Le Règlement Général sur la Protection des Données (RGPD) a marqué un tournant dans la manière dont les données personnelles sont traitées et protégées au sein de l’Union européenne. Parmi les droits fondamentaux qu’il confère aux individus, le droit à la limitation du traitement est un droit peu utilisé et complexe à respecter. Ce droit permet aux personnes de demander la limitation du traitement de leurs données. Mais que cela signifie-t’il ?
Qu’est-ce que le droit à la limitation du traitement selon le RGPD ?
Le droit à la limitation du traitement permet à une personne concernée de demander à une entreprise, une association, une administration, etc. (le responsable du traitement) de limiter les opérations effectuées sur les données la concernant.
Article 18 – Droit à la limitation du traitement des données
La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs d’itérêt légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
Lorsque le traiteùent a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un Etat membre.
Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.
Les organisations sont tenues de répondre aux demandes de droit à la limitation du traitement des données dans un délai de 30 jours après réception (ce délai peut être prolongé de deux mois supplémentaires si la demande s’avère complexe ou si l’organisation reçoit un grand nombre de demandes).
Quelle utilité a le droit à la limitation du traitement ?
L’usage de ce droit est assez limité en raison de la liste exhaustive, dressée par le RGPD, des cas dans lesquels ce droit peut être exercé.
Il peut d’abord être utilisé afin d’interrompre un traitement qui porterait sur des données non exactes, et afin d’imposer en cours de traitement la mise à jour des données (par ailleurs une obligation au titre de l’article 5.d du RGPD).
Ce droit peut aussi être utilisé en préparation de l’exercice de droits subséquents, ou la préparation d’un litige judiciaire.
Et enfin, lorsqu’un organisme base le traitement des données sur son intérêt légitime, ce droit peut être exercé afin de limiter toutes les opérations de traitement potentiellement mises en oeuvre par le responsable du traitement ou son sous-traitant, le temps que soient vérifiés les intérêts de l’organisme au regard de ceux de la personne concernée.
Vous l’aurez compris, ce droit est majoritairement utilisé dans l’optique de procéder à des vérifications. Il est donc par essence limité dans le temps, et la limitation a vocation à être levée dès les investigations terminées, et une décision prise de continuer ou d’interrompre totalement le traitement.
Quelles limites au droit de limitation ?
Comme il est précisé par le RGPD, ce droit ne peut être exercé que dans un ensemble très restreint de situations, d’autant plus que ces cas nécessitent pour certains d’avoir déjà une connaissance correcte des données à caractère personnel qui sont traitées, ou des traitements mis en oeuvre par le responsable du traitement.
Tout traitement se fondant par ailleurs sur une base de licéité différente de l’intérêt légitime rend par ailleurs difficile voire impossible l’exercice de droit.
Enfin, ce droit ne permet pas de demander directement la suppression des données, ou d’informations sur le(s) traitement(s) réalisé(s).
Vous souhaitez approfondir vos connaissances sur le RGPD ou avez besoin d’assistance pour optimiser la gestion des données au sein de votre organisation ? Notre équipe d’experts est là pour vous aider. Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.