Article 16 – Droit de rectification

Article 16 - Droit de rectification

La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

En savoir plus...

Le principe d'« exactitude » énoncé à l'article 5, paragraphe 1, point d) du RGPD exige du responsable du traitement qu'il prenne activement « toutes les mesures raisonnables » pour que les données inexactes soient effacées ou rectifiées. Le responsable du traitement a donc déjà une obligation positive de corriger activement les données à caractère personnel. L'article 16 du RGPD, intitulé « droit de rectification », aborde les situations de données à caractère personnel inexactes avec un droit supplémentaire de la personne concernée qui a un champ d'application plus large, mais qui exige également une action de la part de la personne concernée. Celui-ci est justifié par le fait que le traitement de données incorrectes ou incomplètes peut entraîner de graves inconvénients pour la personne concernée, réduisant ainsi le risque d'exclusion, de discrimination ou de diffamation. Par exemple, l'utilisation de données incorrectes peut entraîner le refus d'un prêt. Dans de nombreux cas, de fausses informations concernant une personne concernée peuvent également entraîner une détresse émotionnelle grave.

Le droit de rectification est également explicitement désigné comme un droit fondamental à l'article 8, paragraphe 2 de la Charte des droits fondamentaux de l'UE. Il est donc important qu'il soit interprété à la lumière de la Charte et du principe de proportionnalité énoncé à l'article 52, paragraphe 1 de la Charte.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Principes relatifs aux traitements de données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

[Droit à l'effacement et rectification]
65. Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d'un «droit à l'oubli» lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l'Union ou du droit d'un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d'une autre manière le présent règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et n'était pas pleinement consciente des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu'elle n'est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu'elle est nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l'exercice ou à la défense de droits en justice.

Droit souple

Lignes directrices et recommandations

Guides pratiques

Documents anciens

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article est cité par...

> Article 11 - Traitement ne nécessitant pas l'identification

> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

> Article 19 - Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

> Article 23 - Limitations

> Article 58 - Pouvoirs

> Article 83 - Conditions générales pour imposer des amendes administratives

> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

En savoir plus...

Droit souple (sectoriel ou transversal)

