Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ?

A noter : les textes juridiques ont pu faire l’objet de modifications postérieurement à la publication de cet article [mis à jour le 1er décembre 2022]. C’est pourquoi, nous vous conseillons de regarder la date de la publication et de vérifier si les informations qui figurent dans l’article sont toujours d’actualité.

Pourquoi l’entreprise doit-elle se mettre en conformité avec le RGPD ?

Le Règlement européen sur la protection des données personnelles (RGPD) s’applique depuis 2018 à l’ensemble des entreprises, quelle que soit leur taille, dès lors qu’elles « traitent » (collectent, enregistrent, conservent...) des données personnelles.

Néanmoins, les obligations sont généralement moindres pour les plus petites entreprises, sous réserve que les traitements de données mis en œuvre ne constituent pas un volet de leur activité.

Le RGPD s’applique indépendamment du  mode de traitement mis en œuvre (fichier tenu manuellement ou automatisé). Tout dépend de la façon dont les données sont traitées et des objectifs poursuivis.

Le RGPD concerne notamment la relation de l’entreprise :

• avec ses salariés et candidats à l’embauche (ex : données RH, badgeage...) ;
• avec ses clients et prospects (ex : coordonnées, préférences, historiques d’achats, cartes de fidélité...) ;
• avec ses sous-traitants  et fournisseurs (exemple : hébergeur, éditeur de logiciel...).

Quels sont les avantages du RGPD pour votre entreprise ?

Au-delà de la contrainte juridique, le RGPD constitue une opportunité pour votre entreprise sur le plan économique. Mieux gérer vos données vous permettra :

• de gagner la confiance de vos clients, fournisseurs et partenaires ;
• d’identifier de nouvelles opportunités d’activité ;
• d’obtenir plus facilement des fonds ;
• d’anticiper le développement de votre entreprise ;
• d’éviter une mise en conformité coûteuse et tardive ;
• d'améliorer votre protection contre les risques cyber croissants qui peuvent être lourds de conséquences non seulement pour l’activité de l’entreprise mais aussi pour son image.

Les 6 étapes pour respecter les droits des utilisateurs issus du RGPD ?

Afin de respecter les droits des utilisateurs, l’entreprise doit suivre une procédure bien précise prévue par le RGPD. De manière générale, l’entreprise devra :

1 - Prévoir l’exercice des droits des utilisateurs dans son organisation interne

L’entreprise doit être en mesure de répondre techniquement aux demandes des utilisateurs dans les meilleurs délais (pouvoir envoyer des listes de données, retrouver les données pointées par l’utilisateur s’il demande à les rectifier ou effacer…). Pour cela, elle doit avant même de commencer les traitements de données construire un registre des traitements.

Le registre des traitements doit permettre d’identifier avec précision :

• les parties prenantes intervenant dans le traitement des données ;
• les catégories de données traitées ;
• à quoi servent ces données ;
• qui y accède et à qui elles sont communiquées ;
• combien de temps elles sont conservées ;
• comment elles sont sécurisées.

L’obligation de ternir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Les entreprises de moins de 250 salariés bénéficient toutefois de quelques dérogations. La tenue de registre de traitements, bien qu’obligatoire, est plus légère et moins exigeante et porte en particulier sur les traitements suivants :

• les traitements occasionnels (gestion des clients, gestion de la paie, …) ;
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (géolocalisation, vidéosurveillance …) ;
• les traitements portant sur les données sensibles (données de santé, infractions…).

La mise en place d’un registre constitue aussi un outil d’aide à la gestion des données. Bien géré, c’est un outil d’aide à la décision qui participe à la valorisation de l’entreprise.

Dans tous les cas, la mise en place d’un registre des traitements de données, en amont de la conception de vos outils, est essentielle. L’intégration des fonctionnalités prévues par le RGPD au cahier des charges de votre futur outil garantira le respect des droits des utilisateurs (et de la loi !) et vous prémunira de difficultés a posteriori.

Pour en savoir plus :

• RGPD et TPE/PME : Modèle de registre pour des activités de traitement (par la CNIL)
• RGPD : Comment se mettre en conformité ? Mode d'emploi par la CNIL et Bpifrance
• Le registre des activités de traitement (cnil.fr)
• RGPD : se préparer en 6 étapes (cnil.fr)

2 - Désigner la personne responsable de la gestion des demandes relatives aux données personnelles sur le site de l’entreprise

Certains cas d’utilisations de données personnelles (Cnil.fr) exigent d’indiquer les coordonnées du Délégué à la protection des données (DPO) que vous aurez dû désigner.

Dans d’autres cas il s’agit du responsable de traitement, c’est-à-dire de la personne que vous désignez comme responsable de la gestion des affaires en rapport avec les données personnelles.

