Article 16 du RGPD : Droit de rectification

Texte original du RGPD 

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Équivalent directive 95/45 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 12

Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1;

b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 40

Version en vigueur du 25 mai 2018 au 01 juin 2019 Modifié par LOI n°2018-493 du 20 juin 2018 

1. — Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

Lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l’article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu’il a effectuées conformément au premier alinéa.

Article 50 Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le droit de rectification s’exerce dans les conditions prévues à l’article 16 du règlement (UE) 2016/679 du 27 avril 2016.

Article 54 Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

L’obligation de notification en cas de rectification ou d’effacement de données à caractère personnel ou la limitation du traitement s’exerce dans les conditions prévues à l’article 19 du règlement (UE) 2016/679 du 27 avril 2016.

Analyse des 3 textes qui précèdent 

Le droit de rectification, s’il existe dans la Directive 95/46/CE, la loi Informatique et Libertés (LIL) et le RGPD/GDPR, présente des nuances selon chaque texte. Chaque étape de cette évolution européenne et française tend vers une protection accrue et une simplification de l’exercice de ce droit pour les personnes concernées.

La Directive 95/46/CE, à travers son article 12, b), instituait d’emblée un droit de rectification, d’effacement ou de verrouillage des données, notamment lorsque celles-ci étaient inexactes ou incomplètes. Elle permettait à toute personne de demander la correction de ses données ainsi que l’effacement ou le blocage du traitement non conforme, améliorant ainsi le contrôle individuel sur l’exactitude et l’intégrité des informations collectées et diffusées. Le texte mettait également l’accent sur la nécessité pour le responsable du traitement de tenir compte du caractère complet et exact des données afin d’éviter leur diffusion ou utilisation erronée.

En France, l’article 40 de la loi Informatique et Libertés renforce et précise ce droit : toute personne physique peut exiger la rectification, la mise à jour, le verrouillage, ou l’effacement des données la concernant si elles sont inexactes, incomplètes, équivoques, périmées, ou traitées illégalement. Une originalité française est que ce droit s’étend également aux héritiers de la personne concernée, qui peuvent, après décès, demander la prise en compte de cette situation, notamment pour la mise à jour ou la suppression des données.

L’article 16 du RGPD reprend le droit de rectification tout en l’élargissant. Il ne se limite pas aux données inexactes : il prévoit explicitement la possibilité de demander à ce que les données incomplètes soient complétées — y compris par une déclaration complémentaire fournie par la personne concernée elle-même. Le RGPD renforce également la rapidité d’exécution de cette demande, obligeant les responsables à rectifier « sans délai injustifié », et harmonise l’exercice de ce droit dans toute l’Union européenne. Contrairement à la Directive, cela n’est plus soumis à une éventuelle marge d’interprétation nationale, l’article 16 s’imposant directement.

Jurisprudences 

Européennes 

C-131/12 (13 mai 2014) – Google Spain et Google

Arrêt majeur établissant la responsabilité des moteurs de recherche quant au traitement des données personnelles et reconnaissant le droit au déréférencement dans certains cas

C-118/22 (30 janvier 2024) – Direktor na Glavna direktsia « Natsionalna politsia » pri MVR  : Cette décision porte sur le traitement des données personnelles dans le cadre de la lutte contre la criminalité, avec une analyse sur les limites du droit à l’effacement dans ce contexte particulier

Sanction de 25 000 euros infligée à CAIXABANK par l’AEPD : La plainte faisait état d’un manquement de la part de la banque à répondre de façon appropriée aux demandes de rectification d’une adresse personnelle sur la plateforme de banque en ligne. Malgré plusieurs requêtes du client, l’adresse incorrecte n’a pas été corrigée par CAIXABANK (https://www.aepd.es/documento/reposicion-ps-00183-2022.pdf) 

Françaises 

CE Fr., n°405939 (3 octobre 2018) 

L’affaire CE Fr., n°405939 du 3 octobre 2018 concerne une plainte formulée pour non-respect du droit de rectification sur des données à caractère personnel, tel que garanti par l’article 40 de la loi Informatique et Libertés et intégré à l’article 16 du RGPD. La requérante estimait que ses données détenues par un organisme public n’avaient pas été rectifiées alors qu’elles étaient inexactes.

Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance) : 

En 2021, la société nouvelle de l’annuaire français (SNAF) est condamnée par la CNIL. Une amende de 3000€ pour non respect des demandes de rectifications émises par les personnes concernées est prononcée. 

Recommandations 

CNIL 

Le droit de rectification : corriger vos informations

CEPD

Lignes directrices sur les droits des individus concernant le traitement des données à caractère personnel