Réclamation auprès de la Commission nationale pour la protection des données
Dernière modification le
Les droits en matière de protection des données à caractère personnel (ci-après "données personnelles") sont renforcés pour tous les citoyens de l’Union européenne.
Toute personne dispose des droits d’information, d’accès, de rectification, à l’oubli, à la limitation, à la portabilité et d’opposition en ce qui concerne ses données personnelles (Ces droits sont détaillés et définis sous la rubrique "conditions préalables").
Toute personne peut contacter directement le responsable du traitement de ses données personnelles (ci-après "responsable du traitement") afin de faire valoir ses droits.
Elle peut également déposer une réclamation auprès de la Commission nationale pour la protection des données (CNPD) si sa demande auprès du responsable du traitement est restée sans suite ou si cette demande s'avère difficile ou impossible compte tenu des circonstances.
Personnes concernées
Toute personne concernée par une collecte ou l’utilisation de ses données personnelles en ligne ou par tout autre moyen a le droit de faire valoir ses droits auprès du responsable du traitement.
Conditions préalables
Notion de consentement
Le responsable du traitement ne peut collecter et utiliser des données personnelles que si :
- la personne concernée consent au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques,
- le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
- le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsabble du traitement ;
- le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers à moins que ne prévalent les intérêts, libertés ou intérêts fondamentaux de la personne concernée qui exigent une protection des données personnelles (notamment s'il s'agit d'un enfant).
Non-respect du droit d’information
La personne concernée doit être informée par le responsable du traitement non seulement de la collecte de ses données personnelles mais également de tous les droits qui en découlent.
En cas de collecte directe auprès de la personne concernée, le responsable du traitement doit fournir à la personne concernée, sauf si elle en dispose déjà, au moment où les données en question sont obtenues, les informations suivantes :
- son identité et ses coordonnées ainsi qu'éventuellement, celles de son représentant ;
- les coordonnées du délégué à la protection des données s’il existe ;
- les finalités et la base juridique du traitement ;
- si le traitement se fonde sur des intérêts légitimes poursuivis par le responsable du traitement ou un tiers, des informations sur ces intérêts ;
- les destinataires ou les catégories de destinataires des données personnelles s’ils existent ;
- si tel est le cas, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données personnelles vers un pays tiers de l’UE ou une organisation internationale ;
- la durée de conservation des données personnelles ou , lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable du traitement l’exercice de ses droits (accès à ses données personnelles, leur rectification/effacement, droits de limitation, d’opposition et de portabilité des données) ;
- le droit de retirer à tout moment son consentement lorsqu’il a été donné pour une ou plusieurs finalités spécifiques ;
- le droit d’introduire une réclamation auprès de la CNPD ;
- si l'exigence de fournir ses données personnelles :
- a un caractère réglementaire ;
- a un caractère contractuel ;
- si elle conditionne la conclusion d'un contrat ;
et les conséquences éventuelles du refus de fournir ces données ;
- l’existence et les conséquences d’une prise de décision automatisée, y compris le profilage ;
- lorsque le responsable du traitement à l’intention d’effectuer un traitement ultérieur des données personnelles pour une finalité autre que celle pour laquelle elles ont été collectées, il doit fournir à la personne concernée des informations concernant cette autre finalité.
En cas de collecte indirecte (si les données n’ont pas été collectées directement auprès de la personne concernée), outre les informations fournies dans le cadre d’une collecte directe des données personnelles (exceptées les informations concernant l’exigence de les fournir et les conséquence d’un refus ainsi que celles relatives aux éventuels traitements ultérieurs) le responsable du traitement doit également fournir les informations suivantes :
- les catégories de données personnelles concernées ;
- la source d’où proviennent les données personnelles et éventuellement, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
- dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ;
- au plus tard au moment de la première communication, si les données à caractère personnel doivent être utilisées par le responsable du traitement aux fins de communication avec la personne concernée ;
- s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel lui sont communiquées pour la première fois.
Cependant, dans le cas d’une collecte indirecte, ces informations ne doivent pas être fournies si :
- la personne concernée dispose déjà de ces informations ;
- leur fourniture :
- se révèle impossible ; ou
- exige des efforts disproportionnés (concernant notamment le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou statistique) ; ou
- est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement. Dans ces cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;
- se révèle impossible ; ou
- l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union européenne ou la législation à laquelle le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ; ou
- les données personnelles doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union européenne ou le droit des États membre, y compris une obligation légale de secret professionnel.
Les informations communiquées doivent être aisément accessibles, faciles à comprendre et formulées dans des termes clairs et simples.
Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique.
Non-respect du droit d’accès
La personne concernée a, à tout moment et sans frais, le droit :
- d'obtenir la confirmation que ses données personnelles sont ou non traitées;
- d'accéder à ces données;
- d'obtenir les informations suivantes:
- les finalités du traitement;
- les catégories de données personnelles concernées;
- les destinataires des données personnelles (en particulier, s'il s'agit de pays hors UE et d'organisations internationales);
- si possible, la durée de conservation des données personnelles ou sinon, les critères utilisés pour déterminer cette durée;
- l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données personnelles ou la limitation du traitement ou du droit de s'opposer au traitement;
- le droit d'introduire une réclamation auprès de la CNPD;
- en cas de collecte indirecte des données, toute infromation quant à leur source,
- l'existence d'une prise de décision automatiséem y compris le profilage;
- une copie de toutes ses données personnelles détenues par un responsable du traitement (ex. dossier médical, dossier client, compte personnel sur un réseau social, etc.).
La personne concernée doit simplement contacter le responsable du traitement et en faire la demande par écrit ou par voie électronique.
Le responsable du traitement exiger le paiement de certains frais pour toute copie supplémentaire (notamment des frais de copies).
Le responsable du traitement doit répondre dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.
Au besoin, ce délai peut être prolongé de 2 mois, compte tenu de la complexité et du nombre des demandes. Dans ce cas, le responsable du traitement doit informer la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
Non-respect du droit de rectification
Lorsque des données personnelles collectées sont inexactes, incomplètes ou plus à jour, la personne concernée peut demander directement au responsable du traitement de les rectifier ou de les compléter.
Non-respect du droit à l’oubli
Il s’agit, dans certains cas, du droit pour la personne concernée de demander l’effacement de certaines données auprès du responsable du traitement, à savoir notamment si:
- la conservation de certaines données de la personne concernée n'est plus justifiée;
- le responsable du traitement n'a plus aucun motif légitime qui justifie la conservation des données personnelles de la personne concernée (par exemple: des obligations légales au niveau de la comptabilité).
Non-respect du droit à la limitation
Il permet d’interdire temporairement au responsable du traitement de continuer à utiliser des données personnelles pendant une certaine période, c’est-à-dire jusqu’au moment où il a vérifié :
- l’exactitude des données concernant le droit de rectification ;
- le motif d’effacement ou d’opposition invoqué.
Cela concerne également le cas où le responsable du traitement n'a plus besoin des données personnelles aux fins du traitement mais que celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice.
Remarque : le responsable du traitement pourra uniquement "stocker" les données personnelles mais ne pourra plus les utiliser.
La limitation peut être exercée selon diverses modalités (déplacement temporaire vers un autre fichier, verrouillage des données, retrait temporaire d'un site Internet, etc).
Non-respect du droit à la portabilité
Toute personne a le droit de demander au responsable du traitement de lui faire parvenir gratuitement les données :
- qui lui ont été volontairement communiquées par la personne concernée pour une ou plusieurs finalités spécifiques ;
- qu’il a reçu dans le cadre de l’exécution d’un contrat.
Ces données doivent être adressées dans un format structuré, couramment utilisé et lisible par machine (par exemple : sous format pdf).
Dans certains cas, il est également possible d’exiger du responsable du traitement qu’il transmette ces données directement à un autre responsable choisi par la personne concernée (réseau social, fournisseur d'accès Internet, site de streaming, etc.).
Lorsque le traitement effectué par l’administration se fonde sur sa mission d’intérêt public, le droit à la portabilité ne s’applique pas.