Pour en savoir plus :

• La CNIL publie un guide du délégué à la protection des données (cnil.fr)
• Le délégué à la protection des données (DPO) (cnil.fr)

3 - Indiquer les coordonnées de la personne responsable de façon claire et accessible à tous les utilisateurs

Ces informations doivent figurer dans l’onglet « mentions légales » ou « politique de confidentialité ». Cette exigence fait partie de l’obligation d’information que vous devez respecter vis-à-vis des utilisateurs.

Pour en savoir plus :

• Quelles sont les mentions légales pour un site internet professionnel ?

4 - Donner la possibilité à l’utilisateur de déposer simplement sa demande d’exercice d’un ou de plusieurs de ses droits sur ses données

L’entreprise peut prévoir sur son site un formulaire de demande ou donner une adresse postale. Généralement, les entreprises créent une adresse mail spécifique à toute demande portant sur les données personnelles.

Dans le cas du droit de la portabilité des données,  si le site internet est doté d’un espace client, il est préférable de créer un bouton de téléchargement de ces données.

5 - L’entreprise doit satisfaire à la demande de l’utilisateur

La réponse à l’utilisateur doit être faite dans les meilleurs délais. Quel que soit le délai applicable au cas d’espèce, il est primordial de tenir informée la personne concernée des démarches mises en œuvre et ce, dans un délai d’un mois maximum. Quant au délai de traitement et de réponse, l’entreprise dispose :

• d’un mois maximum si la demande est simple ;
• de 8 jours maximum si la demande est particulière (santé) ;
• de 3 mois maximum si la demande est complexe.

Le terme « réponse » se comprend à la fois comme la réponse faite à l’utilisateur mais également la satisfaction de sa demande par des actes qui varient selon le droit exercé (envoie des données demandées, suppression ou rectification de données…).

A noter : par principe aucun paiement ne peut être exigé pour répondre aux demandes des utilisateurs qui veulent exercer leurs droits. Par exception, il est possible de demander des « frais raisonnables basés sur les coûts administratifs supportés » si les demandes sont excessives ou infondées notamment par leur
caractère répétitif. Il conviendra toutefois de justifier cette décision.

6 - S’il y a un retard dans la réponse, il est nécessaire d’informer la personne concernée

Un utilisateur qui n’obtient pas de réponse ou une réponse incomplète peut déposer une plainte à la CNIL. Toutefois, l’entreprise peut également refuser de donner suite à la demande dans des conditions précises et doit les indiquer à l’utilisateur.

C’est pourquoi, il est important de garder une trace matérielle de ces échanges avec les utilisateurs. En cas de contentieux ou contrôle de la CNIL, l’entreprise qui traite des données personnelles pourrait être dans l’obligation de prouver qu’elle a effectivement répondu aux demandes adressées.

Connaître la base légale du traitement de données personnelles

A noter que les droits des utilisateurs varient selon la base légale de traitement des données. Il faut donc distinguer les différents traitements de données que vous effectuez selon leur base légale.

Le consentement

Dans la plupart des cas, le traitement de données personnelles aura pour fondement le consentement des utilisateurs. Il s’agit par exemple des cas où vous récoltez des données via des cookies sur l’identité des utilisateurs ou sur leurs préférences, afin de mieux connaître vos potentiels clients ou dans le cas de prospections commerciales. Dans tous les cas, le consentement de l’utilisateur doit être libre, spécifique, éclairé, équivoque et conforme au RGPD.

A noter que dans le cas où le traitement a pour fondement le consentement de l’utilisateur, ce dernier doit être en mesure de pouvoir le retirer à tout moment et de manière simple. Il est donc nécessaire de l’en informer au préalable et de lui donner la possibilité de le faire.

Par exemple, si un utilisateur donne son consentement pour l’utilisation de cookies de personnalisation, il peut retirer ce consentement. L’entreprise devra cesser les activités de traitement en question et supprimer les données collectées, si leur traitement n’est pas justifié par une autre base légale.

Le contrat

Il est également possible que votre traitement soit nécessaire à l’exécution ou à la préparation d’un contrat. Dans ce cas, la personne dont vous traitez les données est votre cocontractant.

C’est par exemple le cas si vous êtes une entreprise de e-commerce. Un client procède à des achats en ligne, paie par carte bancaire et souhaite se faire livrer les produits qu’il a achetés. Vous recevez donc des données personnelles relatives à son identité, son adresse de livraison, mais aussi des données bancaires et des informations sur ses achats. Le traitement de ces données vise uniquement l’exécution du contrat de vente conclu avec la personne concernée et a pour base légale le contrat.

Les autres bases légales

Dans d’autres cas, la base légale d’un traitement peut également être : l’obligation légale, la mission d’intérêt public, l’intérêt légitime ou encore la sauvegarde des intérêts vitaux.

Pour plus d’informations, vous pouvez consulter les ressources de la CNIL :

• Comprendre le RGPD - Les bases légales
• Conformité RGPD : comment recueillir le consentement des personnes
• Prendre en compte les bases légales dans l’implémentation technique
• La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
• Les droits pour maîtriser vos données personnelles !

Respecter les règles spécifiques relatives à chacun des droits des utilisateurs

Voici quelques règles spécifiques relatives à chacun des droits des utilisateurs :

Droit d’information

Les utilisateurs doivent recevoir un certain nombre d’informations. Ces informations doivent être accessibles et font parties des mentions légales qui sont obligatoirement présentes sur votre site internet. Les informations doivent également être concises et lisibles afin qu’elles puissent être comprises par tous.

Le site internet doit fournir l’ensemble des informations relatives au traitement des données personnelles :

• les données collectées ;
• la base légale ;
• les finalités de la collecte ;
• l’existence ou non de transferts de données ;
• les destinataires des données.

L’utilisateur doit être correctement informé des droits qu’il a sur ses données. Comme expliqué ci-dessus, l’entreprise doit lui permettre d’exercer ces droits en désignant la personne qui s’occupe des demandes liées à la protection des données (généralement le responsable de traitement ou le DPO de l’entreprise) et en indiquant la manière dont il est possible de la contacter.

Pour en savoir plus :

• Quelles sont les mentions légales pour un site internet professionnel ?

Droit d’accès aux données

Le droit d’accès est le droit de l’utilisateur de demander à l’entreprise de lui faire communication, dans un format compréhensible, de l’ensemble des données qu’elle a collecté sur lui.

Exercer ce droit permet à l’utilisateur de savoir quelles données personnelles sont traitées par l’entreprise, de quelle manière, et d’en contrôler l’exactitude. Si besoin, il pourra les rectifier ou demander à ce que l’entreprise les efface.

Les données concernées

Lorsqu’une demande de droit d’accès est formulée, l’entreprise envoie les données personnelles de la personne qui les demande, ainsi que les informations suivantes :

• les finalités du traitement ;
• les catégories de données concernées ;
• les destinataires ou catégories de destinataires des données ;
• la durée de conservation des données, lorsque cela est possible ;
• l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données, mais aussi une limitation ou l’opposition au traitement ;
• la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ;
• l’existence ou non d’une prise de décision automatisée (profilage) ;
• l’existence ou non d’un transfert hors UE et les garanties apportées.

Pour plus d’informations :

• Article 15 du Règlement général sur la protection des données (Cnil.fr)
• Le droit d'accès : connaître les données qu’un organisme détient sur vous (Cnil.fr)

Droit de rectification

Un utilisateur peut demander la rectification des informations inexactes ou incomplètes.

Cette demande de rectification peut intervenir par exemple quand l’utilisateur se rend compte d’une erreur lorsqu’il a transmis ses données à l’entreprise, ou à la suite de l’exercice de son droit d’accès.

Le responsable de traitement doit notifier à chaque destinataire auquel les données personnelles ont été communiquées toute rectification des données.

Pour plus d’informations :

• Article 16 du RGPD (Cnil.fr)
• Article 19 du RGPD (Cnil.fr)
• Le droit de rectification : corriger vos informations (Cnil.fr)

Droit de portabilité

Le droit de la portabilité est le droit des utilisateurs de récupérer une partie de ses données dans un format lisible par une machine, et de les réutiliser à d’autres fins.

La portabilité permet aux utilisateurs de réutiliser des données qu’ils ont déjà fournis à un opérateur/ une entreprise généralement pour les transmettre à un autre organisme. Cela lui évite de redonner toutes les informations à nouveau. L’utilisateur peut également demander ces données pour un usage strictement personnel.

Quelles données sont concernées ?

L’exercice de ce droit porte uniquement sur les données dont la base légale est le consentement ou le contrat. Il peut s’agir des données qu’un utilisateur a transmis (coordonnées…), mais également des données issues de son activité (historique d’achat, préférences et personnalisation de services…).

En revanche, la portabilité ne s’applique pas aux données dont le traitement se fonde sur une autre base légale.

Quel format de données ?

Les données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine ». Donc, il s’agit d’un format lisible, de préférence ouvert et interopérable (qui peut être lu par un autre système). Il s’agit par exemple des formats JSON (.json) ou CSV (.csv).

Pour plus d’informations :

• Le droit à la portabilité : obtenir et réutiliser une copie de vos données (Cnil.fr)
• Article 20 RGPD (Cnil.fr)

Droit d’opposition au traitement de données

Le droit d’opposition permet aux personnes concernées de s’opposer à un traitement précis de données personnelles.

