Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Données personnelles

Comment gérer les droits des agents et des administrés en matière de données personnelles en 7 étapes

Publié le 28/03/2018 • Par Auteur associé • dans : France, Toute l'actu RH, Tribune

donnees-personnelles-une
LaGazette.fr - M. Gobert
Les collectivités territoriales constituent des responsables de traitements de données personnelles au sens du règlement général sur la protection des données (RGPD). A compter du 25 mai 2018, les dispositions du RGPD, qui imposent une protection accrue des données personnelles, entreront en vigueur. Les responsables de traitements doivent organiser l'exercice par les personnes concernées (administrés, agents…) de leurs droits sur les données.

Élisa Corazza et Yvon Goutal

Avocats, cabinet Goutal, Alibert et associés

Connaître le socle complété des droits des personnes

La loi « informatique et libertés » a consacré le principe de la maîtrise par les personnes concernées de leurs données personnelles, qui se trouve consolidé par les dispositions du règlement général sur la protection des données (RGPD). Il se traduit, au premier chef, par la subordination de la mise en œuvre du traitement au consentement de la personne intéressée (1).

Cependant, les administrations sont, en général, exonérées de l’obligation de recueil du consentement, celle-ci ne trouvant pas à s’appliquer lorsque le traitement de données à caractère personnel a pour objet le respect d’une obligation légale incombant au responsable du traitement (2) (par exemple, tenue des registres de l’état civil) ou l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement (3).

En outre, les administrations responsables de traitements sont soumises à une obligation d’information renforcée par le RGPD (4), et les administrés ou agents peuvent corrélativement exercer auprès d’elles un certain nombre de droits : accéder à leurs données et en obtenir une copie (5), les rectifier (6), s’opposer à leur utilisation (7) et le droit à l’oubli (8).

A cet arsenal, le RGPD est venu ajouter le droit à la portabilité (9), qui ne concerne cependant pas les traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Réviser les mentions d’information obligatoires

Le RGPD vient renforcer et préciser l’obligation d’information spontanée mise à la charge des responsables de traitements (RT) à l’égard des personnes concernées. Concrètement, il impose une – modeste – mise en conformité des mentions d’information déjà requises. La liste des informations à fournir obligatoirement n’est pas significativement différente de celle figurant actuellement dans l’article 32 de la loi « informatique et libertés ».

Il conviendra essentiellement d’y ajouter : les coordonnées du délégué à la protection des données, la base juridique précise du traitement, l’information sur les nouveaux droits introduits par le RGPD et leurs modalités d’exercice (droit à l’oubli notamment).

Doit également figurer parmi ces informations l’éventuelle existence d’une prise de décision automatisée, voire d’un profilage, sur la base des informations recueillies ; les collectivités pourront s’inspirer sur ce point des mentions obligatoires prévues pour les décisions individuelles prises sur le fondement d’un traitement algorithmique (art. R.311-3-1-1, code des relations entre le public et l’administration).

La liste reste légèrement différente selon que les informations à fournir sont collectées auprès de la personne concernée ou non ((Art. 13 et 14, ibid.)) ; dans ce dernier cas devra être ajoutée la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.

Mettre à disposition des informations obligatoires

Sur la forme, le RGPD exige des RT la mise à disposition d’une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (10).

Il précise, quant aux modalités de fourniture de ces informations, qu’elle est naturellement gratuite et peut avoir lieu par écrit (mention sur le questionnaire de collecte, remise préalable d’un document, envoi d’un courrier ou courriel, affichage), mais pas exclusivement. La communication orale, à la demande de la personne concernée, est même autorisée, à condition que son identité soit vérifiable.

Au regard de ces éléments, on recommandera, de manière générale, une communication écrite de façon à se ménager la preuve du respect de l’obligation. Quant au moment de la communication, il reste préalable ou, à tout le moins, concomitant à l’obtention, s’agissant des collectes de données opérées directement auprès de la personne concernée.

Lorsque les informations n’ont pas été collectées auprès de la personne concernée, l’information doit être communiquée dès la première communication à la personne intéressée ou à un tiers et, en tout état, dans le mois qui suit l’obtention des données à caractère personnel.

Réévaluer les procédures d’exercice des droits de la personne concernée

En principe, les collectivités ont déjà, dans le cadre de la loi « informatique et libertés », mis en place des procédures internes de traitement des demandes des personnes concernées. L’entrée en vigueur du RGPD constitue l’occasion d’évaluer et d’adapter ces procédures.

Le RGPD pose les règles minimales devant dans tous les cas s’appliquer (y compris pour le droit à l’oubli et d’opposition). Il convient, d’abord, de faciliter l’exercice des droits de la personne concernée (rappel des droits et explication de la procédure sur le site internet).

Il est recommandé de s’assurer, a minima, de l’identité de la personne physique présentant la demande (engagement sur l’honneur et rappel des peines encourues en cas de fraude). La collectivité doit ensuite répondre gratuitement dans les meilleurs délais et, au maximum, un mois (qui peut être prolongé jusqu’à trois mois en fonction de la complexité et de l’ampleur de la demande) après réception de la demande. La voie électronique sera privilégiée, sauf requête spécifique contraire de la personne intéressée.

Lorsque l’administration n’entend pas donner suite à la demande, elle doit également en informer le demandeur de manière motivée dans un délai d’un mois, et lui indiquer qu’il peut former une réclamation auprès de la Commission nationale de l’informatique et des libertés (Cnil) et un recours juridictionnel.

Mettre à jour les procédures d’accès et de modification

Dans le cadre du droit d’accès, la collectivité doit disposer de procédures prévoyant les modalités d’accueil et de traitement, d’une part, des demandes d’informations et, d’autre part, des demandes de copie des données à caractère personnel.

La personne concernée peut en effet obtenir du RT la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaires (finalités du traitement, catégories de données, destinataires, durée de conservation, droits de rectification, d’effacement, de limitation et d’opposition, droit d’introduire une demande auprès de la Cnil, source des données, le cas échéant, existence d’une prise de décision automatisée). Ce droit d’accès comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.

S’agissant de la forme et de la transmission de cette copie, le RGPD semble favoriser la forme électronique par défaut ; toutefois, si une personne sollicite une copie sous forme papier, la collectivité est tenue de lui en délivrer une à titre gratuit.

La personne concernée disposant également du droit de rectification des informations inexactes et de complément des informations incomplètes, la procédure correspondante doit également être prévue et formalisée. Il est conseillé dans cette dernière hypothèse d’établir un formulaire de déclaration complémentaire (11). Dans tous les cas, il convient de garder une preuve de la modification à laquelle il a été procédé.

Appliquer pleinement le droit à l’effacement

Contenu en germe dans la loi « informatique et libertés », le droit à l’effacement (« droit à l’oubli ») est pleinement consacré et précisé par le RGPD.

La personne concernée a le droit d’obtenir du RT l’effacement de ses données pour l’un des motifs suivants (concernant les traitements opérés par les administrations) :

  • les données ne sont plus nécessaires au regard des finalités du traitement ;
  • elles ont fait l’objet d’un traitement illicite ;
  • elles doivent être effacées pour respecter une obligation légale.

Un autre motif peut être invoqué, qui consiste dans l’exercice du droit d’opposition au traitement.

Cependant, encore convient-il que ce droit soit invocable. Si les données de la personne concernée ont été transmises à d’autres entités, le mécanisme du « droit à l’oubli » s’enclenche : le RT devra prendre toutes les mesures raisonnables pour informer les autres entités que la personne a demandé l’effacement de tout lien vers ses données personnelles, ou de toute copie ou reproduction de celles-ci.

Connaître le champ d’application du droit d’opposition

Le droit d’opposition consiste pour une personne à pouvoir s’opposer à tout moment, à un traitement des données à caractère personnel l’impliquant. Il entraîne, en principe, l’obligation pour le RT de stopper le traitement des données à caractère personnel en cause, sauf à démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de cette personne, ou pour la constatation, l’exercice ou la défense de droits en justice.

Les collectivités territoriales sont concernées par l’exercice du droit d’opposition en tant qu’il s’applique aux traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le RT.

En revanche, il ne recouvre pas les traitements nécessaires au respect d’une obligation légale à laquelle l’administration pourrait être soumise. Ce droit doit être notifié, au plus tard, au moment de la première communication avec la personne intéressée et doit être présenté clairement et séparément de toute autre information.

Cet article fait partie du Dossier

Données personnelles : un gisement sous haute protection

Sommaire du dossier

  1. Données personnelles : ce que dit la (nouvelle) loi française
  2. Protection des données personnelles: une responsabilité des collectivités très encadrée
  3. Point complet sur le règlement européen relatif aux données personnelles
  4. Données personnelles : appliquer la nouvelle réglementation en six étapes clés
  5. Données personnelles : un délégué externalisé, la solution pour bon nombre de collectivités
  6. RGPD : les RH doivent s’interroger sur le traitement des données de leurs agents
  7. « Le self data permet au citoyen d’améliorer son quotidien »
  8. Données personnelles et commande publique : de nouvelles clauses contractuelles à prévoir
  9. RGPD : protéger les données à caractère personnel dès la conception des traitements
  10. Mise en œuvre du RGPD : comment documenter sa conformité
  11. Réaliser une analyse d’impact pour protéger les données en cinq étapes
  12. Désigner un délégué à la protection des données au sein de sa collectivité en 6 étapes
  13. Plus que quatre mois pour désigner son délégué à la protection des données personnelles
  14. Comment gérer les droits des agents et des administrés en matière de données personnelles en 7 étapes
  15. Données personnelles : la mise en conformité n’attend plus
  16. Données personnelles : 5 règles à respecter pour protéger les citoyens
  17. Données à caractère personnel : « Les citoyens demandent des règles claires et précises »
  18. Améliorer les services, mieux cibler les politiques publiques, avec les données personnelles
  19. Charente-Maritime : les agents sensibilisés à la protection des données à caractère personnel
  20. Les données personnelles, une denrée sous-utilisée par les collectivités
Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Comment gérer les droits des agents et des administrés en matière de données personnelles en 7 étapes

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X