RGPD

Fiche 3 — RGPD : droits des personnes et obligations des responsables

2 months ago
13 min read
Add comment
FacebookX

Les 7 droits des personnes, les 6 bases juridiques et les 5 principes

Règlement (UE) 2016/679

Introduction

Le RGPD — règlement (UE) 2016/679 du 27 avril 2016 — constitue le socle juridique européen de la protection des données personnelles. Il poursuit une double finalité : protéger les droits et libertés fondamentaux des personnes physiques, en particulier leur droit à la protection des données, et assurer la libre circulation des données au sein de l’Union dans un cadre harmonisé. Le texte repose donc sur une tension féconde : permettre les traitements nécessaires à la vie économique, administrative, scientifique ou sociale, tout en empêchant que la personne soit réduite à un simple objet d’exploitation informationnelle. (Eur-Lex)

Sur le plan juridique, le RGPD organise trois grands blocs : les principes de traitement (article 5), les bases juridiques qui rendent un traitement licite (article 6), les droits des personnes concernées (articles 12 à 22), auxquels s’ajoutent les obligations du responsable du traitement et, le cas échéant, du sous-traitant (chapitre IV). La CNIL rappelle d’ailleurs qu’un responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement. (Eur-Lex)

Philosophiquement, le RGPD marque une évolution importante du droit contemporain : la donnée personnelle n’est pas considérée comme un simple flux technique ou une matière première économique, mais comme un prolongement informationnel de la personne. Ce que protège le droit, ce n’est pas seulement la confidentialité ; c’est aussi l’autonomie, la maîtrise, la loyauté des traitements et la possibilité pour chacun de ne pas être enfermé dans des décisions obscures ou disproportionnées. (Eur-Lex)

1. Les 5 principes fondamentaux du RGPD

L’article 5 du RGPD fixe les principes directeurs qui gouvernent tout traitement de données. Dans une logique pédagogique, on peut les regrouper en 5 grands principes structurants, même si l’article 5 en détaille plusieurs composantes. (Eur-Lex)

1.1. Licéité, loyauté et transparence

Les données doivent être traitées de manière licite, loyale et transparente à l’égard de la personne concernée. Cela signifie qu’un traitement doit reposer sur une base juridique valable, être conduit sans tromperie, et être suffisamment intelligible pour que la personne comprenne ce qui est fait de ses données. Ce principe empêche les logiques cachées, les finalités vagues, les collectes ambiguës ou les détournements silencieux. (Eur-Lex)

1.2. Limitation des finalités

Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne peuvent ensuite être réutilisées d’une manière incompatible avec ces finalités initiales. Ce principe protège la cohérence du traitement : on ne collecte pas “au cas où”, ni pour des usages futurs indéterminés. (Eur-Lex)

1.3. Minimisation et exactitude

Le RGPD exige que les données soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies. Il impose aussi qu’elles soient exactes et, si nécessaire, tenues à jour. Cela signifie qu’un organisme ne doit pas surcollecter, ni conserver des données erronées qui pourraient produire des effets injustes sur les personnes. (Eur-Lex)

1.4. Limitation de la conservation

Les données doivent être conservées sous une forme permettant l’identification des personnes pendant une durée n’excédant pas celle nécessaire aux finalités du traitement. Le droit interdit donc le stockage illimité par confort ou inertie. La conservation doit être justifiée, encadrée et, au besoin, suivie d’un archivage ou d’un effacement. (Eur-Lex)

1.5. Intégrité, confidentialité et responsabilité

Les données doivent être traitées de façon à garantir une sécurité appropriée, notamment contre l’accès non autorisé, la perte, la destruction ou l’altération. À cela s’ajoute le principe d’accountability : le responsable du traitement doit être capable de démontrer le respect de ces règles. Le RGPD ne demande donc pas seulement d’être conforme ; il demande de pouvoir prouver qu’on l’est. (Eur-Lex)

À retenir

Les 5 principes peuvent se mémoriser ainsi :

  • traiter de façon licite, loyale et transparente ;
  • poursuivre des finalités déterminées ;
  • ne collecter que le nécessaire et maintenir les données exactes ;
  • ne pas conserver au-delà du nécessaire ;
  • assurer la sécurité et être capable de rendre compte de la conformité. (Eur-Lex)

2. Les 6 bases juridiques du traitement

Un traitement de données n’est licite que s’il repose sur l’une des bases prévues à l’article 6 du RGPD. Ces bases sont limitatives. Il n’existe donc pas de “liberté générale” de traiter des données personnelles. (Eur-Lex)

2.1. Le consentement

Le traitement est licite si la personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques. Le consentement doit être libre, spécifique, éclairé et univoque. Il n’est valable que si la personne a réellement le choix et peut le retirer. (Eur-Lex)

2.2. L’exécution d’un contrat

Le traitement est licite lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de mesures précontractuelles prises à sa demande. C’est le cas, par exemple, de la gestion d’une commande, d’un abonnement ou d’un compte client. (Eur-Lex)

2.3. L’obligation légale

Le traitement peut être justifié s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Il s’agit ici de traitements imposés par le droit : obligations comptables, fiscales, sociales, administratives ou réglementaires. (Eur-Lex)

2.4. La sauvegarde des intérêts vitaux

Le traitement est autorisé lorsqu’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. Cette base vise des situations graves où la vie ou l’intégrité d’une personne est en jeu. (Eur-Lex)

2.5. La mission d’intérêt public ou l’exercice de l’autorité publique

Le traitement est licite s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base est très fréquente pour les administrations, les collectivités ou certains organismes investis de missions publiques. (Eur-Lex)

2.6. L’intérêt légitime

Le traitement est licite lorsqu’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Cette base exige donc une mise en balance. Elle ne peut pas servir de justification automatique ; elle suppose un examen sérieux du caractère nécessaire, proportionné et non excessif du traitement. (Eur-Lex)

À retenir

Les 6 bases juridiques sont :

  • consentement ;
  • contrat ;
  • obligation légale ;
  • intérêts vitaux ;
  • mission d’intérêt public / autorité publique ;
  • intérêt légitime. (Eur-Lex)

3. Les 7 droits des personnes concernées

Les droits des personnes se trouvent dans les articles 12 à 22 du RGPD. La CNIL rappelle que le responsable du traitement doit faciliter leur exercice, répondre dans les délais prévus, et ne pas faire obstacle à leur mise en œuvre sans motif valable. (Eur-Lex)

3.1. Le droit à l’information

La personne a le droit d’être informée de manière claire, accessible et compréhensible sur l’identité du responsable, les finalités, la base juridique, les destinataires, la durée de conservation, l’existence de ses droits, et, le cas échéant, les transferts hors UE ou la logique d’une décision automatisée. Ce droit irrigue tout le RGPD : sans information claire, les autres droits deviennent théoriques. (Eur-Lex)

3.2. Le droit d’accès

La personne peut obtenir la confirmation que des données la concernant sont ou ne sont pas traitées, et, lorsqu’elles le sont, accéder à ces données ainsi qu’à plusieurs informations associées : finalités, catégories de données, destinataires, durée de conservation, source des données, transferts éventuels, logique d’un traitement automatisé, etc. (Eur-Lex)

3.3. Le droit de rectification

La personne peut demander la rectification de données inexactes la concernant, et, selon les cas, les faire compléter. Ce droit découle directement du principe d’exactitude posé par l’article 5. Une donnée erronée peut en effet produire des conséquences injustes ou discriminatoires. (Eur-Lex)

3.4. Le droit à l’effacement

Le “droit à l’oubli” permet, dans certaines hypothèses, d’obtenir l’effacement des données, par exemple lorsque les données ne sont plus nécessaires, lorsque le consentement est retiré et qu’aucune autre base juridique ne subsiste, ou lorsque le traitement est illicite. Ce droit n’est pas absolu : il connaît des limites, notamment lorsqu’une conservation est nécessaire pour une obligation légale, l’intérêt public, l’exercice de droits en justice ou certains traitements particuliers. (Eur-Lex)