A noter : c’est un droit qui peut être difficile à exercer par les utilisateurs car il ne s’applique pas à toutes les données personnelles collectées par l’entreprise et doit être justifié par des raisons « tenant à sa situation particulière », sauf lorsque celui-ci porte sur de la prospection commerciale.

Quelles données sont concernées ?

Le droit d’opposition ne peut pas être exercé pour tous les traitements de données personnelles. La demande d’opposition concerne généralement la prospection commerciale.

Dans les cas où les données collectées ont pour base légale consentement, l’utilisateur doit retirer son consentement pour le traitement en cause et non s’opposer au traitement des données.

Vous pouvez refuser une demande d’opposition dans les situations suivantes :

• les données collectées ont pour base légale un contrat. L’utilisateur devra attendre la rupture du contrat qui est à l’origine du traitement de ses données personnelles ;
• il existe des motifs légitimes et impérieux à traiter ces données (intérêt légitime) ;
• le traitement a pour fondement une mission d’intérêt public, une obligation légale ou la sauvegarde des intérêts vitaux.

Pour plus d’informations :

• Le droit d'opposition : refuser l’utilisation de vos données (Cnil.fr)
• Article 21 du RGPD (Cnil.fr)

Droit à la limitation du traitement

Les utilisateurs peuvent demander de geler temporairement l’utilisation de certaines données personnelles. L’exercice de ce droit peut s’avérer particulièrement utile lorsque l’utilisateur conteste l’exactitude des données ou s’oppose au traitement.

Dans ce cas, il peut demander de geler temporairement l’utilisation des données, dans l’attente d’une réponse à sa demande. Donc, l’entreprise pourra conserver ces données mais ne pourra  pas réaliser de traitements sur ces données gelées.  

Les limites du droit de limitation de traitement

Les données gelées peuvent toutefois être utilisées dans les situations suivantes :

• l’utilisateur a donné son consentement au traitement. Dans ce cas, il doit retirer son consentement et non pas demander la limitation du traitement
• pour la constatation, l’exercice ou la défense de droits en justice ;
• pour la protection des droits d’une personne physique ou morale ;
• pour des motifs importants d’intérêt public de l’Union ou d’un Etat membre.

Pour plus d’informations :

• Le droit à la limitation du traitement : geler l’utilisation de vos données (Cnil.fr)
• Article 18 du RGPD (Cnil.fr)

Droit d’effacement des données

Il s’agit du droit d’un utilisateur à demander l’effacement de données qui le concernent. Il peut l'exercer lorsque :

• ses données sont utilisées à des fins de prospection commerciale ;
• ses données ne sont plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
• l’utilisateur retire son consentement dans le cas où le base légale est le  consentement ;
• l’utilisateur considère que les données font l’objet d’un traitement illicite ou elles ont été collectées alors qu’il était mineur ;
• les données doivent être effacées pour respecter une obligation légale ;
• l’utilisateur s’est opposé au traitement des données et qu’il a pu exercer cette demande.

Limites au droit à l’effacement

Vous pouvez écarter le droit à l’effacement lorsqu’il va à l’encontre de :

• l’exercice du droit à la liberté d’expression et d’information ;
• du respect d’une obligation légale ;
• de l’utilisation de vos données s’il y a intérêt public à conserver les données (par exemple dans le domaine de santé) ;
• de leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
• de la constatation, de l’exercice ou de la défense de droits en justice.

Pour plus d’informations :

• Le droit à l’effacement : supprimer vos données en ligne (Cnil.fr)
• L’article 17 du RGPD (Cnil.fr)

Être conforme au RGPD : diagnostics et accompagnements

Respecter la vie privée, par où commencer ? La check-list pour les TPE / PME

Pour savoir où vous en êtes en matière de respect des données personnelles, complétez cette check-list de 4 pages, créée spécialement pour les TPE / PME.

• Respecter la vie privée, par où commencer ? La check-list pour les TPE / PME (4 pages, en PDF)

Évaluer sa conformité au RGPD

Un certain nombre de diagnostics en ligne existent pour vous aider à identifier d'éventuels problèmes de conformité au RGPD :

• Êtes-vous « RGPD friendly » ?
• EvalRGPD : Evaluez la conformité RGPD de votre entreprise
• Autodiagnostic RGPD : votre TPE-PME est-elle en conformité ?

Passer à l'action

La Cnil fait le point sur les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données :

• RGPD : par où commencer

En savoir plus

• Comment appliquer le RGPD pour son entreprise
• RGPD : Comment se mettre en conformité ? Mode d'emploi par la CNIL et Bpifrance
• Comment se former au RGPD
• Guide de la sécurité des données personnelles de la Cnil : la référence pour les professionnels
• Obligations en matière de protection des données personnelles