Guide

RGPD : vos droits sur vos données

Par Adem Kino · Publié le · 8 min de lecture

RGPD : vos droits sur vos données personnelles

Accès rapide

Se connecter à RGPD
cnil.fr
Sommaire
En bref

Le RGPD vous donne le contrôle de vos données personnelles : information, accès, rectification, effacement, opposition, limitation et portabilité. Vous exercez ces droits directement auprès de l'organisme qui détient vos données, ou de son DPO. Il dispose d'un mois pour répondre, délai extensible à trois mois si la demande est complexe. En cas de refus ou de silence, vous pouvez saisir gratuitement la CNIL.

Le règlement général sur la protection des données (RGPD), applicable dans toute l'Union européenne, vous reconnaît une série de droits pour garder la maîtrise de vos données personnelles. Vous pouvez savoir ce qu'un organisme détient sur vous, faire corriger une information inexacte, demander la suppression de vos données ou vous opposer à leur utilisation à des fins de prospection. Ces droits valent aussi bien face à une administration qu'à une entreprise privée, un site web, une banque ou une association.

Encore faut-il savoir comment les exercer concrètement, à qui s'adresser et dans quels délais. Ce guide passe en revue chacun de vos droits, la marche à suivre pour les faire valoir auprès de l'organisme concerné ou de son délégué à la protection des données, le délai d'un mois imposé pour vous répondre, et la possibilité de saisir la CNIL si vous n'obtenez pas satisfaction. Il aborde enfin deux cas concrets fréquents : le déréférencement sur un moteur de recherche et l'opposition à la prospection commerciale.

Le RGPD en bref

Le RGPD est entré en application le 25 mai 2018. Il encadre la collecte et l'utilisation des données personnelles par tout organisme — public ou privé — établi dans l'Union européenne ou ciblant des résidents européens. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable : nom, adresse, e-mail, numéro de téléphone, adresse IP, données de santé, etc.

Le texte repose sur un principe simple : les données vous appartiennent, et l'organisme qui les traite (le responsable de traitement) doit pouvoir justifier d'une base légale et respecter vos droits. En France, c'est la Commission nationale de l'informatique et des libertés (CNIL) qui veille à l'application du RGPD et de la loi « Informatique et Libertés ».

Pour exercer vos droits, vous vous adressez toujours d'abord à l'organisme concerné. Beaucoup ont désigné un délégué à la protection des données (DPO), interlocuteur dédié aux questions de données personnelles, dont les coordonnées figurent généralement dans la politique de confidentialité du site ou du service.

Vos droits un par un

Le RGPD vous reconnaît plusieurs droits complémentaires. Selon votre situation, vous mobiliserez l'un ou l'autre.

  • Droit à l'information — Tout organisme doit vous informer, de façon claire, de l'utilisation qu'il fait de vos données : finalités, durée de conservation, destinataires, et vos droits. Cette information figure le plus souvent dans une politique de confidentialité.
  • Droit d'accès — Vous pouvez savoir si un organisme détient des données sur vous, lesquelles, et en obtenir une copie. C'est souvent le point de départ avant d'exercer un autre droit.
  • Droit de rectification — Vous pouvez faire corriger une donnée inexacte ou compléter une donnée incomplète vous concernant.
  • Droit à l'effacement — Aussi appelé « droit à l'oubli », il vous permet de demander la suppression de vos données dans certains cas (données qui ne sont plus nécessaires, retrait du consentement, opposition légitime). Il n'est pas absolu : l'organisme peut refuser si la conservation reste légalement obligatoire.
  • Droit d'opposition — Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière. Pour la prospection commerciale, l'opposition est un droit absolu : vous n'avez aucun motif à fournir.
  • Droit à la limitation — Vous pouvez demander le « gel » temporaire de l'utilisation de vos données, par exemple le temps de vérifier leur exactitude après une demande de rectification.
  • Droit à la portabilité — Vous pouvez récupérer les données que vous avez fournies à un organisme dans un format structuré et lisible par machine, et les transmettre à un autre responsable de traitement lorsque c'est techniquement possible.
  • Décisions automatisées — Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsqu'elle produit des effets juridiques vous concernant ou vous affecte de manière significative.

