I - Attention à ne pas confondre droit d’opposition et opposition au traitement !
Il y a une subtilité importante dans le droit d’opposition, en cela qu’une personne qui ne souhaite plus que ses données fassent l’objet d’un traitement dispose de plusieurs possibilités pour y mettre un terme. Par exemple :
- la personne peut simplement retirer son consentement au traitement de ses données (art. 7)
- la personne peut mettre un terme à un contrat dans lequel un traitement de données personnelles est effectué (art. 6)
Ainsi, le premier réflexe à avoir face à une demande d’opposition, est donc de tenter d’y donner sens : s’agit-il par exemple d’un retrait de consentement ? Mais il ne faut pas s’arrêter là, et comprendre que le droit d’opposition n’est pas systématique. C’est la seconde erreur pratique à éviter !
II - Le droit d’opposition n’est pas systématique (certains traitements sont obligatoires)
La seconde erreur fréquemment commise est de penser que le droit d’opposition est systématique. Rien n’est plus faux ! Le droit d’opposition ne s’applique pas, par exemple, dans les cas où la loi impose à un responsable de traitement de collecter des données personnelles. Voici quelques exemples :
- les traitements imposés en matière de droit du travail en matière de gestion de retraite (collecte obligatoire)
- les déclarations obligatoires en matière fiscale (s’il suffisait simplement de s’y opposer, le fisc aurait de très nombreux problèmes!)
- la collecte de données obligatoire en matière de facturation
- etc.
Dans tous ces cas, le droit d’opposition ne pourra pas valablement être exercé (ce qui n’empêchera pas les responsables de traitement de recevoir des demandes d’opposition). En tant que responsable de traitement, en réalité, la première chose à faire est de clairement déterminer la base légale sur laquelle repose le traitement, afin de déterminer si un droit d’opposition peut valablement être exprimé.
III - Le droit d’opposition est en réalité lié à la base légale
Pour vraiment comprendre le droit d’opposition, il faut reprendre en réalité la base légale - c’est-à-dire l’article 6 du RGPD. En effet, le RGPD distingue 6 cas dans lesquels un responsable de traitement peut opérer un traitement de données personnelles. La question centrale ici est de déterminer quand va cesser le traitement des données personnelles :
- Cas 1 : la personne a donné son consentement ; le traitement s’arrêtera le jour ou la personne décidera de retirer son consentement (art. 6.1.a)
- Cas 2 : la personne concernée a conclu un contrat ; le traitement des données s’arrêtera naturellement le jour ou le contrat sera terminé (+ éventuellement la prescription commerciale) - art. 6.1.b
- Cas 3 : le traitement est imposé par la loi ; dans ce cas la loi décide du délai pendant lequel les données seront traitées - la personne n’a pas son mot à dire (art. 6.1.c)
- Cas 4 : le traitement est nécessaire aux intérêts vitaux de la personne ; globalement le traitement est réalisé afin que la personne reste en vie - elle n’a pas vraiment son mot à dire - car elle n’est pas en mesure d’exprimer grand-chose en raison de son état de santé - ce type de traitement est généralement utilisé pour les greffes vitales urgentes. Le traitement cesse lorsqu’il ne sera plus nécessaire, ou lorsque la personne concernée sera à nouveau en mesure d’exprimer son avis (art. 6.1.d)
- Cas 5 : le traitement est nécessaire pour une mission d’intérêt public (art. 6.1.e)
- Cas 6 : le traitement est nécessaire aux fins des intérêts légitimes du responsable de traitement (art. 6.1.f)
Dans les deux derniers cas, si la loi n’avait pas prévu un droit d’opposition, la personne n’aurait aucun moyen de faire cesser le traitement de ses données. C’est exactement là que vient s’insérer le droit d’opposition, sur ces deux catégories spécifiques de traitement.
Il est maintenant possible de lire l’article 21 avec une véritable compréhension du mécanisme prévu par le RGPD - en particulier le point 1 :
Article 21 - Droit d’opposition
- La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
- Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
- Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
- Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
- Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
- Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.
IV - Comment gérer les demandes d’opposition
Il est important pour un responsable de traitement de gérer toutes les demandes d’opposition qui sont faites en vertu de l’article 21 du RGPD. En effet, le responsable du traitement disposera d’un mois pour répondre à toute demande étant effectuée.
Il est donc essentiel de suivre chaque demande d’exercice des droits afin de s’assurer qu’une réponse y a été apportée car ces demandes de droit sont très souvent le préalable à un contentieux. Il existe de nombreux outils logiciels pour ce faire, il est important d’en avoir un en place (ex : Legiscope).