré et précisé par le RGPD.

La personne concernée a le droit d’obtenir du RT l’effacement de ses données pour l’un des motifs suivants (concernant les traitements opérés par les administrations) :

• les données ne sont plus nécessaires au regard des finalités du traitement ;
• elles ont fait l’objet d’un traitement illicite ;
• elles doivent être effacées pour respecter une obligation légale.

Un autre motif peut être invoqué, qui consiste dans l’exercice du droit d’opposition au traitement.

Cependant, encore convient-il que ce droit soit invocable. Si les données de la personne concernée ont été transmises à d’autres entités, le mécanisme du « droit à l’oubli » s’enclenche : le RT devra prendre toutes les mesures raisonnables pour informer les autres entités que la personne a demandé l’effacement de tout lien vers ses données personnelles, ou de toute copie ou reproduction de celles-ci.

Connaître le champ d’application du droit d’opposition

Le droit d’opposition consiste pour une personne à pouvoir s’opposer à tout moment, à un traitement des données à caractère personnel l’impliquant. Il entraîne, en principe, l’obligation pour le RT de stopper le traitement des données à caractère personnel en cause, sauf à démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de cette personne, ou pour la constatation, l’exercice ou la défense de droits en justice.

Les collectivités territoriales sont concernées par l’exercice du droit d’opposition en tant qu’il s’applique aux traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le RT.

En revanche, il ne recouvre pas les traitements nécessaires au respect d’une obligation légale à laquelle l’administration pourrait être soumise. Ce droit doit être notifié, au plus tard, au moment de la première communication avec la personne intéressée et doit être présenté clairement et séparément de toute autre information.