Le droit d’opposition :
Les personnes doivent pouvoir s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).
Les droits d’accès et de rectification :
Toute personne peut, accéder à l’ensemble des informations la concernant, connaître l’origine des informations le concernant, accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit), en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés), exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.
Le droit à l’effacement :
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
- Les données sont utilisées à des fins de prospections;
- Les données ne sont plus nécessaires au regard des finalités initiales;
- La personne retire son consentement au traitement de ses données;
- La personne s’oppose au traitement et il n’existe pas de motif légitime impérieux;
- Le traitement est illicite;
- Les données doivent être effacées pour respecter une obligation légale
Le droit à la portabilité des données :
- Le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
- Le responsable de traitement n’a plus besoin des données à caractère personnel aux fins de traitements mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense des droits en justice ;
- La personne concernée s’est opposée au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
Qui peut exercer cette demande ?
C’est à la personne voulant accéder à ses données personnelles qui doit en faire la demande. Cette personne peut donner un mandat à une personne de son choix pour exercer son droit d’accès. Dans ce cas, la personne choisie doit présenter un courrier précisant l’objet du mandat (exercice du droit d’accès), l’identité du mandant (identité du demandeur qui exerce son droit d’accès à ses données personnelles) et du mandataire (son identité). Elle doit justifier de son identité et de celle du demandeur. Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche.
Les limites au droit d’accès
Le droit d’accès doit s’exercer dans le respect du droit des tiers : par exemple, il n’est pas possible de demander à accéder aux données concernant son conjoint ; un salarié d’une entreprise ne peut obtenir des données relatives à un autre salarié. De même, le droit d’accès ne peut porter atteinte au secret des affaires ou à la propriété intellectuelle (droit d’auteur protégeant le logiciel par exemple).
Le refus :
Le responsable de traitement n’est pas tenu de répondre aux demandes de droit d’accès si :
- elles sont manifestement infondées ou excessives notamment par leur caractère répétitif (par exemple, demandes multiples et rapprochées dans le temps d’une copie déjà fournie);
- les données ne sont plus conservées / ont été effacées : dans ce cas, l’accès est impossible (ex : les enregistrements réalisés par un dispositif de vidéosurveillance sont conservés normalement 30 jours maximum. Ils sont détruits à l’issue de ce délai).
Si refus de la demande d’accès, le responsable de fichier motivera sa décision et informera le demandeur des voies et délais de recours permettant de la contester dans un délai d’un mois.
Etape 1 : Réception
A réception d’une demande de droit d’accès par voie électronique, celle-ci doit être transmise à l’adresse suivante : donneespersonnelles@afapca.fr A réception d’une demande de droit d’accès par voie postale au siège de l’association, celle-ci doit être transmise au responsable de traitement et au DPO de l’association. Si une demande est formulée sur place, celle-ci est formalisée par écrit avec le demandeur et si une réponse immédiate ne peut être fournie, un avis de réception daté et signé est remis au demandeur.
Etape 2 : Analyse de la demande
Il est nécessaire d’analyser la demande et de déterminer les informations suivantes :
- Droit invoqué
- Identification du demandeur (preuve valide de son identité – exemple : photocopie de pièce d’identité si nécessaire).
Si dans la demande initiale ces informations n’ont pas pu être constatées, le demandeur reçoit un formulaire type à remplir et à nous retourner. Le formulaire est envoyé par mail ou par courrier (en fonction de la voie utilisée pour la demande initiale). La demande doit être traitée au plus tard dans un délai d’un mois à compter de sa réception. Si la demande est incomplète, le délai est alors suspendu et courre à nouveau une fois ces éléments fournis. Les demandes de droit d’accès doivent être prises en charge gratuitement. Des frais raisonnables basés sur les coûts administratifs peuvent être facturés :
- Pour toute copie supplémentaire demandée par la personne concernée ;
- Si la demande est manifestement infondée ou excessive.
Toutes les demandes et réponses sont conservées par le DPO et le responsable de traitement de l’association. Lorsqu’une demande complète est reçue par le DPO de l’association, celui-ci entame des recherches pour réunir les données relatives à la demande (dossier papier, dossier numérique, mails, courriers…).
Etape 3 : Réponse
Les éléments sont communiqués dans un format compréhensible. Les codes, les sigles et les abréviations éventuellement utilisés sont expliqués. Le demandeur peut consulter les informations demandées sur un écran ou consulter les fichiers contenants ces informations dans les locaux de l’association. Lorsqu’une réponse est formulée au demandeur, il est informé qu’il peut s’adresser à la CNIL si la réponse donnée par l’association ne lui convient pas.
Procédure en fonction du droit invoqué, si les vérifications ont été réalisées et le droit reconnu comme légitime :
- Droit d’accès : Fournir une copie des données ou permettre la consultation des données au demandeur avec les éléments suivants :
- La finalité du traitement
- Les catégories de données concernées
- La durée de conservation des données
- L’existence du droit de rectification, d’effacement, de limitation ou d’opposition au traitement des données
- L’origine des données si non collectées auprès de la personne
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle
- Les destinataires auxquels les données ont été ou seront communiquées
- Droit de rectification : Le demandeur indique les informations à modifier. Le DPO prend note des informations à modifier et les modifie lui-même dans le dossier du demandeur ou prend contact avec le référent de parcours du demandeur et transmet les informations à modifier.
- Droit d’opposition : Le demandeur indique pour quelles raisons tenant à sa situation particulière il souhaite s’opposer à l’utilisation de ses données. La réponse du responsable de traitement dépendra du statut du demandeur (bénéficiaire, bénévole, salarié…) et des données concernées. La réponse du responsable de traitement sera basée sur la réglementation de la protection des données et des obligations légales de l’association. Il est à noter que l’association doit conserver certaines données pendant une durée de 10 ans pour un éventuel contrôle des financeurs.
- Droit à la limitation du traitement : Le demandeur indique pour quelles raisons il souhaite obtenir la limitation de ses données personnelles. La réponse du responsable de traitement dépendra du statut du demandeur (bénéficiaire, bénévole, salarié…) et des données concernées. La réponse du responsable de traitementsera basée sur la réglementation de la protection des données et des obligations légales de l’association.
- Droit à la portabilité : Obtenir et réutiliser une copie des données. Les demandes de portabilité seront analysées au cas par cas, au regard des données concernées, de l’éventuel transmission à un tiers responsable de traitement, du moyen de transmission des données (format). Ceci dans le respect de la réglementation de la protection des données et des obligations légales de l’association. L’association se réserve le droit de mettre à jour cette politique à tout moment. Si vous avez des questions au sujet de cette politique, veuillez envoyer un mail à l’adresse suivante : donneespersonelles@afapca.fr