La confidentialité des données / données personnelles

selon l'art. 15 du RGPD

Cabinet d'avocats spécialisé dans le droit informatique et la protection des données à Kerpen, Cologne et Witten

Droit des technologies de l'information et droit de la protection des données | Un partenaire solide pour les employés et les employeurs

La confidentialité des données & les données à caractère personnel

Cabinet d'avocats spécialisé dans le droit informatique et la protection des données à Kerpen, Cologne et Witten

Avocat pour - droit du travail | droit pénal | droit de l'informatique | protection des données

Le secret général des données est ancré dans la loi fédérale sur la protection des données et est applicable conjointement avec le règlement général sur la protection des données. Dans le cadre de l'utilisation de données personnelles, la collecte et l'utilisation de celles-ci ne sont autorisées que si la loi fédérale sur la protection des données ou d'autres normes juridiques l'autorisent ou l'ordonnent expressément ou si la personne concernée a donné son consentement à cette utilisation. 

L'utilisation étant soumise à la prémisse de l'autorisation, les personnes ne sont pas autorisées à collecter les données sans autorisation, à les traiter ensuite ou à les utiliser et les diffuser. Dans le cadre d'une relation de travail et d'une activité impliquant l'utilisation des données, l'interdiction existe même si l'on ne travaille plus pour l'employeur et que l'on n'exerce plus son activité. On peut citer comme exemple une activité dans le cadre d'un poste de personnel.

Il convient donc de distinguer les directives de protection des données, les lois de protection des données et les règlements de protection des données. Une directive sur la protection des données donne une certaine orientation qui débouche, au niveau national, sur une loi sur la protection des données telle que la BDSG (loi fédérale sur la protection des données). La loi sur la protection des données diffère donc d'un pays à l'autre et peut toujours être légèrement différente. Dans le cadre des règlements sur la protection des données, ceux-ci sont toutefois contraignants au niveau international de la même manière pour tous les pays européens ou les États membres de l'UE et sont donc tenus de respecter ce règlement.

La loi fédérale allemande sur la protection des données existe sous sa forme actuelle depuis 2018. Celle-ci a été promulguée dans le cadre du règlement général sur la protection des données et concrétise encore une fois quelque peu ce règlement européen. Ainsi, des dispositions explicites ont été formulées et des règles spéciales ont été adoptées pour l'Allemagne. Ainsi, la loi fédérale sur la protection des données régit des contenus GDPR (règlement général sur la protection des données) ou l'a laissée ouverte. Toutefois, il existe également des lois explicites sur la protection des données au niveau des Länder, comme la DSG NRW (loi sur la protection des données en Rhénanie-du-Nord-Westphalie).

Il ne fait aucun doute que l'examen des GDPR (règlement général sur la protection des données) est encore plus intéressant à cet égard, car il donne le droit personnel de demander des informations sur ses données personnelles aux organismes qui les traitent.

Le droit d'accès selon l'article 15 du RGPD

Information selon l'article 15 du RGPD

Le site Art. 15 du règlement général sur la protection des données garantit à chaque individu un droit important. En vertu de cet article, les personnes concernées ont le droit de demander à une entreprise ou à un organisme quelles données sont stockées ou traitées à leur sujet. La plupart du temps, la personne concernée reçoit également des informations sur la finalité du traitement, l'origine des données ou le destinataire des données. 

Le droit d'accès s'applique aux organismes publics tels que les autorités et à tous les autres organismes tels que les entreprises, les fédérations ou les associations. L'objectif de ce droit d'accès devrait être d'obtenir une vue d'ensemble et un certain contrôle sur les données exactes qui sont traitées et enregistrées.

Que comprend le droit d'accès ?

Contenu du droit d'accès

L'article 15 du RGPD constitue pour vous une base pour faire valoir des droits ciblés tels que le droit de rectification, d'effacement, de limitation du traitement ou le droit de révocation du traitement. Il est donc possible d'obtenir du responsable de la collecte et du traitement des informations sur la question de savoir si celui-ci traite des données et, le cas échéant, lesquelles. Les données concernées sont celles qui concernent la personne. L'article 4, paragraphe 1, point 1, de la directive "vie privée et communications électroniques" explique cela plus en détail. GDPR.

Définitions
"données à caractère personnel" [désigne] toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, à un numéro d'identification, à des données de localisation, à un identifiant en ligne, ou à une ou plusieurs caractéristiques particulières, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;"

Ainsi, la notion de données est élargie et ne se réfère pas uniquement aux données de base de la personne, telles que le nom, l'adresse ou la date de naissance. Sont également concernées les données telles que les communications déjà terminées ou les notes et documents. La demande d'information est en principe gratuite pour vous. L'exception à cette règle serait que la demande soit manifestement infondée ou qu'il y ait une accumulation excessive de demandes. Dans ce cas, il est possible d'exiger une rémunération pour les renseignements fournis.

Le droit de rectification

Droit de rectification

Le droit de rectification découle de l'article 16 de la directive sur la protection des données. GDPR de la part de l'entreprise. Si vous vous rendez compte que vos données personnelles sont erronées, vous avez le droit de demander au responsable du traitement de corriger vos données sans délai. Cela doit se faire "sans délai", c'est-à-dire sans hésitation coupable.

Droit de rectification
"La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données inexactes la concernant. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris par une déclaration supplémentaire".

Le droit à l'effacement et à la limitation du traitement

Effacement et limitation du traitement

Le secret des données, les données à caractère personnel, l'art. 15 du RGPD, le règlement général sur la protection des données, le règlement sur les données, l'avocat en droit informatique, l'avocat en droit informatique, l'avocat en droit de la protection des données, l'avocat en droit de la protection des données, l'avocat en droit de la protection des données

Vous disposez également d'un droit d'effacement ou de limitation du traitement vis-à-vis de l'organisme. Le droit à l'effacement et à la limitation vous est accordé en particulier lorsque le traitement de vos données n'est plus nécessaire ou que la collecte n'était pas légale, lorsque vous avez rédigé une révocation contre le traitement ou lorsque vous vous êtes opposé au traitement. En outre, ce droit existe lorsque l'effacement est nécessaire en raison de bases légales ou même, par exemple, lorsqu'un jeune s'est inscrit à un réseau social. Tous les motifs d'effacement sont mentionnés à l'article 17 du RGPD.

En tant qu'exception au droit susmentionné, il convient de mentionner que l'effacement ou la limitation n'a pas lieu lorsque le traitement des données sert une tâche publique ou l'intérêt public. Une autre exception est lorsque le traitement des données est effectué et nécessaire à des fins de recherche, de science ou de statistiques. En ce qui concerne les statistiques et la situation du logement en Allemagne, on peut citer l'exemple très actuel du "recensement 2022". La participation à ce dernier est obligatoire et le non-respect de la communication peut être sanctionné par une amende allant jusqu'à 5.000,00 €. Dans le cas le plus extrême, la remise des données peut même être imposée.

Afin de garantir la sécurité des données, tous les collaborateurs des bureaux de collecte sont soumis au secret professionnel et la collecte de données en ligne est cryptée. De même, les données ne sont pas transmises à des tiers.

Si vous souhaitez qu'un organisme vous fournisse des informations conformément à l'article 15 du RGPD, vous devez être informé de ce qui suit.

Le droit à l'information souhaité a les contenus suivants

Contenu du droit à l'information

  • Finalité du traitement
    • il s'agit de la finalité que l'organisme poursuit avec le traitement des données. Celle-ci doit être clairement et concrètement mentionnée.
  • l'intention de la transmission, ainsi que les destinataires et les catégories de destinataires
    • l'organisme doit obligatoirement indiquer s'il a l'intention de transmettre vos données à caractère personnel à un organisme tiers.
  • Durée de conservation et information sur la conservation
  • Note sur vos droits
    • l'organisme doit vous informer de vos autres droits. Il s'agit des droits de rectification, d'effacement, d'opposition ou de retrait du consentement.
  • Remarque sur la prise de décision automatique
    • la prise de décision automatique désigne par exemple le profilage.
  • Vos données personnelles
    • Vous avez également le droit de recevoir une copie (électronique) des données à caractère personnel.
  • Catégories de données traitées
  • Source de la base de données

Le droit à l'information souhaité n'a pas les contenus suivants

Absence de contenu du droit à l'information

  • Coordonnées du responsable et de son délégué à la protection des données
  • Base juridique du traitement
    • ici, les bases juridiques envisageables sont les GDPR ou la loi fédérale sur la protection des données.
  • Intérêts poursuivis par le responsable
    • Il s'agit ici des intérêts relatifs au traitement des données.
  • Intention de changement d'objectif
  • L'obligation de traitement

Limites de l'information

Limites de l'information

Le droit d'accès prévu par l'art. 15 GDPR n'est pas accordé de manière ciblée et sans limites. Les limites de l'accès sont avant tout les droits et libertés d'autres personnes. En termes plus simples, il s'agit de données personnelles de tiers ou de secrets industriels et commerciaux. Ainsi, le répondant peut régulièrement refuser de fournir des informations, mais pas toujours ni complètement. Il lui reste logiquement toujours la possibilité de noircir les données de tiers ou les secrets afin de protéger suffisamment leur identité. D'autres restrictions peuvent résulter de la loi fédérale sur la protection des données ou du code social X. Dans ce dernier cas, il convient de se référer à la loi sur la protection des données. 

La protection de la sécurité publique peut être citée ici à titre d'exemple. On entend par là la protection de l'ordre juridique écrit, de l'État et de ses institutions ou des biens juridiques individuels des citoyens.

En outre, il existe une obligation de conserver les données à caractère personnel lorsque l'utilisation se fait par exemple sur la base de dispositions fiscales ou commerciales. En règle générale, il n'y a pas de droit d'accès si celui-ci est lié à un effort disproportionné et si le répondant peut garantir la finalité de la sauvegarde des données par des mesures techniques ou organisationnelles appropriées. L'article 34 de la loi fédérale sur la protection des données (BDSG) réglemente plus en détail la limitation du droit d'accès. 

Le droit d'accès n'existe pas si la personne concernée ne doit pas être informée ou si les données ne peuvent pas être effacées en raison de dispositions légales ou si elles servent exclusivement à des fins de sauvegarde des données ou de contrôle de la protection des données. Pour que la demande puisse être refusée, il faut que ces deux cas de figure nécessitent des efforts disproportionnés.

Comment obtenir mes renseignements ?

Obtenir des renseignements

Vous pouvez faire valoir et déposer auprès de l'organisme concerné une demande informelle mentionnant le droit d'accès, sans avoir à justifier votre demande. Si vous vous présentez personnellement au service ou si vous demandez un renseignement par téléphone, celui-ci ne sera en général pas accordé ou possible. Lors d'une demande par téléphone, il n'est généralement pas possible de garantir l'identification de la personne autorisée. Cela découle du principe selon lequel l'organisme qui traite les données à caractère personnel doit veiller à ce que les données ne soient pas divulguées à des tiers non autorisés. 

Ainsi, la demande à l'organisme devrait toujours être faite par écrit ou par un moyen électronique sécurisé, tel que le DE-Mail. Si l'organisme a un doute objectivement fondé sur l'identité, il peut demander des informations supplémentaires pour confirmer l'identité. Cela découle de l'article 12, paragraphe 6, du RGPD.

Légitimité du traitement
"Si le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique qui introduit la demande conformément aux articles 15 à 21, il peut, sans préjudice de l'article 11, demander les informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée."

Ainsi, il n'est pas rare que le service sollicité demande une copie de la carte d'identité afin de procéder à une telle confirmation. Ainsi, le demandeur s'assure au moins que le nom, l'adresse et la date de naissance peuvent être comparés. La photo, la nationalité ou le numéro de la carte d'identité ne doivent pas être divulgués. Ces données peuvent être caviardées en cas de demande de carte d'identité. L'organisme doit veiller à ce que les données figurant sur le document d'identité ne soient utilisées que pour contrôler l'identité et ne soient pas intégrées dans les données de l'organisme. Lors d'une demande, il est donc particulièrement conseillé de décrire précisément les informations que vous souhaitez obtenir et sur quoi exactement. Cela permet d'obtenir des informations plus rapidement et surtout de manière plus ciblée.

Que se passe-t-il si l'information est finalement refusée ?

Refus de fournir des informations

Le refus final de fournir des informations à la personne physique est rare, mais néanmoins envisageable. Dans ce cas, vous pouvez déposer une plainte auprès de l'autorité de contrôle compétente en matière de protection des données. Il est important que vous joigniez dans tous les cas à votre plainte la correspondance que vous avez échangée jusqu'alors avec l'organisme. Il est donc important que vous la conserviez. Pour cette raison également, il est toujours recommandé de s'abstenir d'adresser des demandes téléphoniques ou personnelles à l'organisme. L'autorité de contrôle compétente, à titre d'exemple pour le Land de Rhénanie-du-Nord-Westphalie, est la LDI (Landesbeauftragte für Datenschutz und Informationsfreiheit).

Les erreurs les plus fréquentes commises par les organismes dans le cadre d'une demande d'information au titre de l'article 15 du RGPD sont les suivantes : la demande d'information est tout simplement ignorée, la réponse ne porte que sur les données de base, la demande n'est pas transmise au sein de l'organisme ou encore l'information n'est pas fournie à temps.

Déroulement de la demande d'information

Déroulement de la demande d'information

Le secret des données, les données à caractère personnel, l'art. 15 du RGPD, le règlement général sur la protection des données, le règlement sur les données, l'avocat en droit informatique, l'avocat en droit informatique, l'avocat en droit de la protection des données, l'avocat en droit de la protection des données, l'avocat en droit de la protection des données

Si un renseignement est demandé conformément à l'art. 15 GDPR la procédure normale peut être divisée en plusieurs phases. Au cours de la phase 1, la demande de renseignements est envoyée au service concerné. Au sein de ce service, la demande est transmise à la personne compétente. La phase 2 consiste généralement à vérifier l'identité du demandeur. La phase 3 est la phase de traitement, au cours de laquelle toutes les informations relatives aux données personnelles sont rassemblées. La phase 4 est celle de la réponse, généralement dans un délai d'un mois. La phase 5 marque la fin de la procédure et donne lieu à une documentation avec détermination et délai de conservation.

Renseignements fournis par l'assistance juridique

L'aide de l'avocat-conseil

Conformément à l'article 15 du RGPD, une demande d'accès est toujours quelque chose dont seules les personnes concernées peuvent faire usage. Il s'agit d'un droit personnel. Toutefois, rien ne s'oppose à une représentation, par exemple par un avocat de confiance. Étant donné que l'information porte sur des données à caractère personnel, l'avocat concerné doit toujours demander une procuration et la présenter au service. Il s'agit donc d'une légitimation ciblée du représentant vis-à-vis de l'organisme. 

Une procuration donnée à l'avocat doit donc se référer concrètement au droit à l'information souhaité selon l'art. 15 GDPR se référer à l'avocat. Le résultat de l'information est ensuite transmis à l'avocat. Étant donné qu'aucune exigence n'est imposée à la procuration elle-même, celle-ci peut être donnée par écrit, par voie électronique ou oralement. Pour que le droit à l'information aboutisse, le service compétent se fera toujours présenter la procuration nécessaire du demandeur d'informations. Il ne doit toutefois pas en résulter que la demande soit rendue plus difficile pour la personne concernée dès lors qu'elle ne souhaite pas la faire valoir elle-même.

Droit à des dommages et intérêts et à une indemnisation pour la douleur

Dommages et intérêts

Le site GDPR stipule également que l'information, tout comme la rectification et la suppression des données, doit être fournie sans délai. Ils doivent toutefois être effectués au plus tard dans un délai d'un mois. Si ce n'est pas le cas, il peut en résulter des demandes d'indemnisation ou de dommages et intérêts. C'est ce que prévoit l'article 12, paragraphe 3, du RGPD.

Information transparente [...] de la personne concernée
"Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à sa demande conformément aux articles 15 à 22. sans délai et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois si cela s'avère nécessaire compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de toute prolongation du délai dans un délai d'un mois à compter de la réception de la demande, en indiquant les raisons du retard. Si la personne concernée introduit sa demande par voie électronique, elle est informée, dans la mesure du possible, par voie électronique, sauf indication contraire de sa part".

Si l'organisme compétent ne respecte pas cette obligation, il s'agit d'une violation de la loi, ce qui peut entraîner, conformément aux dispositions du RGPD, une amende à l'encontre de l'organisme ainsi qu'un droit à des dommages et intérêts ou à des indemnités pour préjudice moral à l'encontre de la personne concernée. Cela découle de l'article 82 du RGPD.

Responsabilité et droit à l'indemnisation
"Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi".

Décision du tribunal du travail de Düsseldorf

Décision du tribunal du travail de Düsseldorf

Le tribunal du travail de Düsseldorf a déjà décidé qu'il existait un droit à des dommages et intérêts en raison d'une information non fournie ou insuffisante selon l'article 15 du RGPD. Il a ainsi été constaté qu'en raison d'un retard de deux mois, un montant de 500,00 € à titre de dommages et intérêts était approprié. Pour trois mois de retard supplémentaires, les dommages-intérêts s'élevaient à 1 000,00 € et, dans deux cas, à 500,00 € supplémentaires pour une information insuffisante quant au contenu. Le défendeur a donc dû payer 5.000,00 € à la personne concernée. A lire sous le signe : ArbG Düsseldorf, ZD 2020,649.

Conclusion

En résumé, en ce qui concerne les informations demandées en vertu du RGPD, une assistance juridique est toujours recommandée si l'information n'a pas été envoyée, l'a été trop tard ou a été envoyée de manière incorrecte. 

En outre, dans les cas particulièrement complexes, il est recommandé de consulter directement un avocat afin qu'il puisse déposer la demande d'accès conformément à l'article 15 du RGPD. Il est possible, comme mentionné ci-dessus, que des droits à des dommages-intérêts ou à des indemnités pour préjudice moral apparaissent et qu'un avocat puisse les faire valoir dans le cadre d'une procédure judiciaire. Cela permet également de s'assurer que le service compétent traitera correctement vos données personnelles à l'avenir.

Nous sommes volontiers le bon interlocuteur pour vous et nous nous occupons intégralement de votre demande personnelle en matière de protection des données.

Vous avez besoin d'un avocat en droit informatique ou en droit de la protection des données ?

Alors contactez-nous

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Cabinet d'avocats spécialisé dans le droit informatique et la protection des données à Kerpen, Cologne et Witten

Avocat pour - droit du travail | droit pénal | droit de l'informatique | protection des données