Exemples concernant les personnes majeures

1.       Droit à l'information

Madame Los déménage à l'étranger. Elle appelle le service public des aides au logement pour supprimer ses aides mensuelles. L'employé lui demande par téléphone son nouveau numéro de téléphone et son adresse à l'étranger. Madame Los s'étonne et demande pour quelle raison l'employé a besoin de ces informations, sachant qu'elle reste joignable par e-mail. L'employé ne peut pas la renseigner et répond qu'il a eu comme instruction de remplir un certain formulaire.

Madame Los peut-elle refuser ces informations ?

Oui. Si les informations sont justifiées pour le traitement de la demande, chaque responsable du traitement doit impérativement informer la personne concernée au moment de la collecte des données,  en particulier en ce qui concerne la base juridique et les fins de la collecte –  et cela potentiellement à l'oral. Cette information est censée être communiquée de manière spontanée et sur demande.

Madame Los peut sans problème refuser de donner sa nouvelle adresse et son nouveau numéro de téléphone tant que l'employé ne peut pas lui fournir plus de renseignements sur les fins ou la base juridique de la collecte des données.

2.       Droit d'accès

Monsieur Lee et Madame Dick se voient régulièrement. Ils sont tous les deux sur la même longueur d'onde et peuvent tout se raconter. Lors d'un brunch, Madame Dick raconte qu'elle a récemment profité de son droit d'accès dans un studio de fitness, qu'elle fréquente régulièrement, pour montrer à ses élèves l'ampleur du Big Data. Quelques jours plus tard, explique-t-elle, elle aurait reçu une lettre avec une liste de toutes ses informations personnelles. Cette lettre indiquait les fins, la durée de l'utilisation des données et de nombreuses autres informations.

Monsieur Lee est impressionné et se demande s'il peut faire la même chose avec ses données auprès du géant Amazon.

De manière générale, chaque personne concernée jouit du droit d'accès.

Cependant, le règlement précise que la personne concernée, en cas de traitement de grande quantité de ses données personnelles, doit indiquer sur quelles données ou sur quelle utilisation de données sa demande se rapporte.

Ce sera sûrement le cas avec Amazon qui traite un énorme volume de données. Monsieur Lee peut faire une demande générale, comme l'a fait Madame Dick, mais il ferait mieux de demander une information spécifique s'il souhaite avoir des renseignements précis. De manière générale,  chacun, à tout moment et sans conditions, peut faire une demande générale. Cependant, le responsable du traitement (dans ce cas Amazon) n'est  obligéde fournir que les données conformes au RGPD.

3.       Exercice des droits #1 : abus

Madame Schmidt a entendu parler du nouveau règlement et du droit d'obtenir une copie gratuite de ses données personnelles. Pour elle, c'est l'occasion de jouer un mauvais tour à sa concurrente et ancienne employée de son institut de beauté, Madame Reiter. Cette dernière vient d'ouvrir, non pas loin de chez elle, son propre institut. Madame Schmidt manigance donc un plan diabolique : elle demande à ses amies de prendre rendez-vous dans ledit institut de beauté et de dévoiler beaucoup d'informations personnelles. Lorsque la concurrente disposera d’assez d'informations, ses amies devront toutes plusieurs fois par semaine exercer leur droit d'accès et demander une copie de leurs données.

Le plan de Madame Schmidt réussira-t-il ?

Non. Afin d'éviter de tels abus, le règlement prévoit que la personne concernée ne doit pas exercer ses droits de manière excessive.

Cela signifie que Madame Reiter peut exiger des frais de gestion dès la deuxième demande.

4.       Exercice des droits #2 : frais et durée

Monsieur Lazy a créé sa propre entreprise et est aujourd'hui connu dans le monde entier. Il est très fier de ses succès et est d'autant plus contrarié de devoir réorganiser son business en raison du règlement. Après avoir fait appel à un conseiller juridique, il décide d'adapter les dispositions du règlement à sa guise.

A l'autre bout du monde, Monsieur Pingel souhaite exercer son droit à l'effacement et s'opposer à son accord de l'utilisation de ses données. Pour cela, il envoie un e-mail soigneusement rédigé à l'entreprise de Monsieur Lazy. Quelques semaines plus tard, il reçoit une brève réponse, expliquant que l'entreprise traitera sa demande dans les mois à venir. En attendant, l'entreprise recommande également à Monsieur Pingel de bloquer l'utilisation de ses données contre la modique somme de 89€.

Monsieur Pingel est scandalisé par cette somme. Tout en jurant, il vire les 89€ sur le compte bancaire dont le numéro est indiqué dans le courrier.

Monsieur Lazy n'aurait-il pas mieux fait d'écouter le conseiller juridique ?

Évidemment.

D'une part, tous les droits doivent être exercés gratuitement ! Le droit d'opposition de Monsieur Pingel ne doit donc pas dépendre du paiement d'une somme d'argent ou d'un autre avantage. Il devrait informer l'entreprise de ses obligations et essayer d'exiger le remboursement de la somme. S'il n'y parvient pas, il devrait déposer une réclamation auprès de la CNPD (Commission Nationale pour la Protection des Données).

D'autre part, le responsable doit répondre à la demande dans les meilleurs délais. Ce délai correspond plutôt à quelques jours ou semaines et non pas à plusieurs mois.

Monsieur Lazy devrait repenser au plus vite son système pour le mettre en conformité avec les normes européennes.

5.       Droit de rectification

Il y a peu, Madame Klein a divorcé de son mari. Comme elle ne souhaite garder aucun souvenir de ce mariage, elle décide de renoncer au nom de son ex-mari et de reprendre son nom de jeune fille ("Gross").

Quelque temps plus tard, elle reçoit une invitation pour l'assemblée générale d'une association dont elle est membre. Cependant, l'invitation est adressée à une certaine Madame Klein. Elle appelle la secrétaire pour confirmer sa présence et profite de l'occasion pour faire changer son nom dans les dossiers. La secrétaire lui répond qu'elle ne peut malheureusement pas donner suite à sa demande puisque cela impliquerait un effort disproportionné.

Madame Gross peut-elle faire modifier son nom ?

Oui. La secrétaire confond deux dispositions. D'une part, de manière générale, la personne concernée a toujours le droit de faire corriger ses données,car les données doivent toujours être exactes et actuelles. D'autre part, le responsable du traitement a l'obligation de toujours garder les données exactes et actuelles.

Raison pour laquelle la secrétaire doit  donner suite à la demande de Madame Gross.

6.       Droit au déréférencement

Après de nombreuses années en tant que femme au foyer, Madame Rosig cherche du travail. Avant de répondre à une annonce, elle "google" pour savoir quelles informations d'elles circulent sur le net. Elle trouve rapidement : une vidéo pornographique d'il y a très longtemps.

Choquée de savoir que la vidéo est aussi facile à trouver, elle demande conseil à son frère pour que son futur employeur ne trouve pas cette vidéo.

Son frère a travaillé longtemps chez Google et sait ce qui reste à faire. Il conseille à sa sœur de s'adresser via les formulaires en ligne à l'entreprise et de demander un déréférencement de la vidéo. Si son futur employeur entre  son nom et prénom dans le moteur de recherche, la vidéo ne sera  plus affichée dans les résultats.

Cependant, en ce qui concerne ce déréférencement, il faut savoir : il ne concerne pas une recherche, pour laquelle on saisit outre le nom et le prénom un ou plusieurs autres mots.

7.       Droit à l'effacement #1

Madame Karre est bénévole dans une association pour la promotion des transports publics et était d'accord que son adresse e-mail et son numéro de téléphone privés soient indiqués sur le site Web de l'association. Pour son 50e anniversaire, son mari lui offre une voiture électronique flambant neuve. Conduire sa nouvelle voiture lui fait tellement plaisir qu'elle décide de ne plus jamais mettre les pieds dans un train. Elle participe de moins en moins aux activités de l'association.

Un jour, elle reçoit un appel sur son téléphone privé pour savoir si elle souhaite représenter l'association au Festival de l'automobile de cette année. Elle est contrainte, car elle a dû s'arrêter en voiture pour répondre à cet appel. Elle explique à son correspondant qu'elle souhaite se retirer de l'association et qu'elle ne veut plus être contactée à son numéro de téléphone.

Comment Madame Karre peut-elle éviter d'être appelée ?

Puisque Madame Karre a donné son accord pour l'utilisation (ici : publication) de ses données, elle peut profiter de son droit à l'effacement, en faisant opposition à l'autorisation de publication de ses données.

           Droit à l'effacement #2

Monsieur Pixel est membre des "Médecins sans frontières" et a récemment renouvelé son passeport. Pour cela, il a envoyé à la mairie de son lieu de résidence une nouvelle photo d'identité. La mairie se charge de transmettre la photo au Bureau des passeports, visas et légalisations.

Quelques mois plus tard, Monsieur Pixel, ainsi que tous les autres habitants de la commune, reçoit le "Bulletin communal" annuel. En prenant son petit-déjeuner, il feuillette le magazine jusqu'à ce qu'il tombe sur sa propre photo sous un article sur les personnes méritantes. Cependant, Monsieur Pixel n'a jamais donné son consentement pour que cette photo soit utilisée pour d'autres fins et la mairie est aussi la seule à avoir reçu cette nouvelle photo.

La mairie peut-elle conserver cette photo et l'utiliser à d'autres fins ?

Non. La mairie a reçu cette photo dans le cadre d'un renouvellement de passeport. Elle n'avait pas le droit de la garder plus longtemps que nécessaire pour répondre aux fins initiales, c'est-à-dire transmettre la photo au Bureau des passeports, ou émettre le passeport.

La mairie a certes recueilli les données de manière légale (pour le renouvellement du passeport), elle n'a toutefois pas le droit d'utiliser ces données pour toute autre fin en dehors des fins initiales (conservation et publication dans le bulletin). Monsieur Pixel a donc le droit de demander la suppression des données concernées, à savoir la photo, de la base de données de la mairie.

Comme il s'agit d'une photo, le droit à l'image pourrait également s'appliquer. (pour plus d'informations sur le droit à l'image : fiche d'informations droit à l'image)

8.       Droit à la portabilité des données

Monsieur Oculus n'est pas satisfait de ses lentilles de contact et souhaite changer d'opticien. Pour se simplifier la vie et gagner du temps, il exerce son droit à la portabilité des données. Le fait d'avoir perdu un client à la concurrence ne réjouit guère l'opticien. Il sait qu'il ne peut pas refuser ce droit à Monsieur Oculus, mais il décide de mettre des bâtons dans les roues de son concurrent.

Ainsi, ne se doutant de rien, Monsieur Oculus se rend chez son nouvel opticien. Lorsque Monsieur Oculus lui donne sa clé USB avec ses données, l'opticien fait une drôle de tête. Il ne peut pas ouvrir le document parce qu'il est crypté.

Mécontent de cette perte de temps (l'opticien a dû revérifier sa vue), Monsieur Oculus rentre chez lui.

L'opticien a-t-il respecté ses tâches ?

Non, pas vraiment. L'opticien aurait dû fournir les données dans un format courant et lisible par une machine pour que son concurrent puisse les utiliser.

         Droit d'opposition

Quand tout le monde fait le ménage de printemps, Monsieur Sauber quant à lui décide de faire un "nettoyage numérique". Il commence par supprimer les fichiers inutiles et de ranger son bureau. Pour finir, il s'occupe de sa boîte de réception qui contient beaucoup de courrier indésirable.

Monsieur Sauber voit rapidement le problème : contrairement à un vrai ménage de printemps, il n'a aucun contrôle sur les messages indésirables qui continuent à "polluer" sa boîte de réception.

A-t-il raison ?

Pas tout à fait. Monsieur Sauber ne peut rien faire contre les messages indésirables inconnus, ce qui exclurait à 100 pourcent leur réception. Il peut tout de même se désabonner des newsletters. Car selon le droit d'opposition, chaque responsable du traitement qui envoie des newsletters doit mettre à disposition une fonction simple (p.ex. "Vous ne souhaitez plus recevoir la newsletter ? Cliquez ici !") qui permet de s'opposer facilement à son autorisation.

9.       Droit d'opposition contre une prise de décision automatique

Monsieur Geiz se trouve dans une situation précaire. Il a fait beaucoup d'économies tout au long de sa vie et n'a dépensé aucun centime de trop. Malheureusement, sa banque, qui gère sa fortune, a mis la clé sous la porte et il semble que Monsieur Geiz ne verra plus jamais ses économies. Il recherche donc un nouveau travail et souhaite souscrire à un crédit pour pouvoir vivre les prochains mois.

Comme il a de bonnes notions en informatique, Monsieur Geiz décide de chercher du travail sur Internet. Il tombe sur une plateforme dédiée au recrutement de personnel d'une grande société. Il est invité à entrer ses données personnelles dans les champs correspondants. La plateforme indique ensuite en quelques secondes si l'entreprise est prête à signer un contrat de travail ou pas. Monsieur Geiz tente sa chance, mais en vain. Selon la plateforme, son profil ne correspond à aucun poste vacant.

Désespérément, il s'adresse à une banque pour au moins obtenir un crédit. Le banquier lui demande quelques informations personnelles qu'il saisit dans son système. Malheureusement, là aussi sa demande est refusée car, selon le système, la banque ne peut pas lui accorder le crédit souhaité.

Monsieur Geiz ne sait plus quoi faire, il ne peut même pas s'offrir une consultation juridique.

De manière générale, une personne concernée n'est pas obligée de se soumettre à une prise de décision automatique exclusive qui a des effets juridiques la concernant ou qui l'affecte considérablement. Elle peut exiger à tout moment que la décision soit au moins en partie prise par une personne humaine et contester une telle décision automatique pure si la personne a initialement donné son consentement.

Du fait que les deux décisions affectent considérablement Monsieur Geiz, il peut exiger que l'octroi du crédit et du poste soit contrôlé par la banque ou l'entreprise et qu'il soit justifié par d'autres raisons que par le résultat du système seul.

(Pour information : de telles prises de décision automatiques ne doivent pas, en principe, être basées sur des données sensibles, telles que l'état de santé. Il faut donc faire attention aux plateformes qui demandent des renseignements sur d'éventuelles maladies. Sans oublier que le refus d'un contrat de travail pour des raisons médicales est en général un acte de discrimination.)

10.   Consentement #1 : mise en place du règlement

De toute sa vie, Monsieur Sanssoucis ne s'est jamais intéressé à la protection des données. Avec l'entrée en vigueur du nouveau règlement, il compte rattraper son retard puisqu'il sera de toute façon obligé de donner son consentement pour chaque traitement de données.

A-t-il raison ?

Non. Un consentement qui a été donné avant l'entrée en vigueur du règlement reste valable s'il répond aux nouvelles dispositions, c'est-à-dire si le consentement est libre, spécifique, éclairé et univoque.

Ce n’est que si la collecte ou l’utilisation des données n’a pas été réalisée selon un tel consentement que le responsable du traitement doit demander un nouveau consentement (ce depuis le 25 mai 2018). Il pourra ensuite poursuivre leur traitement ou le justifier à l’aide de l’une des six autres dispositions légales.

11.   Consentement #2 : conditions

Madame Track a téléchargé une application de geocaching. Avant de pouvoir utiliser l'appli, elle doit se frayer un chemin à travers de nombreuses pages d'informations. Elle est enfin invitée à donner son consentement pour l'utilisation des données qui ont été listées sur les pages précédentes. Il y a aussi une petite case qu'elle doit cocher.

Elle se demande si le gérant de l'appli n'aurait pas pu accélérer ce processus.

Le gérant a seulement suivi à la lettre ce que prévoit le règlement. Puisqu'il a choisi le consentement de la personne concernée comme base juridique, ce consentement doit répondre à plusieurs conditions.

-          Il doit être libre. Madame Track doit accepter volontairement l'utilisation de ses données (pour un exemple, voir cas N° 5 en ce qui concerne les mineurs).

-          Il doit être spécifique. Le traitement doit uniquement concerner une ou plusieurs fins précises et indiquées.

-          Il doit être éclairé. Avant le traitement des données, Madame Track doit recevoir des renseignements clairs et complets. C'est d'ailleurs la raison pour laquelle Mme Track ne peut pas sauter les pages d'informations.

-          Il doit être univoque. Cela signifie qu'un acte positif est exigé de Mme Track. C'est elle qui doit cocher la petite case.

Madame Track, ainsi que toutes les autres personnes concernées, devraient pour la protection de leurs données personnelles prendre le temps de vérifier les pages d'informations.

Madame Track, ainsi que toutes les autres personnes concernées, devraient prendre le temps de vérifier les pages d’information pour la protection de leurs données personnelles.

(Pour information : un consentement peut se faire sur du papier traditionnel ou via un média électronique, les deux sont légalement équivalents.)

12.   Minimisation des données

Madame Fiori est une fidèle cliente d'une parfumerie. Un jour, son amie Canel l'accompagne pour faire du shopping. Cette dernière se laisse également convaincre de prendre une carte de fidélité. Elle prend le formulaire et commence à lire les conditions : elle doit renseigner quelques informations pour que la parfumerie puisse lui envoyer la brochure mensuelle. Elle commence à remplir les champs jusqu'à ce qu'elle s'étonne. La parfumerie souhaite savoir si elle fait du sport. Elle est certes inscrite dans une salle de sport, mais cela fait plusieurs mois qu'elle n'y est plus allée. Son amie lui dit qu'elle n'est pas obligée de remplir cette case, mais la vendeuse insiste.

Que doit faire Canel ?

Selon le principe de la minimisation des données, le responsable du traitement n'a pas le droit de recueillir plus de données que nécessaires pour répondre aux fins initiales. Dans ce cas, la mention « faire du sport » est totalement hors de propos pour faire parvenir aux clients une brochure ( non personnalisée) par mois. Ainsi, la parfumerie n'a pas le droit d’exiger cette information à Canel.

13.   Que se passe-t-il avec les données personnelles après la mort ?

A 85 ans, Monsieur Simon s'intéresse subitement aux nouvelles technologies et crée sa première adresse e-mail. Il s'agit d'une personne méticuleuse qui pense déjà à sa succession. En effet, il a entendu parler qu'il est possible de donner des instructions au responsable du traitement en ce qui concerne le traitement de ses données après la mort.

Est-ce vrai ?

Le nouveau règlement ne s'applique pas aux données personnelles des personnes décédées. Cependant, les États membres sont libres de prévoir de telles dispositions dans leur loi nationale respective.

Il est donc recommandé de prendre soi-même les mesures pour faciliter aux proches la gestion des données personnelles/profils en ligne etc. après sa propre mort et selon ses souhaits. Quelques recommandations sur ce sujet dans cet article.