Exercez vos droits - Article 77 - Plaignez vous auprès de votre APD !

Avez-vous déjà exercé vos droits à l'encontre d'un responsable du traitement ? Vous n'avez pas été satisfait de la réponse ? Avez-vous découvert une infraction à la GDPR d'une autre manière ?

Si oui, lisez ce qui suit pour savoir si vous pouvez exercer votre droit de porter plainte..
Cette page est uniquement disponible en tant que traduction automatique en français. Vous pouvez toujours basculer vers la version anglaise originale.
Exercise

Votre droit de déposer une plainte auprès d'une autorité de contrôle

Quel est le droit de déposer une plainte ?

Vous pouvez déposer une plainte auprès de l'autorité de protection des données (APD) de votre choix sur une question qui, selon vous, porte atteinte à vos droits en matière de protection des données de la GDPR. Les autorités de protection des données (APD) sont les autorités publiques nationales ou régionales qui ont le pouvoir d'infliger des amendes ou d'autres sanctions aux entreprises, organisations et autres entités qui traitent des données.

Se plaindre auprès d'une APD ne vous empêche pas de déposer des plaintes auprès d'autres organismes sur la même question. Par exemple, si vous achetez des chaussures cassées à une entreprise et que celle-ci refuse de vous rembourser et collecte une quantité excessive de données à caractère personnel, vous pouvez vous plaindre à votre autorité de protection des données de la collecte excessive et à votre autorité locale de protection des droits des consommateurs du refus de remboursement

Étape 1 : identifier les coordonnées de votre autorité de protection des données

Étape 2 : rédiger votre plainte

Étape 3 : Réponse de la DPA

Comment puis-je savoir si un responsable du traitement ou un sous-traitant a enfreint mes droits ?

Il y a deux façons principales de découvrir une violation

Parfois, il s'agit d'une violation évidente, comme une compagnie aérienne qui impose des frais obligatoires pour la modification de vos informations ou une société dont vous n'avez jamais entendu parler qui vous contacte via votre adresse électronique.

D'autres fois, l'infraction est découverte lorsque vous exercez pour la première fois l'un de vos autres droits GDPR et recevez la réponse du contrôleur à votre demande

Voici quelques exemples d'infractions potentielles:

  • L'absence de réponse dans le délai imparti,
  • Une réponse incomplète, par exemple en vous fournissant des informations sur certaines de vos données à caractère personnel qu'ils traitent, mais pas toutes, ou en accusant réception de votre demande et en ne vous donnant aucune réponse substantielle,
  • Refus d'exécuter votre demande,
  • Essayer de vous faire payer pour la demande,
  • La réponse indique que le responsable du traitement ou le sous-traitant a violé l 'article 6 de la GDPR, en traitant vos données sans base juridique ou avec une base juridique incorrecte,
  • La réponse indique que le responsable du traitement ou le sous-traitant a enfreint l 'article 5 de la GDPR, en ne traitant pas vos données de manière transparente, pour une finalité suffisamment limitée ou de manière sûre et confidentielle, ou en ne conservant pas vos données à jour ou en les stockant pendant une période plus longue que nécessaire,
  • Une faille de sécurité ayant entraîné la divulgation de vos données

Dois-je contacter le responsable du traitement avant de déposer une plainte ?

Oui, vous devez le faire. Dans la plupart des cas, nous vous recommandons d'exercer l'un des autres droits de cette série avant de porter plainte auprès d'une autorité de protection des données, car cela peut vous donner une idée plus précise de la manière dont l'entité qui traite vos données a pu porter atteinte à vos droits. Cela peut également permettre un traitement plus rapide de votre plainte par une autorité de protection des données. Certaines DPA exigent également que vous contactiez d'abord le responsable du traitement avant de déposer une plainte

Comment expliquer mon cas/écrire ma demande au responsable du traitement de manière efficace ?

  • Contactez le responsable du traitement le plus rapidement possible pour lui faire part de votre préoccupation et répondre à votre demande (plus vite vous irez, plus vite vous obtiendrez une réaction et une réponse à votre question. N'oubliez pas non plus que votre cas pourrait être plus difficile à résoudre si vous ne partagez votre préoccupation qu'après plusieurs années)
  • Contactez la bonne personne au sein de l'organisation (demandez à l'organisation avant où vous pouvez envoyer votre demande. Certains responsables du traitement disposent d'un délégué à la protection des données ("DPD") : ils sont les mieux placés pour traiter votre demande)
  • Écrivez clairement et expliquez simplement à la personne ce qui s'est passé. Sachez que la personne qui lit votre plainte peut avoir rejoint l'organisation la veille)
  • Soyez précis et bref. N'abordez que le point relatif à la protection des données que vous souhaitez soulever. Tout autre sujet (conflits avec l'organisation, frustration avec le service après-vente) ne vous aidera pas à exercer vos droits. Gardez votre énergie pour plus tard !
  • Soyez complet. Notre conseil : utilisez des points dans votre demande.
  • Restez raisonnable et poli. N'en faites pas une affaire personnelle et restez poli avec le personnel de l'organisation. Ce sont des êtres humains comme vous et les insulter ne vous aidera pas à faire respecter vos droits plus rapidement
  • Demandez un délai raisonnable. N'exigez pas de réponses le jour même. Laissez l'organisation enquêter sur votre cas et revenez vers vous avec l'information complète. En cas d'absence de réponse, il suffit d'envoyer un léger rappel
  • Incluez tous les éléments de preuve pertinents. Envoyez des copies de tous les documents dont vous disposez pour étayer votre plainte. N'envoyez pas trop d'informations : juste ce que vous pensez nécessaire pour comprendre et traiter votre préoccupation ou votre demande
  • Conservez des dossiers. Mentionnez toujours les dates sur votre correspondance et conservez des copies de tout.

