Quels droits les individus ont-ils en vertu du RGPD ?
Le RGPD prévoit les droits suivants aux personnes concernées, c’est-à-dire aux individus dont les données sont traitées :
- Droit d’être informé
- Droit d’accès
- Droit de rectification
- Droit à l’effacement (droit à l’oubli)
- Droit à la limitation du traitement
- Droit à la portabilité des données
- Droit d’opposition
- Droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé
Veuillez noter que certains de ces droits ne s’appliquent pas dans toutes les situations. Pour plus d’informations, vous pouvez voir les droits de la personne concernée pour chaque tableau de base légale.
Le responsable du traitement est tenu de répondre aux demandes des personnes concernées qui exercent leurs droits et doit faciliter l’exercice de ces droits. Le sous-traitant doit assister le responsable du traitement dans cette tâche.
Checklist des mesures à prendre en ce qui concerne les droits des personnes concernées :
- Anticiper : Développez des systèmes et des procédures pour répondre aux demandes de droits des personnes concernées et formez votre personnel à intégrer les demandes d’exercice des droits dans vos flux de travail internes.
- Faciliter l’exercice des droits : Faites en sorte qu’il soit facile pour les personnes concernées de savoir quels sont leurs droits et comment vous contacter pour les exercer.
- Connaître vos flux de données : Tenez votre registre à jour pour identifier rapidement les données que vous traitez ainsi que pour localiser et récupérer efficacement les informations.
- Être transparent : Informez toujours les personnes concernées, de manière claire et compréhensible, des données personnelles que vous traitez, avant le traitement (par exemple dans votre politique de confidentialité) et pendant le traitement (par exemple, lorsque vous répondez à une demande d’accès de la personne concernée).
- Répondre dans un délai de 1 mois : Répondez toujours à une demande de la personne concernée dans un délai d’un mois. Si vous avez besoin de temps supplémentaire pour répondre ou si vous ne pouvez pas répondre à la demande, informez-en la personne concernée dans un délai d’un mois.
- Transmettre les demandes : Lorsque vous recevez une demande concernant des données personnelles que vous avez transférées à d’autres destinataires, n’oubliez pas – si nécessaire – d’informer les destinataires du résultat de la demande.
- Documenter : Gardez une trace des demandes des personnes concernées, et enregistrez vos réponses. Gardez également une trace de votre justification lorsque vous ne répondez pas à une demande.
Comment traiter la demande d’exercice des droits de la personne concernée
La transparence est essentielle dans la protection des données en général et, bien sûr, dans le contexte des droits de la personne concernée.
Le responsable du traitement des données doit :
- communiquer avec les personnes concernées dans un langage clair et compréhensible (ceci est particulièrement important dans les cas où une organisme s’adresse aux enfants) ; et
- faciliter l’exercice de ces droits, notamment par voie électronique. Par exemple, vous pouvez fournir sur votre site Web un formulaire en ligne que les personnes concernées peuvent utiliser pour exercer facilement leurs droits en matière de protection des données.
Répondre par écrit
La règle générale est qu’un organisme doit répondre à la demande d’accès d’une personne de la même manière que la demande a été faite, ou de la manière dont la personne concernée a spécifiquement demandé une réponse. De préférence, vous devez répondre par écrit, y compris, si nécessaire, par voie électronique. Une réponse à une demande de droit de la personne concernée peut être donnée oralement, mais cela n’est pas conseillé car vous devez être en mesure de prouver que vous avez répondu à la demande.
Répondre dans un délai d’un mois
Le RGPD précise dans combien de temps un responsable du traitement doit répondre à une demande et dans quels cas il peut facturer des frais.
Lorsque les personnes concernées exercent l’un de leurs droits, le responsable du traitement doit répondre dans un délai d’un mois. Si la demande est trop complexe et qu’il faut plus de temps pour répondre, votre organisme peut prolonger le délai de deux mois supplémentaires, à condition que la personne concernée en soit informée dans un délai d’un mois à compter de la réception de la demande. Si votre organisme peut prouver que la demande est manifestement infondée ou excessive, notamment en raison de son caractère répétitif, vous pouvez soit facturer des frais raisonnables, soit refuser de faire droit à la demande.
Si votre organisme a des doutes raisonnables quant à l’identité de la personne qui fait la demande (par exemple, la demande est faite avec une autre adresse e-mail que celle habituellement utilisée par votre client, ou si elle est faite en dehors d’un compte client authentifié), vous pouvez demander des informations supplémentaires pour confirmer l’identité de la personne concernée avant de répondre.
Si vous n’avez pas l’intention de répondre à la demande spécifique de la personne concernée, vous devez informer la personne concernée des raisons pour lesquelles vous ne donnerez pas suite à la demande (par exemple, pourquoi vous n’effacez pas les données demandées) dans un délai d’un mois à compter de la réception de la demande. En outre, vous devez informer les personnes concernées de la possibilité d’introduire une réclamation auprès de leur autorité nationale de protection des données et de demander un recours juridictionnel.
Ne pas facturer de frais
Votre organisme ne peut réclamer aucun paiement à une personne concernée demandant à exercer l’un de ses droits. Vous pouvez toutefois facturer des frais si la demande de la personne concernée est manifestement infondée ou excessive, notamment en raison de son caractère répétitif. Le calcul des frais doit prendre en compte les frais administratifs liés à la réponse à la demande de votre organisme. Comme expliqué ci-dessus, il est également possible de refuser de donner suite à une demande manifestement infondée ou excessive. Dans une telle situation, vous devez être en mesure de démontrer que c’est le cas.
Dans la pratique
- Une personne concernée dépose des demandes d’accès tous les deux mois auprès du menuisier qui a fabriqué sa table. Le charpentier a répondu complètement à la première demande. Étant donné que le charpentier ne traite pas les données personnelles dans le cadre de son activité principale et qu’il n’a pas fourni plus d’un service à la personne concernée, il est peu probable que des modifications aient eu lieu dans l’ensemble de données concernant la personne concernée. La personne concernée a précisé que la nouvelle demande porte sur les mêmes informations que la dernière demande. Par conséquent, cette demande peut être considérée comme excessive en raison de son caractère répétitif.
- Si le charpentier décide de fournir les données personnelles à la personne concernée mais moyennant des frais, il est conseillé de l’en informer à l’avance, lui donnant ainsi la possibilité de retirer la demande pour éviter d’être facturé. Le charpentier peut également informer la personne concernée des raisons pour lesquelles il ne répondra pas à cette demande, ainsi que de la possibilité d’introduire une réclamation auprès d’une autorité de protection des données et de demander un recours juridictionnel.
Droit d’être informé
Le droit d’être informé permet aux gens de comprendre ce qui sera fait avec leurs données et, par conséquent, de prendre des décisions éclairées et d’avoir plus de contrôle sur leurs données personnelles. Toute personne concernée a le droit d’être informée lorsque vous traitez ses données.
En tant qu’organisme agissant comme que responsable du traitement, vous avez l’obligation d’informer les personnes concernées.
Quelles informations ?
Les informations à fournir diffèrent selon que vous avez collecté les données personnelles directement auprès de la personne concernée (collecte directe selon l’article 13 du RGPD) ou que vous les avez obtenues auprès d’une autre source (collecte indirecte selon l’article 14 du RGPD). Les tableaux suivants donnent un aperçu des informations que vous devez fournir à la personne concernée :
En outre, le RGPD exige que votre organisme fournisse les informations suivantes pour assurer un traitement équitable et transparent :
Votre organisme doit à nouveau fournir les informations contenues dans ce deuxième tableau en cas de traitement ultérieur pour un nouvel objectif compatible qui diffère de l’objectif initial. Ces informations doivent être fournies avant ce traitement ultérieur. Dans ce cas, vous devez également fournir à la personne concernée une explication sur la manière dont les nouveaux objectifs sont compatibles avec les anciens.
Quand l’information doit-elle être fournie ?
Si votre organisme collecte les données personnelles directement auprès de la personne concernée, elle doit fournir les informations nécessaires au moment de la collecte.
En cas de collecte indirecte de données personnelles, votre organisme doit fournir les informations au plus tard dans un délai d’un mois à compter de l’obtention initiale des données personnelles. Cette période maximale d’un mois est réduite :
- si les données personnelles sont utilisées à des fins de communication avec la personne concernée. Dans ce cas, vous devez informer la personne concernée au plus tard au moment de la première communication à la personne concernée ;
- si les données sont transmises à un autre destinataire, l’organisme en informe les personnes concernées au plus tard au moment du transfert des personnelles.
