DONNÉES À CARACTÈRE PERSONNEL : LES ACTEURS DE LA GOUVERNANCE

La bonne gouvernance des données est essentielle pour leur utilisation optimale à l’ère du numérique. Plusieurs acteurs sont cités par la loi n°2017-20 du 20 avril 2018 portant Code du Numérique pour prendre part à cette administration des données.

Personnes concernées, responsable de traitement et co-responsable de traitement, destinataire, sous-traitant, délégué à la protection des données à caractères personnel, l’Autorité de Protection des Données à caractère Personnel, tous sont sollicités pour une gestion des données conforme aux régimes de protection des données.

La personne concernée est particulièrement actrice et sujette.

Qui est la « personne concernée » ?

La personne concernée est l’individu identifiable, directement ou indirectement, à partir de ses données personnelles. Ces données peuvent inclure un nom, un numéro d’identification, des informations de localisation, des caractéristiques physiques, physiologiques, génétiques, psychiques, économiques, culturelles ou sociales.

En somme, il s’agit de la personne dont les informations personnelles sont collectées et traitées. Par exemple, un client dont les données sont recueillies par un vendeur lors d’un achat, ou un candidat à un emploi dont les informations sont collectées via une candidature en ligne.

Personne concernée : quelle contribution ?

En tant que sujette des traitements de données, la personne concernée doit être en mesure de tenir son rang. Pour cela, le responsable de traitement doit démontrer un certain respect vis-à-vis d’elle. En matière de traitement de données, ce respect est démontré à travers la demande préalable du consentement de la personne qui fera l’objet du traitement.

Le consentement au traitement des données personnelles constitue un élément fondamental de la protection des données. Il s’agit de l’accord libre, éclairé et spécifique que doit donner un individu pour que ses données personnelles soient collectées, traitées et/ou utilisées. En principe, le consentement au traitement des données personnelles ne peut être donné que par une personne suffisamment informée et consciente de l’opération dont elle va faire l’objet.

En effet, le corollaire naturel de la demande de consentement de la personne concernée est le respect de l’obligation d’information à la charge du responsable de traitement. L’article 415 du Code du numérique oblige effectivement ce dernier à mettre la personne concernée en mesure de disposer d’éléments suffisants pouvant lui garantir un choix en connaissance de cause. En pratique, le responsable de traitement satisfait à cette obligation à travers les Conditions Générales d’utilisation/de service ou de vente, la politique de confidentialité ou toute autre mentions légales.

C’est ici que la personne concernée est responsabilisée. Il lui revient de prendre connaissance de cette information avant de donner son consentement. C’est la préconisation ultime pour qu’elle puisse garder le contrôle sur ses données et ainsi participer activement à une bonne gouvernance des données.

Les droits de la personne concernée

En plus de son rôle actif, la personne concernée dispose de droits spécifiques en matière de protection des données. Ces droits incluent :

  • Le droit d’accès : La personne concernée a le droit de savoir si ses données personnelles sont traitées, et, si c’est le cas, d’accéder à ces données ainsi qu’aux informations concernant les finalités du traitement, les catégories de données collectées, les destinataires ou catégories de destinataires des données, et la durée de conservation prévue. Ce droit permet également d’obtenir une copie des données personnelles en cours de traitement.
  • Le droit de rectification : Ce droit permet à la personne concernée de demander la correction de ses données personnelles si elles sont inexactes, incomplètes ou obsolètes. Le responsable de traitement est alors tenu d’apporter les modifications nécessaires pour garantir l’exactitude des informations.
  • Le droit à l’effacement (droit à l’oubli) : La personne concernée peut exiger l’effacement de ses données personnelles dans certaines circonstances, par exemple si les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, si le consentement a été retiré, ou encore si le traitement est illicite. Le droit à l’oubli vise à renforcer le contrôle des individus sur leurs informations personnelles.
  • Le droit à la limitation du traitement : La personne concernée peut demander à ce que ses données ne fassent plus l’objet de traitement actif, tout en étant conservées. Ce droit s’applique, entre autres, lorsque l’exactitude des données est contestée ou lorsque le traitement est illicite mais que la personne concernée s’oppose à l’effacement des données.
  • Le droit à la portabilité des données : Ce droit permet à la personne concernée de recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Il s’agit d’un droit qui s’applique lorsque le traitement est fondé sur le consentement ou un contrat et qu’il est effectué à l’aide de moyens automatisés.
  • Le droit d’opposition : La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données personnelles, notamment lorsque le traitement est fondé sur l’intérêt légitime du responsable de traitement ou sur une mission d’intérêt public. En cas d’opposition, le responsable de traitement doit cesser le traitement, sauf s’il peut démontrer des motifs légitimes impérieux qui prévalent sur les droits et libertés de la personne concernée.
  • Le droit de ne pas faire l’objet d’une décision automatisée : Ce droit protège la personne concernée contre les décisions qui sont prises exclusivement sur la base d’un traitement automatisé, y compris le profilage, et qui produisent des effets juridiques la concernant ou l’affectent de manière significative. Elle a le droit de demander une intervention humaine dans ce type de processus décisionnel.
  • Le droit d’être informé en cas de violation de données : Si une violation des données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée se produit, le responsable de traitement a l’obligation d’en informer sans délai la personne concernée, en lui communiquant la nature de la violation ainsi que les mesures prises ou à prendre pour en atténuer les effets.

En résumé, la personne concernée bénéficie de plusieurs droits spécifiques garantis par le Code du Numérique. Toutefois, il incombe au responsable de traitement de garantir le respect et la mise en œuvre effective de ces droits.

Que retenir sur la personne concernée ?

La personne concernée est un acteur important dans la gouvernance des données à caractère personnel. Identifiable à travers ses données, elle bénéficie de droits que le responsable de traitement doit respecter. Ce dernier a la responsabilité de l’informer de manière adéquate avant tout traitement, afin que la personne concernée puisse donner un consentement éclairé et exercer ses droits en toute transparence.


GBESSEMEHLAN Arnaud

× Puis-je vous aider ?