Si la réponse "finale" du responsable du traitement ne résout pas votre problème, vous pouvez alors décider de déposer une plainte auprès d'une autorité de protection des données.

Où puis-je déposer une plainte ?

Si vous n'êtes pas satisfait de la réponse (ou de l'absence de réponse) du responsable du traitement, le GDPR vous donne la liberté de choisir le pays de l'UE où vous pouvez déposer votre plainte. Toutefois, nous vous recommandons de choisir l'autorité de protection des données du pays de :

  • De votre résidence habituelle (par exemple, si vous souhaitez déposer votre plainte dans votre propre langue),
  • Votre lieu de travail (par exemple, si vous vous rendez dans un autre pays pour votre emploi et qu'il est plus pratique pour vous d'y déposer)
  • Le lieu de l'infraction (par exemple, si vous vivez en Slovaquie et que vos données sont traitées en Espagne, vous pouvez vous adresser directement à la DPA espagnole)

L'autorité de protection des données où vous déposez votre plainte ne sera pas toujours celle qui enquête et prend une décision sur votre plainte. La GDPR autorise les autorités de protection des données à transférer les plaintes à d'autres autorités de protection des données dans certaines circonstances, par exemple lorsque le traitement a lieu dans un autre pays de l'UE ou si le responsable du traitement a son établissement principal dans un autre pays

Comment déposer une plainte ?

Étape 1 : identifiez les coordonnées de votre autorité de protection des données

En vous basant sur les lignes directrices ci-dessus, décidez à quelle autorité de protection des données vous voulez porter plainte. Les coordonnées et les sites web de chaque autorité de protection des données peuvent être consultés ici

La procédure de dépôt des plaintes varie d'une autorité de protection des données à l'autre ; nombre d'entre elles disposent de leurs propres formulaires en ligne ou portails de dépôt des plaintes. Pour plus de détails sur la procédure de dépôt des plaintes de différentes autorités de protection des données dans différents pays, cliquez ici.

Étape 2 : rédiger votre plainte


Le GDPR ne spécifie pas de procédure particulière que vous devez suivre pour déposer une plainte. Cela vous permet de garder une trace de votre plainte et d'éviter toute confusion ou erreur dans le traitement de celle-ci. Plusieurs GDPR disposent de leurs propres modèles ou formulaires en ligne à utiliser pour déposer une plainte ; les liens vers ces ressources se trouvent à l'étape 1

Quel que soit le système de dépôt d'une APD, vous pouvez utiliser la liste ci-dessous pour vous aider à structurer les détails de votre plainte. Bien que l'autorité de protection des données doive enquêter elle-même sur votre plainte, les informations ci-dessous vous seront utiles pour contribuer autant que possible à l'enquête.

Lors de la rédaction :

  • Indiquez que vos droits au titre de la GDPR ont été violés. Confirmez que l'infraction que vous signalez concerne le traitement de vos données
  • Donnez quelques informations sur les particularités de la plainte, notamment :
    • Le nom et les coordonnées du responsable du traitement ou du sous-traitant qui a commis l'infraction ;
    • Un résumé des faits avec preuves à l'appui est disponible (captures d'écran, e-mails du responsable du traitement, copie de vos données, etc...),
    • Ce que vous pensez être l'infraction (voir notre liste ci-dessus). Vous pouvez également mentionner l'article du GDPR qui a été violé à votre avis,
    • Comment vous avez découvert l'infraction (par exemple, en répondant à une demande, en recevant des communications inattendues d'une source que vous ne reconnaissez pas, en recevant une notification du responsable du traitement, en lisant les nouvelles)
    • La manière dont l'infraction vous a affecté négativement (par exemple, perte financière, atteinte à votre réputation, humiliation, divulgation ou perte d'informations confidentielles sans votre permission ou contre votre volonté).

Étape 3 : Réponse de la DPA

L'APD auprès de laquelle vous déposez votre plainte doit en accuser réception sans délai

L'autorité de protection des données est légalement tenue de vous tenir informé de l'évolution et du résultat de votre plainte, y compris si celle-ci est transmise à une autre autorité de protection des données ou si elle nécessite une enquête plus approfondie. Cette mise à jour doit être faite au plus tard tous les 3 mois

Certaines autorités de protection des données sont soumises à un délai strict pour rendre une décision (comme l'autorité autrichienne de protection des données, l'ORD, qui est tenue de rendre une décision dans les six mois pour les affaires nationales). Malheureusement, la plupart des DPA ne sont pas obligées d'adopter une décision ou même de prendre des mesures dans un délai précis

Si vous n'obtenez pas de décision de la DPD dans le délai légal déterminé par la loi applicable à la DPD, vous avez le droit de porter l'affaire devant un tribunal

Même si le droit national ne prévoit pas de délai strict pour l'action de la DPA, cela ne signifie pas que vous ne pouvez rien faire. Si vous estimez que la loi sur la protection des données prend trop de temps pour traiter votre plainte, vous devez pouvoir demander à un tribunal de la contraindre à agir ou de faire valoir vos droits

Dans tous les cas, si vous n'êtes pas satisfait de la réponse de la DPD, vous pouvez demander aux tribunaux du pays dans lequel la DPD est située de vous accorder une réparation ou une indemnisation

Si vous avez besoin d'aide pour déposer une plainte ou si vous estimez que la DPA ne traite pas correctement votre plainte, vous pouvez nous contacter àinfo@noyb.eupour discuter des prochaines étapes.

Retour à la rubrique "Exercer vos droits