La période maximale d’un mois ne peut en aucun cas être prolongée.
En cas de modification ultérieure du traitement (par exemple, nouveaux destinataires, objectif compatible, transfert en dehors de l’EEE, etc.), votre organisme doit en informer la personne concernée avant que la modification ne prenne effet et vous devez le faire bien à l’avance. Plus le changement est substantiel, plus tôt votre organisme doit en informer la personne concernée afin que celle-ci dispose d’un délai raisonnable pour en apprécier l’impact et exercer ses droits.
Quand votre organisme n’est-il pas obligé de communiquer des informations ?
Votre organisme n’est pas tenue d’informer la personne concernée si cette personne a déjà reçu les informations nécessaires.
En cas de collecte indirecte de données personnelles, des exceptions supplémentaires s’appliquent. Dans ce cas, la fourniture d’informations n’est pas nécessaire si :
- la communication de ces informations s’avère impossible ou nécessiterait des efforts disproportionnés. Cette exception est toutefois très limitée, ce qui implique qu’un responsable du traitement ne peut invoquer ce critère qu’à titre exceptionnel ;
- L’obtention ou la divulgation de données est expressément prévue par la loi ;
- les données personnelles doivent être conservées de manière confidentielle en vertu d’une obligation légale de secret professionnel.
Dans la pratique
- Dans certains pays de l’UE, la législation nationale peut obliger les autorités fiscales à demander aux employeurs certaines informations sur les salariés. L’administration fiscale n’est pas tenue d’informer le salarié dans un tel cas. Toutefois, dans le cadre de son obligation d’informer, l’employeur informera le salarié que l’administration fiscale est l’un des destinataires des données personnelles.
Comment les informations doivent-elles être fournies à la personne concernée ?
Une bonne façon de fournir des informations est de travailler avec différents niveaux d’information. Cela évite qu’une quantité excessive d’informations soit fournie en même temps, ce qui peut nuire à la transparence et noyer la personne concernée avec des informations. L’utilisation d’une approche à plusieurs niveaux répond à la fois à l’exigence de concision et à l’exigence de fournir toutes les informations nécessaires. Cela simplifie non seulement la tâche du responsable du traitement, mais permet également à la personne concernée de saisir rapidement et efficacement les informations essentielles. La présentation des informations pourrait être la suivante :
- Une première niveau d’informations de base
- QUOI ? L’organisme fournit un résumé des informations de base dont la personne concernée a besoin pour évaluer l’impact et la portée du traitement (c’est-à-dire l’identité du responsable du traitement, les objectifs du traitement, les catégories de destinataires, la source des données, les droits de la personne concernée…).
- COMMENT ? Par exemple, sous forme de tableau, dans un endroit clairement visible avec le titre « Informations de base sur la protection des données » ou via des pop-ups qui fournissent des explications lors de la collecte de données personnelles. Si le traitement est basé sur le consentement, il est préférable de mentionner ces informations à l’endroit où la personne concernée doit donner son consentement (près du bouton « consentement »).
- Une deuxième couche d’informations supplémentaires et plus détaillées
- QUOI ? Cette partie présente de manière compréhensible et exhaustive les informations restantes que l’organisme est tenu de fournir en vertu des articles 13 et 14 du RGPD.
- COMMENT ? Ces informations supplémentaires peuvent être fournies de plusieurs manières, par exemple au moyen de liens hypertextes inclus dans les informations de base ou en téléchargeant un document. La fourniture de ces informations supplémentaires devrait assurer un équilibre entre la concision, d’une part, et l’exhaustivité et l’exactitude, d’autre part. Les informations devraient être structurées de manière à ce qu’elles soient facilement lisibles. N’oubliez pas d’adapter les informations au groupe cible (par exemple : si votre service cible les enfants, écrivez l’information d’une manière qu’ils peuvent comprendre).
Droit d’accès
En exerçant leur droit d’accès, les personnes concernées peuvent vérifier que chaque activité de traitement qui les concerne est licite.
Lorsqu’elles exercent leur droit d’accès, les personnes concernées devraient obtenir une confirmation du responsable du traitement pour savoir si leurs données personnelles sont traitées ou non. Si tel est le cas, les personnes concernées ont accès à leurs données personnelles et aux informations suivantes :
- les objectifs du traitement ;
- les catégories de données personnelles concernées ;
- les destinataires (ou catégories de destinataires) des données personnelles ;
- la durée de conservation des données personnelles ou les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable du traitement la rectification, l’effacement des données personnelles, la limitation du traitement des données personnelles concernant la personne concernée ou de s’opposer à ce traitement ;
- l’existence du droit d’introduire une réclamation auprès d’une autorité de protection des données ;
- la source des données (lorsque les données personnelles ne sont pas directement collectées auprès de la personne concernée) ;
- l’existence d’une prise de décision automatisée, y compris le profilage, des informations significatives sur la logique en cause, ainsi que l’importance et les conséquences envisagées d’un tel traitement pour la personne concernée ;
- lorsque des données personnelles sont transférées hors de l’Union européenne, toutes les garanties appropriées mises en place (conformément à l’article 46 du RGPD relatif aux transferts de données).
En outre, la personne a le droit de recevoir (gratuitement) une copie des données personnelles les concernant que votre organisme traite. Si la personne demande des copies supplémentaires, votre organisme pourrait décider de facturer des frais raisonnables qui sont calculés sur la base des coûts administratifs liés à la réalisation des copies. Notez que, dans la plupart des cas, les particuliers ne peuvent pas être tenus de payer des frais pour accéder à leurs informations personnelles.
Lorsqu’une demande est faite par voie électronique, votre organisme doit fournir les renseignements requis dans un format électronique couramment utilisé, sauf si la personne demande un autre moyen.
Note importante
Avant de fournir une copie des données personnelles, vous devez vérifier que cela n’affectera pas les droits et libertés de tiers (par exemple, si des informations relatives à plus d’une personne sont traitées dans le même fichier, ou des informations relatives aux secrets des affaires et à la propriété intellectuelle).
Droit de rectification
La personne concernée a le droit de demander et d’obtenir du responsable du traitement la correction de données inexactes et la réalisation de données incomplètes. Si votre organisme a transmis les données personnelles à des tiers, vous devez informer ces derniers de la rectification, sauf si cela s’avère impossible ou nécessite des efforts disproportionnés.
Dans la pratique
- Un client informe votre organisme qu’il a déménagé dans une autre ville. Vous devez modifier son adresse dans votre base de données client.
Droit à l’effacement (droit à l’oubli)
Toute personne concernée peut demander à une organisme d’effacer les données personnelles la concernant dans les situations suivantes :
- les données personnelles ne sont plus nécessaires aux objectifs pour lesquels elles ont été collectées ;
- l’organisme traite les données personnelles de manière illicite ;
- l’organisme doit effacer les données personnelles en raison d’une obligation légale ;
- la personne concernée retire son consentement et le traitement n’a pas d’autre base légale ;
- la personne concernée s’est auparavant opposée à l’utilisation de ses données ;
- les mineurs qui ont donné leur consentement à l’utilisation d’un service en ligne peuvent toujours demander l’effacement de ces données personnelles (quel que soit leur âge actuel).
Lorsque les données personnelles qui doivent être effacées ont déjà été transférées à d’autres organismes, vous devez informer ces destinataires que la personne concernée a demandé l’effacement, sauf si cela s’avère impossible ou nécessiterait des efforts disproportionnés.
Lorsque votre organisme est tenu d’effacer les données personnelles qu’il a rendues publiques, vous devez prendre toutes les mesures raisonnables pour informer les autres responsables de traitement de ces données que la personne concernée a demandé l’effacement de tout lien vers ces données personnelles, ou les copies ou reproductions de celles-ci.
Votre organisme ne peut refuser d’effacer des données personnelles que dans un nombre limité de cas, tels que :
- l’exercice du droit à la liberté d’expression et d’information ;
- l’établissement, l’exercice ou la défense d’une action en justice ;
- le respect d’une obligation légale à laquelle l’organisme est soumis ou l’exécution d’une mission d’intérêt public ou dans l’exercice de l’autorité publique qui lui est confiée ;
- les missions revêtant un intérêt public dans le domaine de la santé publique ;
- à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (dans des conditions spécifiques).
Dans la pratique
- Un employé de votre organisme a été licencié. L’employé demande que ses données personnelles soient supprimées de son dossier personnel. Toutefois, le droit du travail exige que vous conserviez plusieurs documents RH (registre des membres du personnel, copies des relevés de salaire, etc.) pendant une certaine période. Pour ces documents, vous devez refuser la demande de suppression des données.
- Un ancien client ne souhaite plus recevoir d’e-mails publicitaires de votre organisme et vous demande d’effacer ses coordonnées. Comme il n’y a aucune raison impérieuse de continuer à traiter les coordonnées, vous devez les effacer.
Droit à la limitation du traitement
Dans certaines circonstances, les personnes concernées peuvent demander une limitation du traitement de leurs données. Par conséquent, votre organisme peut toujours conserver les données personnelles, mais doit cesser toutes les autres activités de traitement.
La personne concernée a le droit d’obtenir la limitation du traitement des données lorsque :
- la personne concernée conteste l’exactitude des données personnelles ;
- le traitement est illégal : plutôt que d’effacer les données, la personne concernée peut demander la limitation de l’utilisation des données personnelles ;
- l’organisme n’a plus besoin des données personnelles, mais les données sont toujours nécessaires pour que la personne concernée puisse exercer une action en justice ;
- la personne concernée a exercé son droit d’opposition. La limitation s’applique pendant le temps nécessaire pour vérifier si l’intérêt légitime poursuivi par l’organisme prévaut sur l’intérêt de la personne concernée.
Après avoir fait suite au droit d’une personne à la limitation du traitement, votre organisme ne peut utiliser les données que dans certaines circonstances spécifiques, par exemple avec le consentement de la personne concernée ou pour la défense de droits en justice. Avez-vous déjà transmis les données « restreintes » à d’autres destinataires ? Vous devez alors informer ces destinataires de la restriction du traitement, sauf si cela s’avère impossible ou nécessite des efforts disproportionnés.
Avant de lever la restriction, assurez-vous d’informer la personne concernée de votre intention de le faire.
Droit à la portabilité des données
Le droit à la portabilité des données permet aux personnes concernées d’obtenir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine. De cette façon, ils peuvent facilement réutiliser les données et, s’ils le souhaitent, transmettre leurs données à un autre responsable du traitement. Le droit à la portabilité des données ne peut être exercé que si ces trois conditions sont remplies en même temps :
- le traitement est basé sur un consentement ou un contrat ;
- le traitement est automatisé (c’est-à-dire pas de documents papier) ; et
- les personnes concernées ont fourni les données elles-mêmes. Cela inclut également toutes les données que votre organisme a collectées sur le comportement de la personne concernée (par exemple, avec des accessoires connectés).
Par conséquent, ce droit ne concerne pas les données que l’organisme produit elle-même sur la base des données ci-dessus.
Plus concrètement, les personnes concernées ont le droit :
- d’obtenir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine. Le format doit permettre à la personne concernée de réutiliser les données personnelles pour un autre service.
Exemples : les formats courants XML, JSON et CSV répondent à ce critère. Les métadonnées doivent également être fournies afin que les données puissent être utilisées sur une autre plate-forme. Un format PDF n’est pas suffisant. - de faire transférer directement leurs données personnelles à un autre responsable du traitement. Votre organisme ne devrait le faire que si un tel transfert direct est techniquement possible.
Dans la pratique
- Votre organisme fournit des services de streaming de musique en ligne. Vos clients peuvent demander le transfert de leurs listes de chansons vers un autre service de streaming musical.
- Vous êtes une PME qui offre un service de messagerie web. Si votre client qui dispose d’un compte e-mail pour des besoins purement personnels ou domestiques le demande, vous devez transférer sa liste d’adresses et ses courriels à un autre service de messagerie Web à condition que cela soit techniquement réalisable. Si cela n’est pas possible, vous devez fournir la liste d’adresses et les courriels au client dans un format numérique réutilisable.
Droit d’opposition
Les personnes concernées peuvent s’opposer au traitement des données personnelles les concernant « pour des raisons tenant à leur situation particulière ». Le droit d’opposition ne peut être exercé que si le traitement repose sur l’une des bases légales suivantes :
- l’intérêt légitime de l’organisme ou d’un tiers; ou
- l’exécution d’une mission effectuée dans l’intérêt public ou par une autorité publique.
Dans d’autres situations, la personne concernée ne peut pas utiliser le droit d’opposition parce que, pour les autres bases légales, il existe des alternatives pour atteindre le même objectif : en cas de consentement, la personne concernée peut simplement retirer son consentement. La personne concernée ne peut s’opposer à un traitement imposé par la loi.
Lorsque les personnes concernées exercent leur droit d’opposition, votre organisme doit équilibrer les intérêts des deux parties. Il doit cesser tout traitement de ces données personnelle à moins qu’il ne puisse démontrer des raisons légitimes et impérieuses qui l’emportent sur les droits et libertés de la personne concernée (par exemple, elle poursuit une action en justice). Votre organisme doit documenter et communiquer ces raisons à la personne concernée.
Important à noter
Lorsque les données sont traitées à des fins publicitaires, la personne concernée a le droit de s’opposer à ce traitement sans fournir aucune raison. Dans ce cas, les raisons pour lesquelles votre organisme traite ces données ne sont pas pertinentes : l’opposition doit conduire à la fin immédiate du traitement à cette fin.
Dans la pratique
- Vous êtes une petite entreprise de marketing événementiel. Lorsqu’une personne achète un billet pour le concert d’un groupe en ligne, elle reçoit des publicités pour d’autres concerts similaires. Si la personne souhaite cesser de recevoir ces publicités et exerce son droit d’opposition, l’organisme doit arrêter le marketing direct.
- Vous êtes une PME active dans le secteur de l’assurance. Dans ce secteur, des données personnelles sont nécessaires dans certaines situations pour lutter contre les pratiques de blanchiment d’argent. Vous pouvez, en tant que courtier d’assurance, refuser de donner suite à un droit d’opposition parce que les lois nationales de lutte contre le blanchiment d’argent vous obligent à traiter les données.
En savoir plus
Le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé
Une personne a le droit de ne pas faire l’objet d’une décision entièrement automatisée (c’est-à-dire sans aucune intervention humaine dans le processus décisionnel), qui a des effets juridiques ou affecte de manière significative la personne en question.
La prise de décision automatisée va souvent de pair avec le profilage, qui est défini dans le RGPD comme « toute forme de traitement automatisé de données à caractère personnel consistant en l’utilisation de données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prévoir des aspects concernant les performances de cette personne physique au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les mouvements » (article 4, paragraphe 4, du RGPD).
Pour que ce droit s’applique, le traitement automatisé doit comporter :
- une décision basée exclusivement sur un traitement automatisé, sans intervention humaine. Cela signifie qu’aucune personne physique n’a de contrôle significatif sur la décision et ne peut, par exemple, modifier ou annuler la décision ;
- une décision qui a des effets juridiques pour les personnes concernées ou qui les affecte de manière significative.
Dans la pratique
- Un exemple d’effets juridiques pourrait être la résiliation automatique d’un contrat de téléphonie parce que le client n’a pas payé la facture mensuelle.
- Une décision qui affecte de manière significative la personne peut être trouvée dans les exemples suivants (cependant, le contexte doit, bien entendu, toujours être pris en compte lors de l’évaluation de l’impact significatif sur la personne concernée) :
- les décisions qui affectent la situation financière des personnes, telle que leur admissibilité au retrait de crédit ;
- le refus automatique des candidats qui postulent via une plateforme en ligne ;
- la différenciation des prix en fonction de l’historique de navigation et des habitudes d’achat d’un consommateur ;
- les décisions qui affectent l’accès d’une personne à l’éducation, par exemple les admissions à l’université.
Il existe trois situations dans lesquelles une décision individuelle automatisée peut encore être prise :
- si la loi l’autorise (par exemple, la prévention de la fraude ou de l’évasion fiscale) ;
- si la décision est fondée sur le consentement explicite de la personne concernée ; ou
- si cela est nécessaire à la conclusion ou à l’exécution d’un contrat. Cependant, sachez que dans cette dernière situation, cela dépend toujours d’une évaluation au cas par cas. Dès lors qu’il existe des méthodes moins envahissantes pour conclure ou exécuter le contrat, la décision automatisée n’est plus considérée comme « nécessaire ».
Si des données sensibles sont concernées, la prise de décision automatisée n’est possible que sur la base d’un consentement explicite ou d’un intérêt public substantiel en vertu du droit de l’Union ou du droit national.
Droits des personnes concernées pour chaque base légale