3.5. Le droit à la limitation du traitement

La personne peut demander la limitation du traitement, c’est-à-dire une forme de gel temporaire de l’usage des données, notamment lorsqu’elle conteste leur exactitude, lorsque le traitement paraît illicite mais qu’elle ne veut pas l’effacement, ou lorsque les données sont encore nécessaires à la constatation, à l’exercice ou à la défense de droits en justice. (Eur-Lex)

3.6. Le droit à la portabilité

La personne peut recevoir les données personnelles qu’elle a fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement, lorsque le traitement repose sur le consentement ou sur le contrat et qu’il est effectué à l’aide de procédés automatisés. Ce droit vise à redonner à la personne une forme de mobilité informationnelle. (Eur-Lex)

3.7. Le droit d’opposition

La personne peut s’opposer à certains traitements, notamment lorsque ceux-ci reposent sur l’intérêt légitime ou sur une mission d’intérêt public. Elle peut aussi s’opposer à tout moment à l’utilisation de ses données à des fins de prospection. La CNIL rappelle expressément l’existence de ce droit d’opposition, sous réserve des cas où le traitement répond à une obligation légale ou à des motifs impérieux prévus par le texte. (CNIL)

Complément important : décisions automatisées

Le RGPD reconnaît aussi, à l’article 22, le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsqu’elle produit des effets juridiques ou affecte significativement la personne. Selon les présentations pédagogiques, ce droit est parfois compté comme un 8e droit autonome. Ici, pour respecter la structure de ta fiche, je l’intègre comme complément majeur à connaître. (Eur-Lex)

Délai de réponse

En principe, le responsable du traitement doit répondre dans le mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de multiplicité des demandes, à condition d’en informer la personne. Le responsable doit aussi faciliter l’exercice des droits. (CNIL)

4. Les obligations du responsable du traitement

Le responsable du traitement est celui qui décide pourquoi et comment les données sont traitées. Cette qualification ne dépend pas seulement d’un contrat ou d’un intitulé ; la CNIL rappelle qu’elle dépend des faits : qui fixe les finalités, qui choisit les moyens essentiels, qui pilote réellement le traitement. (CNIL)

Ses obligations principales se déduisent du RGPD, notamment du chapitre IV.

4.1. Respecter les principes et pouvoir le démontrer

L’article 24 impose au responsable du traitement de mettre en œuvre des mesures appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Cela signifie que la conformité doit être organisée, documentée et traçable. (CNIL)

4.2. Mettre en œuvre la protection des données dès la conception et par défaut

L’article 25 impose la protection des données dès la conception (privacy by design) et par défaut (privacy by default). Autrement dit, la conformité ne doit pas être ajoutée après coup ; elle doit être intégrée dès l’architecture du traitement, avec des paramètres par défaut respectueux des droits des personnes. (CNIL)

4.3. Encadrer les relations avec les sous-traitants

Lorsqu’un traitement est confié à un sous-traitant, l’article 28 impose un encadrement contractuel précis. Le responsable du traitement demeure le pilote juridique de l’opération et doit choisir un sous-traitant présentant des garanties suffisantes. (CNIL)

4.4. Tenir un registre et documenter les traitements

Le RGPD impose, dans les cas prévus, la tenue d’un registre des activités de traitement. Cette exigence n’est pas un simple formalisme ; elle constitue l’ossature documentaire de l’accountability. Elle permet de savoir quelles données sont traitées, pour quelles finalités, sur quelle base, avec quels destinataires et pendant combien de temps. (Eur-Lex)

4.5. Garantir la sécurité des données

L’article 32 impose la mise en place de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris, lorsque pertinent, le chiffrement, la pseudonymisation, la résilience des systèmes, la restauration de disponibilité et des procédures de test. (Eur-Lex)