Comment exercer un droit

La démarche est gratuite et suit toujours la même logique : on s'adresse d'abord à l'organisme, jamais directement à la CNIL.

  1. Identifiez le bon interlocuteur — Repérez l'organisme qui détient vos données et, s'il existe, son délégué à la protection des données (DPO). Ses coordonnées figurent en général dans la politique de confidentialité ou les mentions légales du site.
  2. Choisissez le canal proposé — Utilisez le formulaire en ligne, l'espace personnel, l'adresse e-mail dédiée ou le courrier postal. La CNIL recommande aux organismes de prévoir au minimum une adresse e-mail ou les coordonnées du DPO.
  3. Formulez clairement votre demande — Indiquez le droit que vous exercez (accès, rectification, effacement…) et précisez votre identité. En cas de doute raisonnable, l'organisme peut vous demander un justificatif d'identité.
  4. Datez et conservez une preuve — Gardez une copie de votre demande et de sa date d'envoi. Ces éléments seront indispensables si vous devez ensuite saisir la CNIL.
  5. Attendez la réponse dans le délai légal — L'organisme doit vous répondre dans un mois (voir ci-dessous). Sans réponse satisfaisante, vous pourrez déposer une plainte.

La CNIL met d'ailleurs à disposition des modèles de courriers sur son site pour exercer le droit d'accès ou vous opposer à la prospection commerciale.

Les délais de réponse

L'organisme dispose d'un délai d'un mois à compter de la réception de votre demande pour y répondre. C'est la règle de principe.

Ce délai peut être prolongé de deux mois supplémentaires, soit trois mois au total, lorsque la demande est complexe ou lorsque l'organisme reçoit un grand nombre de demandes. Dans ce cas, il doit vous informer de cette prolongation et de ses motifs dans le délai initial d'un mois. Une prolongation décidée sans vous en avertir n'est pas conforme.

Absence de réponse : un signal pour agir

Si l'organisme ne répond pas dans le délai d'un mois et ne vous a pas informé d'une prolongation, ou si sa réponse est insatisfaisante, vous pouvez saisir la CNIL. Pensez à conserver la preuve de votre demande initiale et de sa date : elle conditionne la recevabilité de votre plainte.

Saisir la CNIL

La CNIL n'intervient qu'après votre démarche auprès de l'organisme. Vous pouvez la saisir d'une réclamation (plainte) lorsque l'organisme ne répond pas dans le délai d'un mois, ne vous informe pas d'une prolongation, ou vous oppose une réponse incomplète ou un refus que vous jugez injustifié.

Pour déposer une plainte :

  • Rendez-vous sur cnil.fr, rubrique « Vos droits », et utilisez le service de plainte en ligne.
  • Joignez une copie de votre demande initiale à l'organisme ainsi que les éléments attestant de vos démarches préalables (date d'envoi, échanges, accusés de réception).
  • Exposez clairement le droit exercé et la difficulté rencontrée.

La saisine est gratuite. La CNIL examine votre réclamation et peut intervenir auprès de l'organisme, voire engager un contrôle. Cette protection de vos données s'inscrit dans une démarche plus large de sécurité numérique ; en cas d'utilisation frauduleuse de votre identité, consultez aussi nos démarches contre l'usurpation d'identité.

Cas concrets : déréférencement et prospection

Deux situations reviennent très souvent dans les demandes des particuliers.

Le déréférencement sur un moteur de recherche. Le droit au déréférencement vous permet de demander à un moteur de recherche (Google, Bing…) de supprimer certains résultats associés à une recherche faite sur vos nom et prénom. C'est une application du droit à l'effacement : le contenu source n'est pas supprimé, mais il cesse d'apparaître dans les résultats liés à votre identité. Le moteur met en balance votre vie privée et l'intérêt du public à accéder à l'information ; il peut refuser, et vous pouvez alors saisir la CNIL.

