L’exercice des droits

Les utilisateurs dont les données personnelles sont collectées et traitées disposent d’une série de droits leur permettant de garder la maîtrise des informations les concernant. Il est essentiel de leur indiquer l’existence de ces droits et de leur expliquer  où, comment et à qui s’adresser pour les exercer pratiquement.

Pourquoi l’exercice des droits est important ?

Les droits peuvent être considérés comme un ensemble de moyens pour donner aux personnes des leviers d’action concrets sur leurs données. Les droits peuvent être exercés à partir du moment où un organisme dispose ou traite des données sur une personne.

La mise en place de fonctionnalités et parcours simples et efficaces d’exercice des droits permet de répondre aux obligations légales tout en accompagnant sereinement les personnes dans ces démarches.

Quels sont les droits que les personnes peuvent exercer ?

Avec le RGPD, les personnes dont les données sont traitées peuvent exercer jusqu’à sept droits :

  • le droit d’accès permet, entre autres, à un utilisateur de savoir si des données le concernant sont traitées et d’en obtenir une copie lisible dans un format compréhensible. Il permet notamment de contrôler l’exactitude des données ;
  • le droit de rectification permet à la personne de modifier, corriger ou mettre à jour des données la concernant afin de limiter l’utilisation ou la diffusion d’informations erronées ;
  • le droit d’opposition permet à la personne de s’opposer à ce que ses données soient utilisées pour un objectif précis ;
  • le droit à l’effacement permet à la personne d’obtenir l’effacement de ses données ;
  • le droit à la limitation permet de stopper temporairement l’utilisation des données concernant une personne, par exemple le temps d’examiner une contestation de sa part sur l’utilisation de ses données ou une demande d’exercice de droits  ;
  • le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible par machine, pour son propre usage ou pour les fournir à un autre organisme ;
  • le droit à l’intervention humaine face à un profilage ou une décision entièrement automatisée.

Faciliter l’accès à l’exercice des droits

Lorsqu’une personne souhaite exercer un droit, elle doit pouvoir savoir vers qui s’adresser de façon simple. Les informations de contact doivent être facilement accessibles et être localisées à des endroits paraissant logiques, par exemple dans le compte utilisateur, dans des informations contextuelles, les politiques de confidentialité, les politiques de vie privée, une FAQ, etc.

Exemple

Dans cet exemple, la personne souhaite exercer son droit à la portabilité. Elle se rend sur son compte utilisateur afin d’identifier la façon de procéder pour télécharger une copie de ses données.

Point d’attention

Dans cette proposition, l’utilisateur ne trouve aucune information au sujet de ses droits alors que son profil peut sembler un endroit légitime pour cela. Sans aucune indication, l’utilisateur va donc devoir chercher dans l’intégralité du site des informations sur ses droits et la façon de les exercer.

Approche possible

Dans cette proposition, l’utilisateur trouve directement dans son profil un lien de redirection vers une page dédiée à l’exercice de ses droits.

Guider la personne dans l’exercice de ses droits

L’exercice d’un droit peut constituer un événement exceptionnel dans le parcours utilisateur classique d’un service. De fait, il est d’autant plus important de bien la guider dans cette démarche qui peut paraître intimidante : proposer des étapes simples pour formuler une demande, rappeler l’utilité des droits et leurs résultats, mettre à disposition des modèles de demande, etc., pour faciliter sa démarche.

L’exercice d’un droit peut s’effectuer au-travers de différentes modalités et formats qui seront à choisir en fonction du droit et du contexte. Une demande en lien avec les droits doit pouvoir être faite au travers de divers moyens : voie électronique (formulaire, mail, comptes en ligne, etc.), courrier… 

Exemple

Sur cette application smartphone, la personne souhaite savoir quelles sont les données traitées par le service. Elle se rend dans la partie de son compte conçue pour l’exercice de ses droits.

Point d’attention

Dans cette proposition, la personne ne dispose que d’une adresse email sans plus de détails sur les droits qu’elle peut exercer. Ce manque d’indication et d’accompagnement risque de résulter dans un découragement de la personne dans l’exercice de ses droits.

Approche possible

Dans cette proposition, la personne est confrontée à une information détaillant les modalités d’exercice du droit d’accès et est guidée dans ces différentes modalités. Cette approche permet à la personne de comprendre la situation et de pouvoir exercer au mieux son droit.

Communiquer sur l’évolution de la demande

Tout au long du processus d’exercice des droits, il est important de veiller à ce que la personne soit bien informée de l’évolution de sa demande. Lui faire des retours régulièrement, pour attester de la bonne réception de sa demande ou encore pour lui faire des retours sur les décisions prises suite à celle-ci, dans un format accessible et correspondant à celui avec lequel elle vous a contacté est donc nécessaire.

Exemple

La personne souhaite télécharger ses données personnelles produites lors de l’utilisation d’un service de tracking sportif. Elle se rend sur son compte utilisateur pour réaliser cette action.

Point d’attention (exemple animé)

Dans cette proposition, après avoir cliqué sur le lien de téléchargement de ses données, la personne est redirigée immédiatement sur la page d’accueil de l’application. Aucune information ou retour ne lui est donné pour lui permettre de savoir si sa demande a bien été prise en compte.

Approche possible

Dans cette proposition, après avoir cliqué sur le lien de téléchargement de ses données, un signe graphique apparait pour indiquer que sa demande a été prise en compte. Les courts textes informatifs permettent à la personne de savoir comment elle va recevoir ses données et de l’informer de la démarche à suivre au cas où elle ne les reçoit pas.

Permettre à la personne de garder une trace de sa démarche

Afin d’assurer à la personne une bonne continuité dans sa démarche d’exercice de droit, ou en cas de contestation de sa part de la décision que vous prenez auprès d’une autorité de protection, il est recommandé de permettre à la personne de pouvoir garder facilement une trace de sa démarche. Un système d’impression de demandes, d’archivage ou de téléchargements des échanges, etc. peuvent ainsi être mis en place. 

Exemple

Dans cet exemple, la personne a exercé son droit de rectification et un mail a été envoyé sur son adresse email afin de lui confirmer que le traitement de sa demande est en cours.

Point d’attention

Dans cette proposition, bien que le service informe la personne que sa demande est en cours de traitement, aucun document ou information pouvant servir de justificatif est accessible.

Approche possible

Dans cette proposition, le service indique dans le mail d’information qu’une copie de la demande est disponible dans l’espace personnel de la personne.

Aller plus loin 

Si vous souhaitez en savoir plus sur l’exercice des droits, vous pouvez consulter les liens ci- dessous :

Respecter les droits des personnes cnil.fr

Cette page regroupe des informations essentielles sur la mise en place des droits.

Les droits pour maîtriser vos données cnil.fr

Cette page regroupe l’ensemble des droits du RGPD et pointe vers des pages détaillant chacun d’entre eux.

Profilage et décision entièrement automatisée cnil.fr

Cette page détaille les notions de profilage et de décision entièrement automatisée telle qu’e définies par les lignes directrices de l’EDPB.

Données & Design par LINC