Perdu au fin fond d'un décret passé inaperçu, le Gouvernement vient d'encadrer l'exercice par un particulier de son droit d'accès, de modification et de rectification des données le concernant. Il fixe également, des règles complémentaires concernant l'obligation d'information incombant aux responsables de traitements.
L'obligation d'information incombant aux responsables de traitements
Le responsable du traitement doit porter directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées au I de l'article 32 de la loi du 6 janvier 1978 sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles.
En application du 6° du I du même article, il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d'opposition, d'accès et de rectification.
Lorsque la collecte des données est opérée oralement à distance, il est donné lecture de ces informations aux intéressés en leur indiquant qu'ils peuvent, sur simple demande, même exprimée oralement, recevoir postérieurement ces informations par écrit.
Ces informations peuvent être communiquées aux intéressés, avec leur accord, par voie électronique. Lorsque les informations sont portées à la connaissance de l'intéressé par voie d'affichage, il lui est indiqué qu'il peut, sur simple demande orale ou écrite, recevoir ces informations sur un support écrit.
Les droits des personnes à l'égard des traitements de données à caractère personnel
Dispositions communes
Les demandes tendant à la mise en oeuvre des droits prévus aux articles 38 à 40 de la loi du 6 janvier 1978, lorsqu'elles sont présentées par écrit au responsable du traitement, sont signées et accompagnées de la photocopie d'un titre d'identité portant la signature du titulaire. Elles précisent l'adresse à laquelle doit parvenir la réponse.
Lorsqu'il existe un doute sur l'adresse indiquée ou sur l'identité du demandeur, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse ou de l'identité du demandeur s'effectuant lors de la délivrance du pli.
Lorsque le responsable du traitement ou, en application des articles 49 et 50, le correspondant à la protection des données n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l'autorité publique, du service ou de l'organisme dont il relève. La demande est transmise immédiatement au responsable du traitement.
Lorsqu'une demande est présentée sur place, l'intéressé justifie par tout moyen de son identité auprès du responsable du traitement. Il peut se faire assister d'un conseil de son choix. La demande peut être également présentée par une personne spécialement mandatée à cet effet par le demandeur, après justification de son mandat, de son identité et de l'identité du mandant. Lorsque la demande ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé.
Les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement en réponse à une demande doivent être explicités, si nécessaire sous la forme d'un lexique.
Le responsable du traitement répond à la demande présentée par l'intéressé dans le délai de deux mois suivant sa réception.
Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration du délai de deux mois. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. La demande de compléments d'information suspend le délai de deux mois.
Sauf lorsque la demande est manifestement abusive, les décisions du responsable du traitement de ne pas donner une suite favorable à la demande qui lui est présentée sont motivées et mentionnent les voies et délais de recours ouverts pour les contester.
Le silence gardé pendant plus de deux mois par le responsable du traitement sur une demande vaut décision de refus.
Ce décret applique ainsi à des acteurs du secteur public et du secteur privé des logiques jusqu'alors de pur droit administratif. Ainsi, des personnes privées devront mentionner dans leurs décisions de refus les voies et délais de recours. De même, le silence gardé par une personne privée sera assimilé à une décision de refus.
On a donc une transposition des logiques de droit public au sein de la sphère privée, ce qui risque de rendre difficile l'application de ce régime.
Dispositions particulières au droit d'opposition
Pour faciliter l'exercice du droit d'opposition, l'intéressé est mis en mesure d'exprimer son choix avant la validation définitive de ses réponses. Ce point laisse entendre que l'internaute devra être mis en mesure d'indiquer son refus de voir ses données être traitées.
Lorsque la collecte des données intervient par voie orale, l'intéressé est mis en mesure d'exercer son droit d'opposition avant la fin de la collecte des données le concernant.
Le responsable du traitement auprès duquel le droit d'opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.
Disposition particulière au droit d'accès direct
La demande d'accès peut être effectuée par écrit.
Lorsque le responsable du traitement permet la consultation des données sur place, celle-ci n'est possible que sous réserve de la protection des données personnelles des tiers. Sauf disposition législative ou réglementaire contraire, une copie des données à caractère personnel du demandeur peut être obtenue immédiatement. Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l'intéressé toutes les données qui le concernent et pendant une durée suffisante.
Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.
Dispositions particulières au droit de rectification
Lorsque des données à caractère personnel ont été transmises à un tiers, le responsable du traitement qui a procédé à leur rectification en informe sans délai ce tiers. Celui-ci procède également sans délai à la rectification.
Outre la justification de son identité, l'héritier d'une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, apporter la preuve de sa qualité d'héritier par la production d'un acte de notoriété ou d'un livret de famille.
Aucun commentaire:
Enregistrer un commentaire