L'opposition à la prospection commerciale. Vous pouvez vous opposer à tout moment à recevoir des sollicitations commerciales (e-mails, SMS, appels, courriers), sans avoir à justifier votre demande. L'organisme doit alors cesser de vous démarcher et retirer vos coordonnées de sa base de prospection. Pour les e-mails, le lien de désinscription doit être effectif. En l'absence de prise en compte, la plainte auprès de la CNIL est ouverte.

Ces droits s'appliquent à tous vos services en ligne, y compris les administrations comme impots.gouv.fr ou votre compte Ameli, où la gestion de vos données personnelles relève également du RGPD et du contrôle de la CNIL.

Sources et références

Questions fréquentes

Quels sont mes droits sur mes données selon le RGPD ?

Le RGPD vous reconnaît plusieurs droits : le droit à l'information, le droit d'accès (savoir quelles données un organisme détient sur vous et en obtenir une copie), le droit de rectification, le droit à l'effacement (« droit à l'oubli »), le droit d'opposition, le droit à la limitation du traitement et le droit à la portabilité. Vous avez aussi le droit de ne pas faire l'objet d'une décision entièrement automatisée produisant des effets juridiques ou vous affectant de manière significative. Ces droits s'exercent auprès de l'organisme qui traite vos données.

Dans quel délai un organisme doit-il répondre à ma demande RGPD ?

L'organisme dispose d'un délai d'un mois à compter de la réception de votre demande pour y répondre. Ce délai peut être prolongé de deux mois supplémentaires (soit trois mois au total) si votre demande est complexe ou si l'organisme reçoit un grand nombre de demandes. Dans ce cas, il doit vous informer de cette prolongation et de ses motifs dans le délai initial d'un mois. Au-delà, ou en l'absence de réponse, vous pouvez saisir la CNIL.

Comment exercer mon droit d'accès à mes données personnelles ?

Adressez votre demande directement à l'organisme qui détient vos données, par le canal qu'il propose (formulaire en ligne, espace personnel, adresse e-mail dédiée) ou par courrier. Vous pouvez aussi contacter son délégué à la protection des données (DPO) lorsqu'il en a désigné un. Précisez votre identité et l'objet de votre demande. L'organisme peut vous demander une preuve d'identité en cas de doute raisonnable. Conservez une trace écrite de votre démarche : elle vous sera utile si vous devez ensuite saisir la CNIL.

Que faire si un organisme refuse ou ne répond pas à ma demande ?

Si l'organisme ne répond pas dans le délai d'un mois, ne vous informe pas d'une prolongation, ou vous oppose un refus que vous estimez injustifié, vous pouvez adresser une plainte à la CNIL. Joignez une copie de votre demande initiale et les éléments attestant de vos démarches préalables. La CNIL examine votre réclamation et peut intervenir auprès de l'organisme. Cette saisine est gratuite et se fait en ligne sur cnil.fr.

Le « droit à l'oubli » permet-il de tout faire supprimer ?

Non. Le droit à l'effacement, parfois appelé « droit à l'oubli », n'est pas absolu. Vous pouvez demander l'effacement de vos données dans certains cas, par exemple lorsqu'elles ne sont plus nécessaires, que vous retirez votre consentement ou que vous vous opposez légitimement au traitement. Mais l'organisme peut refuser si la conservation reste nécessaire, notamment pour respecter une obligation légale ou pour la liberté d'expression et d'information. Le déréférencement par un moteur de recherche est un cas particulier de ce droit.

Articles similaires

Usurpation d’identité numérique : les démarches
Guide

Usurpation d’identité : que faire

Usurpation d’identité : reconnaître les signes, réagir en urgence, porter plainte et signaler sur 17Cyber, Perceval et Pharos, puis faire valoir vos droits.