RGPD: Le droit à la limitation du traitement

Le droit à la limitation du traitement consiste à conférer à la personne concernée de suspendre le traitement dont elle fait l’objet tout en conservant les données traitées.

Par limitation du traitement, il faut entendre, selon l’article 4, §3 du RGPD, « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ».

Il, s’agit, autrement dit, d’enjoindre le responsable du traitement d’adopter des mesures conservatoires en vue de procéder à certaines vérifications.

==> Champ d’application

En application de l’article 18 du RGPD la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement dans les situations suivantes :

  • L’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
  • Le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
  • Le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • La personne concernée s’est opposée au traitement en vertu de l’article 21, §1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

==> Principe

L’article 18, §2 du RGPD prévoit que lorsque le traitement a été limité, les données à caractère personnel doit être conservées par le responsable du traitement, sans qu’il puisse les traiter.

Le considérant 67 précise que les méthodes visant à limiter le traitement de données à caractère personnel peuvent consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d’un site internet.

Dans les fichiers automatisés, la limitation du traitement doit en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l’objet d’opérations de traitements ultérieures et ne puissent pas être modifiées.

Le fait que le traitement des données à caractère personnel est limité doit être indiqué de manière claire dans le fichier.

==> Limites

L’article 18, §2 du RGPD autorise le responsable du traitement à traiter les données qui font l’objet d’une limitation dans quatre cas :

  • La personne concernée a donné son consentement
  • Les données sont traitées pour la constatation, l’exercice ou la défense de droits en justice
  • Les données sont traitées pour la protection des droits d’une autre personne physique ou morale
  • Les données sont traitées pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

RGPD: Le droit à la portabilité des données

==> Ratio legis

L’article 20 du règlement général sur la protection des données (RGPD) introduit un nouveau droit à la portabilité des données.

Ce droit permet aux personnes concernées de :

  • Recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine
  • Transmettre les données récupérées sans obstacle à un autre responsable du traitement.

Ce droit, qui s’applique sous réserve de certaines conditions, encourage le choix et le contrôle de l’utilisateur, ainsi que sa responsabilisation.

Les personnes exerçant leur droit d’accès au titre de la directive 95/46/CE relative à la protection des données étaient limitées par le format choisi par le responsable du traitement lors de la fourniture des informations demandées.

Le nouveau droit à la portabilité des données vise à responsabiliser les personnes concernées au sujet de leurs données à caractère personnel, car il facilite leur capacité à déplacer, à copier ou à transmettre facilement des données à caractère personnel d’un environnement informatique vers un autre (qu’il s’agisse de leur propre système, du système de tiers de confiance ou de celui de nouveaux responsables du traitement).

==> Les conditions d’exercice du droit à la portabilité

L’exercice du droit à la portabilité des données est subordonné à la satisfaction de trois conditions cumulatives

  • Première condition
    • Le droit à la portabilité ne peut porter que les données concernant la personne qui l’exerce.
    • Seules les données à caractère personnel peuvent faire l’objet d’une demande de portabilité.
    • Par conséquent, toute donnée anonyme ou ne se rapportant pas la personne concernée est exclue du champ d’application de la portabilité.
    • Toutefois, les données pseudonymisées qui peuvent clairement être liées à la personne concernée (par exemple, lorsque la personne concernée fournit l’identifiant correspondant) relèvent du champ d’application de l’article 20 du RGPD
  • Deuxième condition
    • Le droit à la portabilité ne peut porter que sur des données qui ont été fournies par la personne concernée au responsable du traitement
    • Une distinction peut être opérée entre différentes catégories de données, en fonction de leur origine, afin de déterminer si elles sont couvertes par le droit à la portabilité des données.
    • Les catégories suivantes peuvent être qualifiées de données « fournies par la personne concernée» :
      • Les données activement et sciemment fournies par la personne concernée (par exemple, adresse postale, nom d’utilisateur, âge, etc.) ;
      • Les données observées fournies par la personne concernée grâce à l’utilisation du service ou du dispositif. Ces données peuvent inclure, par exemple, l’historique de recherche, les données relatives au trafic et les données de localisation d’une personne. Elles peuvent aussi inclure d’autres données brutes comme le rythme cardiaque enregistré par un dispositif portable.
    • En revanche, les données déduites et les données dérivées qui sont créées par le responsable du traitement sur la base des données « fournies par la personne concernée», tel que le résultat d’une appréciation relative à la santé d’un utilisateur ou un profil créé dans le contexte des règlementations relatives à la gestion des risques et de la réglementation financière ne peuvent pas être considérés en soi comme ayant été « fournies » par la personne concernée.
    • Bien que ces données puissent faire partie d’un profil conservé par un responsable du traitement et soient déduites ou dérivées d’une analyse des données fournies par la personne concernée (par ses actions, par exemple), ces données ne seront généralement pas considérées comme étant « fournies par la personne concernée» et ne relèveront dès lors pas du champ d’application de ce nouveau droit
  • Troisième condition
    • Les opérations de traitement doivent être fondées :
      • Soit sur le consentement de la personne concernée
      • Soit sur un contrat auquel la personne concernée est partie
  • Quatrième condition
    • La transmission des données doit s’opérer au moyen d’un traitement effectué à l’aide de procédés automatisés
  • Cinquième condition
    • Le droit à la portabilité des données ne doit pas porter atteinte aux droits et libertés de tiers
    • Cette condition vise à empêcher l’extraction et la transmission de données contenant les données à caractère personnel d’autres personnes concernées (non consentantes) à un nouveau responsable du traitement dans le cas où ces données sont susceptibles d’être traitées d’une manière qui porterait atteinte aux droits et aux libertés des autres personnes concernées
    • Une telle atteinte interviendrait, par exemple, si la transmission de données d’un responsable du traitement à un autre empêchait des tiers d’exercer leurs droits en tant que personnes concernées en vertu du règlement général sur la protection des données (comme le droit à l’information, le droit d’accès, etc.).

