ARTICLE 28
Le responsable du traitement est tenu de fournir à la personne dont les données font l’objet d’un traitement, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :
- son identité et, le cas échéant, celle de son représentant dûment mandaté
- la ou les finalité(s) déterminée(s) du traitement auquel les données sont destinées ;
- les catégories de données concernées;
- le ou les destinataire(s) auxquels les données sont susceptibles d’être communiquées ;
- la possibilité de refuser de figurer sur le fichier en cause;
- l’existence d’un droit d’accès aux données concernant la personne et d’un droit de rectification de ces données ;
- la durée de conservation des données;
l’éventualité de tout transfert de données à destination de pays tiers.
ARTICLE 29
Toute personne physique dont les données à caractère personnel font l’objet d’un traitement peut demander sous forme de questions et obtenir du responsable de ce traitement :
les informations permettant de connaître et de contester le traitement ;
la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
la communication des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées.
En cas d’impossibilité d’accès de la personne concernée, le droit d’accès peut être exercé par l’Autorité de protection des données qui dispose d’un pouvoir d’investigation en la matière et qui peut ordonner la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente loi.
L’Autorité de protection des données communique à la personne concernée le résultat de ses investigations.
Le responsable du traitement peut s’opposer aux demandes manifestement abusives de la même personne, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.
ARTICLE 30
Toute personne physique concernée a le droit :
de s’opposer, pour des motifs légitimes tenant à sa situation particulière, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement, sauf en cas de dispositions légales prévoyant expressément le traitement. En cas d’opposition légitime, le traitement mis en œuvre par le responsable du traitement ne peut porter sur les données en cause ;
de s’opposer, sur sa demande et gratuitement, au traitement de données la concernant à des fins de prospection ;
d’être informée avant que des données la concernant ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément accorder le droit de s’opposer, gratuitement, à ladite communication ou utilisation.
ARTICLE 31
Toute personne physique, justifiant de son identité, peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.
ARTICLE 32
Les ayants droit d’une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.
Lorsque les ayants droit en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.
ARTICLE 33
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était mineur, ou pour l’un des motifs suivants :
les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
la personne concernée a retiré le consentement sur lequel est fondé le traitement ou lorsque le délai de conservation autorisé a expiré et qu’il n’existe pas d’autre motif légal au traitement des données ;
la personne concernée s’oppose au traitement des données à caractère personnel la concernant lorsqu’il n’existe pas de motif légal audit traitement ;
le traitement des données n’est pas conforme aux dispositions de la présente loi ;
pour tout autre motif légitime.
ARTICLE 34
Lorsque le responsable du traitement a rendu publiques les données à caractère personnel de la personne concernée, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d’informer les tiers qui traitent lesdites données qu’une personne concernée leur demande d’effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci.
Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel de la personne concernée, il est réputé responsable de cette publication et prend toutes les mesures appropriées pour mettre en œuvre le droit à l’oubli numérique et à l’effacement des données à caractère personnel.
ARTICLE 35
Le responsable du traitement procède à l’effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire :
soit à l’exercice du droit à la liberté d’expression ;
soit pour des motifs d’intérêt général dans le domaine de la santé publique, conformément à la loi ;
soit au respect d’une obligation légale de conserver les données à caractère personnel prévue par la législation en vigueur à laquelle le responsable du traitement est soumis.
ARTICLE 36
Le responsable du traitement met en place des mécanismes appropriés assurant la mise en œuvre du respect du droit à l’oubli numérique et à l’effacement des données à caractère personnel ou examine périodiquement la nécessité de conserver ces données, conformément aux dispositions de la présente loi.
Lorsque l’effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel.
ARTICLE 37
L’Autorité de protection des données adopte des mesures et des lignes directrices aux fins de préciser :
les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication électronique accessibles au public;
les conditions et critères applicables à la limitation du traitement des données à caractère personnel.
ARTICLE 38
Lorsque des données à caractère personnel font l’objet d’un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d’obtenir auprès du responsable du traitement une copie des données faisant l’objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée.
Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu’elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n’y fasse obstacle.
L’Autorité de protection des données peut préciser le format électronique, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel.