La réglementation européenne en vigueur ne permet au consommateur de demander à obtenir la preuve du bon exercice de son droit. L’organisme n’a donc rien d'autre à faire que certifier que tout a été réalisé dans les règles... Cela peut paraître étrange au premier abord, mais il est effectivement simple de générer de faux rapports informatiques “prouvant” l’effacement de données, ou que votre email est exclu de la liste des newsletters, etc. Pour autant, on ne peut pas demander à consulter les systèmes informatiques de l’organisme ciblé. Donc pour l’instant, la réglementation nous oblige à la confiance aveugle, quand l’article 19 de la réglementation européenne enjoint les organismes à nous notifier de la bonne application de nos droits à la rectification, à l’oubli ou à la limitation uniquement...

​

Voici donc quelques exemples de vérifications à réaliser après qu’un organisme vous ait répondu favorablement. Lorsque vous ne validez pas une de ces vérifications, et que, malgré vos démarches de médiation, vous ne réussissez pas à faire aboutir votre demande, vous êtes en droit de saisir l’autorité compétente, en France la CNIL, et de porter plainte. 

​

Sachez cependant qu’il existe des exceptions à l’exercice de tout ou partie vos droits:

• liberté d’expression et d’information

• missions d’intérêt public (santé, études historiques, statistiques ou de recherche)

• exercice de l’autorité publique

• constatation, exercice ou défense de droits en justice

​

Aussi, pour chacune de vos démarches, nous vous conseillons de:

• demander explicitement ce qui va être entrepris par l’organisme pour répondre à votre demande 

• obtenir de celui-ci, par écrit, les explications détaillées motivant son éventuel refus d’appliquer tout ou partie de votre droit

• conserver toute trace de votre démarche et des réponses obtenues

En toute logique, vous ne devez plus exister dans les systèmes informatiques de l’organisme. Par exemple: vous ne pouvez plus accéder à votre compte car celui-ci a dû être effacé.

Vous êtes en droit d’attendre une information complète concernant:

• la liste de vos données à caractère personnel détenues par l’organisme

• la durée de conservation de celles-ci

• la provenance de celles-ci: déclaration de votre part ou récupération via un tiers (lequel) ?

• la liste des traitements réalisés à partir de vos données

• le fondement légitime de ces traitements

• la liste des sous-traitants accédant à vos données

• le fondement légitime du partage de ces données avec ces sous-traitants

• le lieu d’hébergement de vos données

• les raisons pour lesquelles vos données sortent de l’espace européen (quand c’est le cas)

• si la fourniture de vos données personnelles est obligatoire ou non pour bénéficier des services de l’organisme

• les conséquences si vous supprimez vos données personnelles

En toute logique, les données que vous avez gelées ou pour lesquelles vous avez exercé votre droit d’opposition ne doivent plus être utilisées. Par exemple: vous ne devriez plus recevoir d’emails de cet organisme.

Il est attendu que vos données soient à jour. Par exemple, vous recevez votre colis à votre nouvelle adresse postale, votre nom d’épouse est bien utilisé, ou encore vous recevez désormais vos factures électroniques sur votre nouvelle adresse email.

Si en tapant votre nom et prénom dans un moteur de recherche, vous obtenez des résultats permettant de vous identifier directement ou par recoupement d’informations, c’est que votre droit n’a pas été respecté. Un outil est proposé par la CNIL pour surveiller la bonne application de votre droit auprès d’un site web.

Vos données ne doivent plus servir à vous profiler. Par exemple: vous ne devriez plus voir de publicités ciblées, ou de contenus personnalisés sur un site internet. Dès que vous n’êtes plus profilé, vous devenez monsieur ou madame tout le monde, sans aucun trait distinctif vous rangeant dans une catégorie de manière automatique.

L’organisme doit vous fournir vos données dans un format informatique lisible par une machine afin de les transmettre à un autre organisme. L’intégralité de vos données doit apparaître dans ce(s) fichier(s) (voir les données obtenues grâce au droit d’accès).

La CNIL stipule qu’un organisme doit répondre sous 30 jours maximum, sauf si l’application du droit nécessite plus de temps de par sa complexité de mise en œuvre.

Comment pourrait-on évaluer a priori la complexité de nos demandes et nous assurer du bien fondé de la réponse de l’organisme? Comment peut-on admettre que ce soit difficile de prendre en compte et d’appliquer nos droits particulièrement au sein d’organismes structurés, dotés de systèmes informatiques performants et d’équipes dédiées ? 

Autant on peut comprendre la difficulté pour un petit artisan d’être sur tous les fronts en même temps et de devoir gérer notre demande et veiller à sa bonne application car cela peut clairement dépasser ses compétences initiales, autant dans le cas d’une banque, d’une grande enseigne, d’un établissement de santé ou de plateformes web de services, la complexité du traitement d’une demande réglementaire nous échappe totalement… 

Trente jours, c’est déjà très long, alors au-delà... Est-ce que la seule explication possible est que les organismes concernés ne sont pas en conformité avec la réglementation ? Ou alors pas du tout préparés à prendre en compte nos droits (pas d’équipe dédiée, pas de processus clairement définis, etc.) ? D’autant plus que la réglementation est en vigueur depuis mai 2018 et que les entreprises ont logiquement dû se mettre en conformité en amont de la date fatidique. On est donc en droit de s’attendre à ce que trois ans plus tard, les entreprises soient organisées et les processus parfaitement rodés.

D’une manière générale, nous vous conseillons d’obtenir de la part de votre correspondant des informations précises quant au délai de mise en œuvre de votre demande. Demandez des explications claires pour comprendre pourquoi cela prendrait plus de trente jours. Si cela vous paraît injustifié, ou que la durée légale de réponse est écoulée, vous êtes en droit de porter plainte auprès de la CNIL.