4.6. Notifier les violations de données

En cas de violation de données personnelles, le responsable du traitement doit notifier l’autorité de contrôle compétente, en principe dans les 72 heures après en avoir pris connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Lorsque le risque est élevé, il doit aussi informer les personnes concernées, sauf exception prévue par le règlement. (Eur-Lex)

4.7. Réaliser une analyse d’impact si nécessaire

Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, une analyse d’impact relative à la protection des données (AIPD / DPIA) doit être réalisée avant le traitement. Le RGPD en fait un outil de prévention et de rationalisation du risque. (Eur-Lex)

4.8. Désigner un DPO dans les cas prévus

Le délégué à la protection des données (DPO) doit être désigné dans les cas prévus par le règlement, notamment pour certains organismes publics ou lorsque les activités principales impliquent un suivi régulier et systématique à grande échelle ou un traitement à grande échelle de données sensibles. La CNIL rappelle les exigences de compétence, de ressources et d’indépendance attachées à cette fonction. (CNIL)

5. Tableau synthétique

BlocContenu essentiel
5 principeslicéité-loyauté-transparence ; finalité ; minimisation/exactitude ; conservation limitée ; sécurité/accountability
6 bases juridiquesconsentement ; contrat ; obligation légale ; intérêts vitaux ; mission d’intérêt public ; intérêt légitime
7 droitsinformation ; accès ; rectification ; effacement ; limitation ; portabilité ; opposition
Complément à connaîtredroit relatif aux décisions automatisées et au profilage
Obligations du responsableconformité démontrable, privacy by design/default, encadrement des sous-traitants, registre, sécurité, notification des violations, AIPD, DPO si requis

Ce tableau résume les articles 5, 6, 12 à 22, et le chapitre IV du RGPD. (Eur-Lex)

6. Lecture doctrinale d’ensemble

Le RGPD repose sur une logique de maîtrise plutôt que de simple interdiction. Il ne dit pas : “les données ne doivent jamais circuler”. Il dit : “elles ne peuvent circuler que dans un cadre justifié, loyal, proportionné, sécurisé et contestable par la personne”. Cette idée est centrale. Le droit européen refuse autant l’absolutisme de la surveillance que l’illusion d’un monde sans données. Il cherche un équilibre dans lequel la personne reste sujet de droit au sein même des architectures numériques. (Eur-Lex)

Dans cette perspective, les droits des personnes ne sont pas de simples formalités. Ils incarnent une exigence philosophique plus profonde : la personne doit pouvoir savoir, comprendre, corriger, limiter, reprendre ou refuser certains usages de ses données. Le responsable du traitement, lui, n’est pas seulement un opérateur technique ; il devient un gardien de licéité, tenu d’anticiper le risque, de documenter ses choix et de rendre des comptes. (Eur-Lex)

Conclusion

Pour retenir l’essentiel :

  • le RGPD repose sur des principes qui encadrent toute collecte et tout usage des données ;
  • aucun traitement n’est licite sans l’une des 6 bases juridiques ;
  • la personne dispose de droits opposables qui permettent d’agir sur le traitement ;
  • le responsable du traitement doit non seulement respecter le règlement, mais aussi démontrer sa conformité. (Eur-Lex)

Le RGPD est donc moins un texte purement technique qu’un véritable droit de la dignité informationnelle dans la société numérique. (Eur-Lex)

Sources principales

  • Texte officiel du Règlement (UE) 2016/679 (RGPD) sur EUR-Lex. (Eur-Lex)
  • CNIL, Le règlement général sur la protection des données. (CNIL)
  • CNIL, Chapitre III – Droits de la personne concernée. (CNIL)
  • CNIL, Chapitre IV – Responsable du traitement et sous-traitant. (CNIL)
  • CNIL, Les droits des personnes sur leurs données. (CNIL)
  • CNIL, Définition du responsable de traitement. (CNIL)

Add comment

Your email address will not be published. Required fields are marked *