Les droits de l'individu
La notion de consentement - article 7Fondamental
Notion de consentement renforcée :
« Le consentement n'est pas valable en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné doit valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devra être donnée pour l'ensemble d'entre elles »
autrement dit le consentement doit être explicite.C'est au responsable du traitement de rapporter la preuve qu'il y a bien eu consentement donné,
Le consentement peut être retiré à tout moment,
L'identité du responsable du traitement et la finalité du traitement sont des informations qui doivent être portées à la connaissance de l'utilisateur, facilement compréhensibles par lui -- on parle de "consentement éclairé".
Le consentement des enfants - article 8Fondamental
« Pour une offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. »
« Lorsque l'enfant a moins de 16 ans, le traitement n'est licite que si et dans la mesure où le consentement est donné par le responsable légal »
« Les états membres peuvent prévoir par la loi un autre âge mais qui ne peut être inférieur à 13 ans. »
Le droit à l'information renforcé - article 12Fondamental
"Le principe de transparence" -
Toute information adressée au public ou à la personne concernée doit être concise, accessible, aisée à comprendre et formulée en des termes clairs et simples voir illustrée d'éléments visuels.
Les enfants, méritant une protection spécifique, lorsqu'ils sont concernés par le traitement doivent pouvoir comprendre ces informations, ces dernières devront être rédigées en des termes clairs et simples, facilement compréhensibles par ce jeune public.
La personne concernée devra être informée de l'existence d'un profilage et des conséquences de celui-ci.
Il est important que la personne concernée par le traitement connaisse le caractère obligatoire de la collecte des données et qu'elle connaisse les conséquences auxquelles elle s'expose si elle ne les fournit pas. Les informations sur le caractère obligatoire de la collecte et les conséquences en cas de refus doivent être visibles, lisibles et compréhensibles.
Les informations relatives au traitement doivent être fournies à l'individu soit au moment de la collecte des dites données soit dans un délai raisonnable. Si ces données doivent être communiquées à un autre destinataire, communiquées « "légitimement" »
la personne concernée doit être informée lors de la première communication des dites données au tiers. Si la finalité du traitement des données collectées est modifiée, le responsable du traitement doit informer la personne concernée au préalable.
La transparence du traitement et duréeFondamental
Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire,les délais devront être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique.
Le droit d'accès renforcé - article 15Fondamental
La personne concernée par la collecte des données, doit pouvoir, accéder aux données qui la concerne et exercer ce droit facilement et à des intervalles réguliers et d'en vérifier la licité. Elle doit pouvoir s'assurer de :
La finalité du traitement de ses données, les catégories de données concernées,
La durée de conservation,
Connaître les destinataires auxquels les données sont ou seront communiquées,
Les conséquences en cas de profilage.
« Le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. »
Obligation est faite pour le responsable du traitement de mettre en oeuvre les moyens et les modalités pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés en matière d'accès, de rectification et d'effacement ainsi que l'exercice du droit d'opposition.
Il devra notamment fournir les moyens à la personne concernée de formuler sa demande par voie électronique en particulier lorsque les données font elles-mêmes l'objet d'un traitement électronique.
Le responsable du traitement dispose d'un délai d'un mois pour traiter et répondre aux demandes émanant de la personne concernée.
Le responsable du traitement doit motiver sa réponse lorsqu'il refuse d'accéder à la requête de la personne concernée.
Le droit à l'oubli - article 17Fondamental
« Les personnes concernées devraient avoir le droit d'obtenir que les données à caractère personnel soient effacées et ne soit plus traitées »
Les données personnelles ne correspondent plus aux finalités du traitement pour lesquelles elles ont été collectées,
La personne concernée a retiré son consentement,
La personne s'oppose au traitement des données,
Le traitement ne respecte pas le règlement européen, les données ont fait l'objet d'un traitement illicite.
La portabilité des données - article 20Fondamental
« Les personnes concernées doivent pouvoir, lorsque leurs données personnelles font l'objet d'un traitement automatisé recevoir les données qu'elles ont fournis sous un format structuré, couramment utilisé, lisible par machine, interopérable afin de les transmettre éventuellement à un autre responsable de traitement. »
Attention, ce droit devrait s'appliquer lorsque la personne a donné son consentement et que le traitement des données est nécessaire pour l'exécution d'un contrat.
Le droit d'opposition - article 21Fondamental
Une personne peut s'opposer au traitement de ses données personnelles :
Si le traitement est nécessaire à l'exécution d'une mission de service publique et qu'il revêt un caractère licite, il incombe dans ce cas au responsable du traitement de prouver les intérêts légitimes impérieux du traitement qui peuvent prévaloir sur les intérêts et les libertés individuelles.
Si les données personnelles sont traitées à des fins de prospections, la personne peut s'opposer à tout moment et sans frais au traitement y compris au profilage. Ce droit doit être porté à la connaissance de la personne préalablement à la collecte.
Collecte directe : L' information des personnes concernées - article 13Fondamental
Les personnes doivent être informées :
De l'identité et des coordonnées du responsable du traitement, le cas échéant son représentant,
Le cas échéant, les coordonnées du délégué à la protection des données,
Des finalités du traitement de leurs données et des intérêts légitimes de celui-ci,
De la durée de conservation des données,
De leurs droits d'accès (accès, obtention, modification, suppression, opposition), voir retrait du consentement,
De leurs droit de réclamation auprès de l'autorité de contrôle,
Des destinataires ou des catégories de destinataires des données,
Des transferts éventuels hors de l'Union Européenne,
De toute autre information nécessaire pour assurer un traitement loyal et licite des données,
Du caractère réglementaire, contractuel ou non de l'exigence de fourniture des données et des conséquences éventuelles de la non fournitures de ces données,
De l'existence d'une décision automatisée tel le profilage.
Collecte indirecte : L' information des personnes concernées - article 14Fondamental
Les personnes doivent être informées :
De l'identité et des coordonnées du responsable du traitement, le cas échéant son représentant,
Le cas échéant, les coordonnées du délégué à la protection des données,
Des finalités du traitement de leurs données et des intérêts légitimes de celui-ci, les catégories de données à caractère personnel concernées,
De la durée de conservation des données,
De leurs droits d'accès (accès, obtention, modification, suppression, opposition), voir retrait du consentement,
De leurs droit de réclamation auprès de l'autorité de contrôle,
Des destinataires ou des catégories de destinataires des données,
Des transferts éventuels hors de l'Union Européenne,
La source d'où proviennent les données à caractère personnel,
De toute autre information nécessaire pour assurer un traitement loyal et licite des données,
Du caractère réglementaire, contractuel ou non de l'exigence de fourniture des données et des conséquences éventuelles de la non fournitures de ces données ,
De l'existence d'une décision automatisée tel le profilage,
Ces informations doivent être communiquées dans un délai d'un mois à la personne concernée.