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
40/2022	Mme X	17/03/2022	2022	Belgique	CNIL ou équivalent	Procédure		Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission		12. La Chambre Contentieuse souligne à cet égard que ce n'est que dans les cas spécifiques où conformément à l'article 5.2 du RGPD, le responsable du traitement est à même de démontrer qu'il ne peut pas identifier cette personne concernée (art. 11.2 du RGPD) et/ou qu'il a des doutes raisonnables quant à l'identité de la personne physique présentant la demande (art. 12.6 du RGPD) qu'il peut réclamer les données supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d'identité ou d’un autre document prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant. Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès , qui indiquent notamment que « demander des copies de la carte d'identité de leurs clients, ne devrait généralement pas être considérée comme un moyen d'authentification approprié ».	5, 15, 16, 17, 18, 20, 21	9346b8f8025fa833c91990e632c9a5d53a732c83		Accéder à la décision
51779	M. X	13/05/1987	1987	France	Conseil d'Etat		Police-Justice	Fichiers de police - Refus de rectification - Absence de justification de l’exactitude des mentions - Faute susceptible d’engager la responsabilité de l’État	Afficher M. Claude X... a demandé, le 16 juin 1980, au ministre de l'intérieur, d'une part, de faire supprimer les renseignements le concernant figurant sur des fiches détenues au commissariat de police d'Asnières et, d'autre part, de lui verser une indemnité de 50 000 F en réparation du préjudice que lui a causé la communication de ces fiches. M. X... ne s'est pourvu contre cette décision que le 27 juillet 1981, soit après l'expiration du délai de recours contentieux de deux mois prévu par le décret du 11 janvier 1965 ; que, dès lors, le requérant n'est pas fondé à soutenir que c'est à tort que, par le jugement attaqué, le tribunal administratif a rejeté comme irrecevables les conclusions à fin d'annulation de la décision précitée du 16 octobre 1980. Il attaque la décision devant le Conseil d'Etat.	(3.) Considérant qu'il ne résulte pas de l'instruction que les fiches de renseignements concernant M. X... détenues par le commissariat de police d'Asnières aient comporté la mention d'une condamnation effacée par la réhabilisation de plein droit prévue par l'article L.773-1 du code de procédure pénale ; qu'en revanche, il n'est pas contesté qu ces fiches comportaient l'indication selon laquelle M. X... était connu pour des faits de vol à la roulotte et d'abandon de famille, alors qu'il est constant que les informations ouvertes en 1974 et 1976 contre l'intéressé pour de tels faits n'ont eu aucune suite judiciaire, et que l'administration n'est pas en mesure d'apporter la preuve de faits susceptibles de justifier l'exactitude de ces imputations ; que l'existence de ces mentions dans les fiches détenues par le commissariat de police d'Asnières, qui ont été communiquées à des services autres que ceux de la police nationale, et le refus de l'administration de les rectifier ainsi que le demandait le requérant sont constitutifs d'une faute de nature à engager la responsabilité de l'Etat ;	16	a99f1dbbfe0c91ea18cfffda9d7c8a31427e101b	/	Accéder à la décision
490416	Mme D... F...	27/01/2025	2025	France	Conseil d'Etat	Procédure		Exercice des droits - Adresser une demande au responsable de traitement préalablement à une saisine de la CNIL - Obligation	Afficher Par deux plaintes formées devant la CNIL, Mme F... a demandé à la Commission d'enjoindre, respectivement, aux docteurs E... et C..., auxquels elle reproche d'avoir réalisé une expertise médicale à la demande de l'assureur avec lequel elle est en litige à la suite d'un accident de la circulation dont elle a été victime, de supprimer toutes les données à caractère personnel concernant sa santé qu'ils ont reçues de l'assureur et conservées, d'interrompre tout traitement de ces données, et de retirer les rapports qu'ils ont établis à partir de ces données des mains de l'assureur ainsi que des débats judiciaires auxquels ils ont été versés. La CNIL a procédé à la clôture de ces plaintes en retenant qu'elle n'avait pas à se substituer aux personnes concernées par un traitement dans l'exercice de leurs droits garantis notamment par la loi du 6 janvier 1978 (LIL) et qu'il leur appartenait préalablement de les exercer auprès du responsable du traitement avant de la saisir des difficultés rencontrées dans l'exercice de ceux-ci. Elle a ajouté qu'elle n'était pas habilitée à contrôler ou apprécier la pertinence des informations médicales communiquées à titre de preuves dans le cadre d'un débat judiciaire. Par deux requêtes qu'il y a lieu de joindre pour statuer par une seule décision, Mme F... demande l'annulation pour excès de pouvoir de ces décisions.	4. Lorsqu'une personne entend exercer, à l'égard d'un traitement de données à caractère personnel la concernant, les droits garantis par le RGPD et la loi du 6 janvier 1978, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de cette loi, il lui appartient, ainsi que cela découle des dispositions qui fondent ces droits, d'adresser sa demande au responsable du traitement auquel incombent les obligations définies par ces dispositions, préalablement à une éventuelle saisine de la CNIL, chargée, en application du 2° du I de l'article 8 de la même loi, de traiter les réclamations, pétitions et plaintes introduites par une personne concernée. A défaut d'une telle saisine préalable du responsable du traitement, la CNIL peut prononcer la clôture de la plainte qui lui a été adressée directement.	15, 16, 17, 18, 20, 21, 77	9346b8f8025fa833c91990e632c9a5d53a732c83	/	Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

CNIL

08 février 2025

IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable

Le Sommet pour l’action sur l’intelligence artificielle, organisé par la France du 6 au 11 février 2025, accueillera de nombreux évènements qui confirment que l’IA recèle un potentiel d’innovation et de compétitivité pour les prochaines années. Depuis 1978, la France s’est dotée de règles pour encadrer l’usage des donn [...]

CNIL

06 novembre 2024

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victi [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu