Quels droits sur mes données personnelles ?

Avocat RGPD Nantes Paris

données personnelles

Quels droits sur mes données personnelles ?

> La règle

Toute personne physique divulguant des données qui lui sont propres dispose, sur ces dernières de différents droits et notamment des suivants :

  • droit d’opposition : toute personne peut s’opposer à ce que ses données fassent l’objet d’un traitement,

 

  • droit d’accès : toute personne peut demander à accéder aux données personnelles la concernant qui ont été recueillies,

 

  • droit de rectification : toute personne doit avoir la possibilité de procéder à la rectification des données personnelles la concernant,

 

  • droit à la portabilité des données : toute personne peut demander à récupérer les données personnelles le concernant, collectées (de façon automatisée) avec son consentement ou dans le cadre d’un contrat, dans un format lisible par ordinateur,

 

  • droit à la limitation du traitement : toute personne peut demander la limitation du traitement concernant ses données, notamment si le traitement est illicite ou encore si les informations sont inexactes,

 

  • droit à l’oubli : toute personne a la possibilité d’obtenir l’effacement de ses données (ex : données plus nécessaires au regard des finalités, etc.),

 

  • droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (dont le profilage), produisant des effets juridiques la concernant ou l’affectant de manière significative.

Tout responsable de traitement doit faciliter l’exercice des droits des personnes concernées sur leurs données personnelles et notamment répondre à leurs demandes dans les meilleurs délais, et au plus tard un mois après la réception de la demande.

Avocat Nantes La Roche sur Yon Paris

En cas de refus ou de défaut de réponse du responsable de traitement à l’exercice des droits précités, la personne concernée peut saisir la CNIL.

> Les exceptions

Des dérogations sont néanmoins prévues.

Ainsi notamment :

  • le droit à la portabilité des données ne s’applique pas lorsque le traitement est nécessaire à l’exécution d’une mission de service public ,

 

  • le droit à l’oubli ne s’applique pas notamment en présence d’une obligation légale (ex : délai de conservation de dix ans pour les factures) ou s’il va l’encontre du droit à liberté d’expression et d’information.
Nous contacter
D’autres questions ? Voyez aussi…

Dois-je désigner un délégué à la protection des données ?

Avocat RGPD Nantes Paris

données personnelles

Dois-je désigner un délégué à la protection des données ?

> situation

Vous traitez des données personnelles et vous vous demandez si l’obligation de désigner un délégué à la protection des données vous concerne.

> concrètement

Depuis l’entrée en vigueur du RGPD, il est obligatoire pour le responsable de traitement et le sous-traitant de désigner un délégué à la protection de données dans les cas suivants :

  • le traitement est effectué par une autorité ou une entité publique (collectivité territoriale, hôpital, université, etc.),
  • les activités principales impliquent des traitements induisant un contrôle régulier et systématique des personnes (ex : profilage, publicité comportementale, géolocalisation, etc.) à grande échelle (ex : étendue géographique importante, nombre de personnes concernées en valeur absolue ou relative par rapport à la population concernée, etc.),
  • les activités principales portent sur des traitements à grande échelle de catégories particulières de données sensibles (ex : données de santé de patients, données biométriques) et de données relatives à des condamnations et infractions.

Pour les autres entités, il reste toujours possible de désigner un délégué à la protection des données de manière volontaire.

Le délégué à la protection des données a comme mission de contrôler le respect de la législation sur les données personnelles, d’assister le responsable de traitement dans les analyses d’impact éventuellement à réaliser et de coopérer avec la CNIL, notamment en cas de contrôle.

Le délégué à la protection des données peut être désigné en interne ou en externe.

Avocat Nantes La Roche sur Yon Paris

Le délégué à la protection des données doit bénéficier d’une totale indépendance dans le cadre de sa mission et est soumis au secret professionnel ainsi qu’à une obligation de confidentialité. Ainsi, par exemple, les fonctions d’encadrement sont susceptibles de donner lieu à des conflits d’intérêts (ex : DRH, DAF, DSI, etc.).

Nous contacter
D’autres questions ? Voyez aussi…

Dois-je notifier une violation de sécurité ?

Avocat RGPD Nantes Paris

données personnelles

Dois-je notifier une violation de sécurité ?

> La règle

Depuis l’entrée en vigueur du RGPD, le responsable d’un traitement de données à caractère personnelle a l’obligation de notifier toute violation de sécurité :

 

  • à la CNIL dans les meilleurs délais, et si possible, 72 heures au plus tard après sa connaissance (exception : si une telle notification ne peut avoir lieu dans ce délai, elle devra être assortie des motifs du retard et des informations pourront être fournies de manière échelonnée sans autre retard). Vous pourrez notifier ladite violation directement en ligne sur le site internet de la CNIL.
  • à la personne concernée en cas de risque élevé pour ses droits et libertés (ex : violation du secret médical).