Non-respect du droit d’opposition
Toute personne peut s’opposer à la collecte ou l’utilisation de ses données personnelles.
La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données personnelles la concernant fondé sur un traitement nécessaire :
- à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données personnelles, notamment lorsqu’il s’agit d’un enfant (ex. mon intérêt légitime).
Dans ce cas, le responsable du traitement ne traite plus les données personnelles, sauf s’il ne démontre qu'il existe des motifs légitimes et impérieux :
- pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne concernée; ou
- pour la constatation, l'exercice ou la défense de droits en justice.
Lorsque les données personnelles sont traitées à des fins de prospection commerciale, la personne concernée a le droit de s'opposer, à tout moment, au traitement des données personnelles la concernant à de telles fins, y compris au profilage lié à une telle prospection.
Dans ce cas, les données personnelles ne sont plus traitées à ces fins de prospection.
Au plus tard au moment de la première communication avec la personne concernée, ce droit d’opposition est :
- explicitement porté à l'attention de la personne concernée; et
- est présenté clairement et séparément de toute autre information.
Démarches préalables
Tout personne qui constate ou estime que l’un ou plusieurs de ses droits ne sont pas respectés peut introduire une demande/réclamation auprès du responsable du traitement de ses données personnelles ou du moteur de recherche concerné.
Si, au cours d'une recherche, la personne concernée constate que le résultat est erroné ou n'est plus pertinent, elle peut contacter le moteur de recherche pour demander le déréférencement du résultat trouvé. La personne concernée devra, dans ce cas, expliquer la raison pour laquelle le résultat est faux ou non-pertinent (notamment, suppression d'anciennes photos, ancien CV). (Cette suppression ne signifie pas l'effacement de l'information sur le site Internet source et le droit du public, peut, dans certains cas, faire obstacle au déréférencement).
Si cette demande n’aboutit pas, la personne concernée peut introduire une réclamation auprès de la CNPD.
Coûts
Les réclamations auprès de la CNPD sont gratuites.
Modalités pratiques
Introduction de la plainte
Le formulaire de réclamation peut être déposé :
- en ligne sur le site de la CNPD, ce qui a l’avantage d’accélérer le traitement de la réclamation ;
- par courrier à l’adresse suivante : Commission nationale pour la protection des données, Service des réclamations, 15, boulevard du Jazz, L-4370 Belvaux.
Pièces justificatives
Le réclamant peut joindre des éléments de preuve et préciser leur nature dans les champs dédiés du formulaire.
Il est conseillé de ne transmettre que les pièces utiles au traitement de la réclamation.
Les preuves peuvent être :
- les correspondances complètes avec le responsable du traitement ;
- les documents à l’appui de la réclamation (factures, contrats, etc.) ;
- les messages ou courriers de prospections ;
- des photographies ;
- des prises d’écran ("screenshots") ;
- tout autre document utile pour le traitement de la réclamation.
Litiges
En plus de la possibilité de pouvoir introduire une réclamation auprès de la CNPD, chaque personne concernée a le droit d’agir en justice si elle considère que ses droits n'ont pas été respectés par le responsable du traitement. Elle pourra ainsi éventuellement obtenir la réparation de ses dommages moral et/ou matériel.
Services en ligne et formulaires
Services en ligne
Formulaires à télécharger
Note : consultez notre article d’aide sur l’utilisation des formulaires PDF.
Organismes de contact
-
Commission nationale pour la protection des données (CNPD)
- Adresse :
- 15, boulevard du Jazz L-4370 Belvaux Luxembourg
- Tél. :
- (+352) 26 10 60 1
- Fax :
- (+352) 26 10 60 29
- Site web :
- http://www.cnpd.lu
Démarches et liens associés
Démarches
Liens
Informations complémentaires
-
Vos droits
sur le site de la Commission nationale pour la protection des données
-
Faire valoir vos droits
sur le site de la Commission nationale pour la protection des données
-
Brochure "Vos données ? Vos droits !"
sur le site de la Commission nationale pour la protection des données
Références légales
-
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
-
Loi du 1er août 2018
portant organisation de la Commission nationale pour la protection des données