République française

Le portail de la transformation numérique des entreprises

Retour à la page d'accueil

Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ?

Traitement des données personnelles
Un homme sans visage en costume jongle avec des données et un ordinateur
Mohamed Hassan
Pixabay License

Le Règlement général sur la protection des données (RGPD) a donné des droits aux personnes sur leurs données personnelles : droit d’information, de rectification, d’effacement, d’accès, de portabilité... Qu’ils soient de simples internautes consultant votre site internet, clients ou cocontractants, ces « utilisateurs » peuvent demander d’exercer leurs droits à partir du moment où votre entreprise réalise un quelconque traitement sur leurs données.

Quels sont ces droits ? Comment les faire respecter ? Quelques éléments de réponses.

A noter : les textes juridiques ont pu faire l’objet de modifications postérieurement à la publication de cet article [mis à jour le 24 mars 2021]. C’est pourquoi, nous vous conseillons de regarder la date de la publication et de vérifier si les informations qui figurent dans l’article sont toujours d’actualité.

Les points traités :

 

Pourquoi l’entreprise doit-elle se mettre en conformité avec le RGPD ?

Le Règlement européen sur la protection des données personnelles (RGPD) s’applique depuis 2018 à l’ensemble des entreprises, quelle que soit leur taille, dès lors qu’elles « traitent » (collectent, enregistrent, conservent...) des données personnelles.

Néanmoins, les obligations sont généralement moindres pour les plus petites entreprises, sous réserve que les traitements de données mis en œuvre ne constituent pas un volet de leur activité.

Le RGPD s’applique indépendamment du  mode de traitement mis en œuvre (fichier tenu manuellement ou automatisé). Tout dépend de la façon dont les données sont traitées et des objectifs poursuivis.

Le RGPD concerne la relation de l’entreprise :

  • avec ses salariés (ex : données RH, badgeage...) ;
  • avec ses clients (ex : coordonnées, préférences, historiques d’achats, cartes de fidélité, prospects...) ;
  • avec ses sous-traitants (ou  tout  simplement  lorsqu’il  s’agit  de  son  « cœur de métier » : hébergeur, éditeur de logiciel...).

Quels sont les avantages du RGPD pour votre entreprise ?

Au-delà de l’obligation légale, le RGPD constitue une opportunité pour votre entreprise sur le plan économique. Mieux gérer vos données vous permettra :

  • de gagner la confiance de vos clients, fournisseurs et partenaires ;
  • d’identifier de nouvelles opportunités d’activité ;
  • d’obtenir plus facilement des fonds ;
  • d’anticiper le développement de votre entreprise ;
  • d’éviter une mise en conformité coûteuse et tardive ;
  • d'améliorer votre protection contre les risques cyber croissants qui peuvent être lourds de conséquences non seulement pour l’activité de l’entreprise mais aussi pour son image.

Les 6 étapes pour respecter les droits des utilisateurs issus du RGPD ?

La procédure à suivre est toujours la même, quel que soit le droit exercé par l’utilisateur. L’entreprise doit :  

1 - Prévoir l’exercice des droits des utilisateurs dans son organisation interne

L’entreprise doit être en mesure de répondre techniquement aux demandes des utilisateurs dans les meilleurs délais (pouvoir envoyer des listes de données, retrouver les données pointées par l’utilisateur s’il demande à les rectifier ou effacer…). Pour cela, elle doit avant même de commencer les traitements de données construire un registre des traitements.

Le registre des traitements doit permettre d’identifier avec précision :

  • les parties prenantes intervenant dans le traitement des données ;
  • les catégories de données traitées ;
  • à quoi servent ces données ;
  • qui y accède et à qui elles sont communiquées ;
  • combien de temps elles sont conservées ;
  • comment elles sont sécurisées.

L’obligation de ternir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Les entreprises de moins de 250 salariés bénéficient toutefois de quelques dérogations. La tenue de registre de traitements, bien qu’obligatoire, est plus légère et moins exigeante et porte en particulier sur les traitements suivants :

  • les traitements occasionnels (gestion des clients, gestion de la paie, …) ;
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (géolocalisation, vidéosurveillance …) ;
  • les traitements portant sur les données sensibles (données de santé, infractions…).

La mise en place d’un registre constitue aussi un outil d’aide à la gestion des données. Bien géré, c’est un outil d’aide à la décision qui participe à la valorisation de l’entreprise.

Dans tous les cas, la mise en place d’un registre des traitements de données, en amont de la conception de vos outils, est essentielle. L’intégration des fonctionnalités prévues par le RGPD au cahier des charges de votre futur outil garantira le respect des droits des utilisateurs (et de la loi !) et vous prémunira de difficultés a posteriori.

Pour en savoir plus :

2 - Désigner la personne responsable de la gestion des demandes relatives aux données personnelles sur le site de l’entreprise

Certains cas d’utilisations de données personnelles (Cnil.fr) exigent d’indiquer les coordonnées du Délégué à la protection des données (DPD) que vous aurez dû désigner.

Dans d’autres cas il s’agit du responsable de traitement, c’est-à-dire de la personne que vous désignez comme responsable de la gestion des affaires en rapport avec les données personnelles.

Pour en savoir plus :

3 - Indiquer les coordonnées de la personne responsable de façon claire et accessible à tous les utilisateurs

Ces informations doivent figurer dans l’onglet « mentions légales » ou « politique de confidentialité ». Cette exigence fait partie de l’obligation d’information que vous devez respecter vis-à-vis des utilisateurs.

Pour en savoir plus :

4 - Donner la possibilité à l’utilisateur de déposer simplement sa demande d’exercice d’un ou de plusieurs de ses droits sur ses données

L’entreprise peut prévoir sur son site un formulaire de demande ou donner une adresse postale. Généralement, les entreprises créent une adresse mail spécifique à toute demande portant sur les données personnelles.

Dans le cas du droit de la portabilité des données,  si le site internet est doté d’un espace client, il est préférable de créer un bouton de téléchargement de ces données.

5 - L’entreprise doit satisfaire à la demande de l’utilisateur

La réponse à l’utilisateur doit être faite dans les meilleurs délais, au plus tard dans un délai d’un mois, qui peut être porté à trois mois si la demande est complexe. Le terme « réponse » se comprend à la fois comme la réponse faite à l’utilisateur mais également la satisfaction de sa demande par des actes qui varient selon le droit exercé (envoie des données demandées, suppression ou rectification de données…).

A noter : aucun paiement ne peut être exigé pour répondre aux demandes des utilisateurs qui veulent exercer leurs droits.

6 - S’il y a un retard dans la réponse, il est nécessaire d’informer la personne concernée

Un utilisateur qui n’obtient pas de réponse ou une réponse incomplète peut déposer une plainte à la CNIL. Toutefois, l’entreprise peut également refuser de donner suite à la demande dans des conditions précises et doit les indiquer à l’utilisateur.

C’est pourquoi, il est important de garder une trace matérielle de ces échanges avec les utilisateurs. En cas de contentieux ou contrôle de la CNIL, l’entreprise qui traite des données personnelles pourrait être dans l’obligation de prouver qu’elle a effectivement répondu aux demandes adressées.

Connaître la base légale du traitement de données personnelles

A noter que les droits des utilisateurs varient selon la base légale de traitement des données. Il faut donc distinguer les différents traitements de données que vous effectuez selon leur base légale.

Le consentement

Dans la plupart des cas, le traitement de données personnelles aura pour fondement le consentement des utilisateurs. Il s’agit par exemple des cas où vous récoltez des données via des cookies sur l’identité des utilisateurs ou sur leurs préférences, afin de mieux connaître vos potentiels clients ou dans le cas de prospections commerciales. Dans tous les cas, le consentement de l’utilisateur doit être libre, spécifique, éclairé, équivoque et conforme au RGPD.

A noter que dans le cas où le traitement a pour fondement le consentement de l’utilisateur, ce dernier doit être en mesure de pouvoir le retirer à tout moment et de manière simple. Il est donc nécessaire de l’en informer au préalable et de lui donner la possibilité de le faire.

Par exemple, si un utilisateur donne son consentement pour l’utilisation de cookies de personnalisation, il peut retirer ce consentement. L’entreprise devra cesser les activités de traitement en question et supprimer les données collectées, si leur traitement n’est pas justifié par une autre base légale.

Le contrat

Il est également possible que votre traitement soit nécessaire à l’exécution ou à la préparation d’un contrat. Dans ce cas, la personne dont vous traitez les données est votre cocontractant.

C’est par exemple le cas si vous êtes une entreprise de e-commerce. Un client procède à des achats en ligne, paie par carte bancaire et souhaite se faire livrer les produits qu’il a achetés. Vous recevez donc des données personnelles relatives à son identité, son adresse de livraison, mais aussi des données bancaires et des informations sur ses achats. Le traitement de ces données vise uniquement l’exécution du contrat de vente conclu avec la personne concernée et a pour base légale le contrat.

Les autres bases légales

Dans d’autres cas, la base légale d’un traitement peut également être : l’obligation légale, la mission d’intérêt public, l’intérêt légitime ou encore la sauvegarde des intérêts vitaux.

Pour plus d’informations, vous pouvez consulter les ressources de la CNIL :

Respecter les règles spécifiques relatives à chacun des droits des utilisateurs

Voici quelques règles spécifiques relatives à chacun des droits des utilisateurs :

Droit d’information

Les utilisateurs doivent recevoir un certain nombre d’informations. Ces informations doivent être accessibles et font parties des mentions légales qui sont obligatoirement présentes sur votre site internet. Les informations doivent également être concises et lisibles afin qu’elles puissent être comprises par tous.

Le site internet doit fournir l’ensemble des informations relatives au traitement des données personnelles :

  • les données collectées ;
  • la base légale ;
  • les finalités de la collecte ;
  • l’existence ou non de transferts de données ;
  • les destinataires des données.

L’utilisateur doit être correctement informé des droits qu’il a sur ses données. Comme expliqué ci-dessus, l’entreprise doit lui permettre d’exercer ces droits en désignant la personne qui s’occupe des demandes liées à la protection des données (généralement le responsable de traitement ou le DPD de l’entreprise) et en indiquant la manière dont il est possible de la contacter.

Pour en savoir plus :

Droit d’accès aux données

Le droit d’accès est le droit de l’utilisateur de demander à l’entreprise de lui faire communication, dans un format compréhensible, de l’ensemble des données qu’elle a collecté sur lui.

Exercer ce droit permet à l’utilisateur de savoir quelles données personnelles sont traitées par l’entreprise, de quelle manière, et d’en contrôler l’exactitude. Si besoin, il pourra les rectifier ou demander à ce que l’entreprise les efface.

Les données concernées

Lorsqu’une demande de droit d’accès est formulée, l’entreprise envoie les données personnelles de la personne qui les demande, ainsi que les informations suivantes :

  • les finalités du traitement ;
  • les catégories de données concernées ;
  • les destinataires ou catégories de destinataires des données ;
  • la durée de conservation des données, lorsque cela est possible ;
  • l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données, mais aussi une limitation ou l’opposition au traitement ;
  • la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ;
  • l’existence ou non d’une prise de décision automatisée (profilage) ;
  • l’existence ou non d’un transfert hors UE et les garanties apportées.

Pour plus d’informations :

Droit de rectification

Un utilisateur peut demander la rectification des informations inexactes ou incomplètes.

Cette demande de rectification peut intervenir par exemple quand l’utilisateur se rend compte d’une erreur lorsqu’il a transmis ses données à l’entreprise, ou à la suite de l’exercice de son droit d’accès.

Le responsable de traitement doit notifier à chaque destinataire auquel les données personnelles ont été communiquées toute rectification des données.

Pour plus d’informations :

Droit de portabilité

Le droit de la portabilité est le droit des utilisateurs de récupérer une partie de ses données dans un format lisible par une machine, et de les réutiliser à d’autres fins.

La portabilité permet aux utilisateurs de réutiliser des données qu’ils ont déjà fournis à un opérateur/ une entreprise généralement pour les transmettre à un autre organisme. Cela lui évite de redonner toutes les informations à nouveau. L’utilisateur peut également demander ces données pour un usage strictement personnel.

Quelles données sont concernées ?

L’exercice de ce droit porte uniquement sur les données dont la base légale est le consentement ou le contrat. Il peut s’agir des données qu’un utilisateur a transmis (coordonnées…), mais également des données issues de son activité (historique d’achat, préférences et personnalisation de services…).

En revanche, la portabilité ne s’applique pas aux données dont le traitement se fonde sur une autre base légale.

Quel format de données ?

Les données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine ». Donc, il s’agit d’un format lisible, de préférence ouvert et interopérable (qui peut être lu par un autre système). Il s’agit par exemple des formats JSON (.json) ou CSV (.csv).

Pour plus d’informations :

Droit d’opposition au traitement de données

Le droit d’opposition permet aux utilisateurs de s’opposer à un traitement précis de données personnelles.
A noter : c’est un droit difficile à exercer par les utilisateurs car il ne s’applique pas à toutes les données personnelles collectées par l’entreprise et doit être justifié.

Quelles données sont concernées ?

Le droit d’opposition ne peut pas être exercé pour tous les traitements de données personnelles. La demande d’opposition concerne généralement la prospection commerciale.

Dans les cas où les données collectées ont pour base légale consentement, l’utilisateur doit retirer son consentement pour le traitement en cause et non s’opposer au traitement des données.

Vous pouvez refuser une demande d’opposition dans les situations suivantes :

  • les données collectées ont pour base légale un contrat. L’utilisateur devra attendre la rupture du contrat qui est à l’origine du traitement de ses données personnelles ;
  • il existe des motifs légitimes et impérieux à traiter ces données (intérêt légitime) ;
  • le traitement a pour fondement une mission d’intérêt public, une obligation légale ou la sauvegarde des intérêts vitaux.

Pour en savoir plus :

Droit à la limitation du traitement

Les utilisateurs peuvent demander de geler temporairement l’utilisation de certaines données personnelles. L’exercice de ce droit peut s’avérer particulièrement utile lorsque l’utilisateur conteste l’exactitude des données ou s’oppose au traitement.

Dans ce cas, il peut demander de geler temporairement l’utilisation des données, dans l’attente d’une réponse à sa demande. Donc, l’entreprise pourra conserver ces données mais ne pourra  pas réaliser de traitements sur ces données gelées.  

Les limites du droit de limitation de traitement

Les données gelées peuvent toutefois être utilisées dans les situations suivantes :

  • l’utilisateur a donné son consentement au traitement. Dans ce cas, il doit retirer son consentement et non pas demander la limitation du traitement
  • pour la constatation, l’exercice ou la défense de droits en justice ;
  • pour la protection des droits d’une personne physique ou morale ;
  • pour des motifs importants d’intérêt public de l’Union ou d’un Etat membre.

Pour plus d’informations :

Droit d’effacement des données

Il s’agit du droit d’un utilisateur à demander l’effacement de données qui le concernent. Il peut l'exercer lorsque :

  • ses données sont utilisées à des fins de prospection commerciale ;
  • ses données ne sont plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
  • l’utilisateur retire son consentement dans le cas où le base légale est le  consentement ;
  • l’utilisateur considère que les données font l’objet d’un traitement illicite ou elles ont été collectées alors qu’il était mineur ;
  • les données doivent être effacées pour respecter une obligation légale ;
  • l’utilisateur s’est opposé au traitement des données et qu’il a pu exercer cette demande.

Limites au droit à l’effacement

Vous pouvez écarter le droit à l’effacement lorsqu’il va à l’encontre de :

  • l’exercice du droit à la liberté d’expression et d’information ;
  • du respect d’une obligation légale ;
  • de l’utilisation de vos données s’il y a intérêt public à conserver les données (par exemple dans le domaine de santé) ;
  • de leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • de la constatation, de l’exercice ou de la défense de droits en justice.

Pour plus d’informations :

Être conforme au RGPD : diagnostics et accompagnements

Évaluer sa conformité au RGPD

Un certain nombre de diagnostics en ligne existent pour vous aider à identifier d'éventuels problèmes de conformité au RGPD :

Être accompagné

Le Conseil nationale des Barreaux, propose un annuaire qui permet de trouver un avocat spécialisé dans le domaine de la protection des données.

Votre Chambre de Commerce et d’industrie (CCI) ou votre Chambre de métiers et de l’artisanat (CMA) sont des interlocuteurs pertinents. Vous pouvez consulter l’annuaire des conseillers locaux des CCI (cci.fr) ou contacter un conseiller dans une CMA (covidcma.artisanat.fr).

France Num propose, via la rubrique Trouver un accompagnement de son site, d’entrer en relation avec des activateurs. Pour en savoir plus sur ces experts du numérique, publics et privés :

 

Elisa Sobczyk

Imprimer

Voir aussi

Dossier
Traitement des données personnelles

Un fichier client de qualité est fondamental : il permet de connaître sa clientèle et de promouvoir de façon appropriée un produit ou service auprès de la bonne cible. Il contribue à la valeur de l’entreprise et à son développement. Mais pour être exploitable, cette base de données doit être conforme à la législation. A défaut, le fichier est inutilisable et donc dépourvu de toute valeur. Quelles sont les conditions à respecter pour mettre en conformité votre fichier client ?

Actualité
Traitement des données personnelles

Les restaurateurs sont, dès aujourd’hui, invités à mettre en place des cahiers de rappel pour faciliter la traçabilité du virus. A partir du 9 juin, le protocole sanitaire pour les bars, restaurants et restaurants d'hôtels, impose leur mise à disposition pour les espaces intérieurs.Si la majorité des professionnels optent pour le support papier pour constituer ce registre, des solutions numériques intéressantes existent.

 

Fiche pratique
Traitement des données personnelles

A télécharger : le nouveau modèle de registre simplifié RGPD (proposé par la CNIL en juillet 2019)