 

On entend ici par violation de sécurité toute situation dans laquelle, de manière accidentelle ou illicite, il y aurait perte de disponibilité, d’intégrité ou de confidentialité concernant ces dernières.

Avocat Nantes La Roche sur Yon Paris

Le sous-traitant doit également notifier au responsable de traitement dans les meilleurs délais après en avoir eu connaissance l’identification d’une faille de sécurité.

> L'exception

L’information de la personne concernée par la violation de sécurité n’est pas obligatoire dans les cas suivants :

  • le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées (ex : chiffrement),
  • le responsable de traitement a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés n’est plus susceptible de se reproduire,
  • elle exigerait des efforts disproportionnés.
Avocat Nantes La Roche sur Yon Paris

Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut cependant, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication.

Nous contacter
D’autres questions ? Voyez aussi…

Quelles règles applicables à la reconnaissance faciale ?

Avocat RGPD Nantes Paris

données personnelles

Quelles règles applicables à la reconnaissance faciale ?

> La règle

 

La reconnaissance faciale est une technique biométrique qui permet à partir des traits de visage d’authentifier une personne (vérifier qu’une personne est bien celle qu’elle prétend être – ex : authentification par le visage pour accéder à ses comptes bancaires) ou d’identifier une personne, au sein d’un groupe d’individus par exemple, sans toutefois que soit fait nécessairement le lien avec l’état civil de la personne.  

D’un point de vue pratique, il y a tout d’abord « collecte du visage » (ex : dans une photo ou une vidéo) et transformation en un gabarit répertoriant certaines caractéristiques du visage (iris, nez, etc.), puis reconnaissance du visage par comparaison du gabarit avec d’autres.

Partant de là, la reconnaissance faciale est un traitement considéré comme portant sur des données dites « sensibles » au sens du Règlement européen sur la protection des données personnelles (RGPD), dans la mesure où il s’agit de données biométriques.

Son traitement est par principe interdit en raison du risque important d’atteinte aux libertés individuelles.

Avocat Nantes La Roche sur Yon Paris

Il ne faut pas confondre reconnaissance faciale et détection de visages. En effet, si la première permet d’identifier positivement une personne, la détection faciale permet uniquement de déterminer qu’un visage est présent sur une image donnée. Dès lors, si le même visage ou la même personne réapparaît sur une image ultérieure, le lien ne sera pas fait.

> L'exception

Un système de reconnaissance faciale peut être mis en œuvre uniquement dans quelques cas. En voici quelques exemples :

  • si la personne concernée a donné son consentement,
  • lorsque le traitement est nécessaire pour des motifs d’intérêt public important,
  • si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Enfin, au-delà même des exceptions prévues, les moyens utilisés doivent être proportionnés aux objectifs jugés légitimes. Ainsi, l’existence d’un moyen technique alternatif moins intrusif peut amener à écarter l’usage de la reconnaissance faciale.

Avocat Nantes La Roche sur Yon Paris

Si vous souhaitez avoir recours à la reconnaissance faciale, il est impératif de faire au préalable une analyse d’impact, puisque le traitement présente un « risque élevé » pour les droits et libertés des personnes concernées.

Nous contacter
D’autres questions ? Voyez aussi…

Qu’est-ce qu’une donnée personnelle ?

Avocat RGPD Nantes Paris

données personnelles

Qu'est-ce qu’une donnée personnelle ?

> La règle

Une donnée personnelle est toute information propre à une personne physique identifiée ou identifiable.

Une donnée est considérée comme étant une donnée personnelle si elle permet d’identifier directement la personne (nom et prénom) ou indirectement (numéro de sécurité sociale, adresse mail, numéro de téléphone, la voix, l’image, etc.).

Il est à noter que dans certains cas, des recoupements de données d’un fichier permettent d’identifier une personne. Ce pourra par exemple être le cas d’un registre dans lequel il n’y a pas de donnée directement identifiante mais un âge, un sexe, une date d’entrée et de sortie d’un établissement et un département de résidence. Dans ce cas, il y a données personnelles.

Dès lors que l’on est en présence de données personnelles, il faut avoir le réflexe de la législation sur les données personnelles.

Dans certains cas en effet, leur traitement sera possible mais il faudra alors respecter les règles et principes édictés par la législation (notamment licéité et loyauté du traitement ou encore détermination claire des finalités de ce dernier).

Dans d’autre cas, le traitement et la collecte de certaines données personnelles est, par principe, interdit, sauf à remplir certaines conditions très stricte. Il en sera ainsi des données dites « sensibles », à savoir celles portant sur l’origine raciale ou ethnique des individus, leurs opinions politiques, leurs convictions religieuses ou philosophiques ou appartenance syndicale, ou encore les données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle de personnes physiques.

Avocat Nantes La Roche sur Yon Paris

L’adresse IP est reconnue par la jurisprudence comme constituant une donnée à caractère personnel puisqu’elle permet d’identifier votre ordinateur sur le réseau.

Nous contacter
D’autres questions ? Voyez aussi…