Le RGPD, c’est, avant toute chose, la protection des données personnelles et des droits pour que celle-ci soit respectée. Et qui dit droits pour des personnes, dit obligations pour d’autres.

Toute personne dont les données font l’objet d’un traitement dispose de droits évoqués dans le RGPD. Sont évoqués essentiellement les suivants :

Le droit d’accès : chaque personne a le droit de savoir quelles sont les données détenues par le professionnel. La transparence est donc indispensable.

Le droit de rectification : lorsqu’une donnée est inexacte, le responsable du traitement doit faire les modifications nécessaires pour que la donnée soit exacte. La rectification est donc non seulement un droit, mais aussi une obligation, selon la personne concernée.

Le droit à l’oubli : les données, qui ne peuvent être conservée au-delà de la durée légale, doivent être effacées sans délai par le responsable du traitement si la personne concernée le demande.

Le droit d’opposition : toute personne a le droit de refuser le traitement (et donc la collecte) de ses données. Ce point fait encore couler beaucoup d’encre (virtuelle) puisqu’il s’agit parfois là d’une atteinte directe au modèle économique de nombreux sites et services (les réseaux sociaux en tête). Meta se bat et se retrouve régulièrement devant les tribunaux à propos de ce fondement. Encore, en avril 2025, Meta a reçu une condamnation de 200 millions d’euros pour la mise enlace de sont système « consent or pay », considéré comme ne respectant pas ni la notion de consentement, ni celle du droit d’opposition.

Avec ces droits pour les personnes à protéger, viennent des obligations pour les responsables des traitements. On pense notamment à ces obligations :

La sécurisation des données : les atteintes aux données personnelles, les vols de données deviennent de plus en plus courant. Hackers, escrocs, employés indélicats, faille informatique, il existe de plus en plus de cas où les données peuvent se retrouver dans la nature et être utilisée à mauvais escient. La cyber-sécurité est donc la pierre angulaire du respect du RGPD pour les responsables des traitements : protéger les données et les systèmes, c’est sécuriser les données et les personnes.

L’obtention du consentement des personnes : aucune collecte ne peut se faire sans un consentement libre et éclairé. Cette obligation répond au droit d’opposition et cause donc les mêmes tracas aux entreprises, et nous pouvons nous attendre à d’autres décisions judiciaires importantes dans ce domaine dans les prochains temps.

La cartographie des données et de leurs usages est indispensable pour assurer les droits des personnes. C’est là que l’aide d’un DPO est essentielle, et que les services de spécialistes dans le domaine prend tout son sens, bien que l’accompagnement, en terme de conformité RGPD, reste pluridisciplinaire et à 360°. Nous sommes bien évidemment présents pour toute information dans ce domaine.