Dans le document “Comprendre la protection des données : le règlement européen en quelques mots” ci-dessus, la précision(ainsi que l’intégrité) a été motivée par le fait que la précision des données est nécessaire pour qu’elles soient adaptées aux finalités déclarées. Tout traitement qui n’est pas adapté à la finalité ne peut justifier un gain de pouvoir sur une personne concernée. Voir “Interdiction des traitements non conformes aux finalités” pour plus de détails.
Outre l’adéquation à la finalité, le traitement de données inexactes peut avoir des conséquences négatives pour les personnes concernées. Ces conséquences peuvent aller d’un effort accru nécessaire pour exercer ses droits, à la négation de droits et de possibilités, en passant par des conséquences financières ou juridiques négatives. Si l’on peut dire qu’un traitement affecté par de tels défauts n’est pas adapté à sa finalité, il violerait en outre le principe de loyauté (cf. ci-dessus).
Le RGPD définit ce principe comme suit :
| Définition de l’art. 5(1)(d) du RGPD :
Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (“précision”) ; |
Les paragraphes suivants traitent plus en détail des différents aspects de la précision :
Comment évaluer la précision ?
Le concept de précision doit être objectif. Il doit être possible de vérifier sans aucuneambiguïté si les données sont exactes ou non, et différents vérificateurs doivent parvenir à la même évaluation. Cela n’est possible que lorsque les données représentent des faits vérifiables. Ce n’est par exemple pas le cas pour les données qui représentent une expression ou l’opinion d’une personne.
La vérification de la précision des données implique donc généralement la vérification des faits qui sous-tendent les données. Par exemple, pour vérifier qu’un numéro de téléphone mobile appartient bien à une personne, on peut envoyer et recevoir un message test avec un code aléatoire sur un autre canal.
Dans certaines situations, il se peut que ce soit la personne concernée qui fournisse au responsable du traitement la documentation nécessaire sur les faits permettant une vérification. Par exemple, une personne concernée peut fournir un certificat de résidence délivré par une autorité de confiance afin d’étayer la vérification d’une adresse de résidence.
Que signifie “à jour” ?
Pour déterminer si les données sont à jour, il faut tenir compte des finalités du traitement. Par exemple, un vendeur peut stocker l’adresse de livraison d’une personne concernée alors que celle-ci a depuis déménagé dans une nouvelle résidence. Si la finalité du traitement est de livrer effectivement des marchandises à la personne concernée, l’adresse est manifestement périmée et les données sont inadaptées à la finalité. En revanche, si la finalité du traitement est la facturation des marchandises déjà livrées, l’ancienne adresse doit être considérée comme actuelle.
Comment l’inexactitude des données est-elle découverte ?
Les données inexactes (y compris les données périmées) doivent être rectifiées ou supprimées par le responsable du traitement sans délai. Mais comment l’inexactitude des données est-elle effectivement découverte et quelles sont les implications pour les responsables du traitement ?
Le mécanisme probablement le plus important permettant aux responsables du traitement de détecter l’inexactitude de leurs données est la notification par la personne concernée[1] . En particulier, la personne concernée doit avoir connaissance du traitement (voir les articles 13 et 14 du RGPD) et peut accéder aux données utilisées par le responsable du traitement (voir l’article 15 du RGPD). Sur cette base, elles peuvent vérifier la précision de leurs données et, si nécessaire, invoquer leur droit de demander la rectification de leurs données (voir art. 16 duRGPD). Dans ce cas, un responsable du traitement remplit l’obligation de vérifier la précision en soutenant de manière adéquate le droit de rectification dans son traitement.
Lorsque les données sont collectées directement auprès des personnes concernées, il est plus raisonnable pour un responsable du traitement de supposer que les données obtenues sont exactes (au moins au moment de la collecte). La situation peut être différente lorsque les données sont collectées auprès d’une autre source. Dans ce cas, le responsable du traitement a l’obligation de vérifier la précision des données obtenues, au moins en ce qui concerne leur adéquation aux finalités déclarées du traitement et les conséquences négatives que des inexactitudes peuvent avoir pour les personnes concernées.
Pour certains éléments de données, le fait qu’ils aient été directement collectés auprès des personnes concernées peut ne pas être suffisant pour qu’un responsable du traitement présume de leur précision. C’est le cas lorsqu’une demande potentiellement inexacte entraîne des avantages pour la personne concernée. Dans ces cas, le responsable du traitement peut avoir besoin de procéder à une vérification des données en amont, en tant que partie intégrante de la collecte des données. Cela est possible, par exemple, en demandant aux personnes concernées de fournir une certification des faits revendiqués par une autorité de confiance.
- D’autres mécanismes comprennent par exemple des contrôles de cohérence, une variance excessive ou un manque de corrélation attendue. ↑