==> Modalités d’exercice du droit à la portabilité

  • Le destinataire de la demande
    • La demande de portabilité doit être adressé au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • L’article 12, §6, dispose que lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne concernée, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
    • Lorsqu’une personne concernée fournit des informations complémentaires permettant de l’identifier, le responsable du traitement ne peut refuser de donner suite à la demande.
    • Lorsque les informations et données collectées en ligne sont liées à des pseudonymes ou à des identifiants uniques, les responsables du traitement peuvent appliquer des procédures appropriées permettant à une personne de présenter une demande de portabilité des données et de recevoir des données la concernant.
    • En tout état de cause, les responsables du traitement doivent appliquer une procédure d’authentification afin d’établir avec certitude l’identité de la personne concernée demandant ses données à caractère personnel ou, plus généralement, exerçant les droits conférés par le règlement général sur la protection des données.
  • Le coût de la demande
    • L’article 12 du RGPD interdit au responsable du traitement d’exiger un paiement pour fournir les données à caractère personnel, à moins qu’il puisse démontrer que les demandes sont manifestement infondées ou excessives, « notamment en raison de leur caractère répétitif».
    • Ainsi, les coûts totaux liés à la mise en œuvre du système ne devraient pas être imputés aux personnes concernées ni invoqués pour justifier un refus de répondre à des demandes de portabilité.

==> L’exécution de l’obligation

  • L’obligation d’information préalable
    • Afin de respecter le nouveau droit à la portabilité des données, les responsables du traitement doivent informer les personnes concernées de l’existence de ce nouveau droit.
    • Deux situations doivent être distinguées :
      • Lorsque les données à caractère personnel concernées sont collectées directement auprès de la personne concernée, cette information doit avoir lieu « au moment où les données en question sont obtenues».
      • Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, l’article 14, §3 du RGPD, exige que les informations soient fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, au moment de la première communication avec la personne concernée ou lorsque les données à caractère personnel sont communiquées à des tiers
    • Lorsqu’ils fournissent les informations requises, les responsables du traitement doivent veiller à opérer une distinction entre le droit à la portabilité des données et les autres droits.
    • Aussi, le Groupe de l’article 29 recommande-t-il que les responsables du traitement expliquent clairement la différence entre les types de données qu’une personne concernée peut recevoir en exerçant son droit d’accès et son droit à la portabilité.
  • Le délai d’exécution
    • L’article 12, paragraphe 3, requiert que le responsable du traitement fournisse à la personne concernée « des informations sur les mesures prises» « dans les meilleurs délais » et en tout état de cause « dans un délai d’un mois à compter de la réception de la demande ».
    • Ce délai d’un mois peut être prolongé à un maximum de trois mois pour les affaires complexes, à condition que la personne concernée ait été informée des motifs de cette prolongation dans un délai d’un mois à compter de la réception de la demande initiale.
    • Le responsable du traitement qui ne donne pas suite à une demande de portabilité informe la personne concernée, conformément à l’article 12, paragraphe 4, « des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel », dans un délai maximal d’un mois à compter de la réception de la demande.
    • Au bilan, les responsables du traitement doivent respecter l’obligation de répondre à la demande dans les conditions prescrites, même s’il s’agit de signifier un refus.
    • En d’autres termes, le responsable du traitement est tenu de répondre à une demande de portabilité des données.
  • Modalités d’exécution
    • Le RGPD exige du responsable du traitement qu’il fournisse les données à caractère personnel demandées par la personne concernée dans un format qui permet leur réutilisation.
    • Plus spécifiquement, l’article 20, §1 dispose que les données à caractère personnel doivent être fournies « dans un format structuré, couramment utilisé et lisible par machine».
    • Le considérant 68 précise que ce format doit être interopérable, un terme qui est défini comme suit dans l’Union :
      • « La capacité de diverses organisations hétérogènes à interagir en vue d’atteindre des objectifs communs, mutuellement avantageux et convenus, impliquant le partage d’informations et de connaissances entre elles, selon les processus d’entreprise qu’elles prennent en charge, par l’échange de données entre leurs systèmes TIC respectifs. »
    • Les qualificatifs « structuré », « couramment utilisé» et « lisible par machine » constituent une série d’exigences minimales qui devraient faciliter l’interopérabilité du format de données fourni par le responsable du traitement.
    • En ce sens, les termes « structuré, couramment utilisé et lisible par machine» donnent des précisions sur les moyens, tandis que l’interopérabilité est le résultat escompté.
    • Le considérant 21 de la directive 2013/37/UE33 définit le format « lisible par machine» comme suit :
      • « Un format de fichier structuré de telle manière que des applications logicielles puissent facilement identifier, reconnaître et extraire des données spécifiques, notamment chaque énoncé d’un fait et sa structure interne.
      • Les données encodées présentes dans des fichiers qui sont structurés dans un format lisible par machine sont des données lisibles par machine.
      • Les formats lisibles par machine peuvent être ouverts ou propriétaires ; il peut s’agir de normes formelles ou non.
      • Les documents encodés dans un format de fichier qui limite le traitement automatique, en raison du fait que les données ne peuvent pas, ou ne peuvent pas facilement, être extraites de ces documents, ne devraient pas être considérés comme des documents dans des formats lisibles par machine.
      • Les États membres devraient, le cas échéant, encourager l’utilisation de formats ouverts, lisibles par machine. »
    • Compte tenu de la grande variété de types de données potentiels qui pourraient être traités par un responsable du traitement, le règlement général sur la protection des données n’impose pas de recommandations spécifiques quant au format des données à caractère personnel à fournir.
    • Le format le plus approprié différera d’un secteur à l’autre et des formats adéquats peuvent déjà exister, et doivent toujours être choisis de manière à pouvoir être interprétés et offrir à la personne concernée un degré élevé de portabilité.
    • Dès lors, les formats qui sont soumis à des contraintes de licences onéreuses ne sont pas considérés comme relevant d’une approche adéquate.
    • Le considérant 68 précise que « [l]e droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles».
    • Dès lors, la portabilité vise à produire des systèmes interopérables, et non des systèmes compatibles.

RGPD: les droits des personnes à l’égard des traitements de données à caractère personnel

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent :

  • Le droit à être informé du traitement
  • Le droit d’accès aux données à caractère personnel
  • Le droit de rectification des données à caractère personnel
  • Le droit d’effacement des données à caractère personnel
  • Le droit à la limitation du traitement
  • Le droit à la portabilité des données à caractère personnel
  • Le droit d’opposition au traitement et à la prise de décision automatisée

Biens que divers et variés, ces droits obéissent à des règles communes énoncées à l’article 12 du RGPD

==> Obligation de transparence

Lorsque le responsable du traitement doit fournir des informations à la personne concernée au titre de l’un des droits qu’elle est susceptible d’exercer, il lui appartient de prendre des mesures appropriées et de procéder à toute communication d’information d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

L’article 12 du RGPD précise que les informations ainsi communiquées peuvent être fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique.

Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

A cet égard, lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

==> Délai de fournir des informations sollicitées

L’article 12 du RGPD prévoit que le responsable du traitement doit fournir à la personne concernée des informations pertinentes et adaptées dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.

Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.

En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

==> Coût d’exercice des droits de la personne concernée

L’article 12, 5 du RGPD prévoit que aucun paiement ne peut être exigé par le responsable du traitement pour fournir à la personne concernée les informations sollicitées, pour procéder à toute communication et prendre toute mesure au titre de l’exercice de ses droits.

Toutefois, lorsque les demandes de la personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées

==> Limites générales à l’exercice des droits de la personne concernée

Deux limites générales à l’exercice des droits de la personne concernée sont posées par le RGPD :

  • Première limite : la demande de précision complémentaires à la personne concernée
    • Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande d’exercice de ses droits, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
  • Seconde limite : le refus de déférer à la demande de la personne concernée
    • L’article 12 du RGPD prévoit que dans l’hypothèse où les demandes de la personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à ces demandes.
    • Si cette situation se présente, il incombe alors au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.