Les personnes dont vous traitez les données ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD. Il s’agit essentiellement des droits suivants :
- le droit à l’information ;
- le droit d’accès: le droit d’obtenir l’accès à ses données et d’en recevoir une copie ;
- le droit de rectification: le droit d’obtenir la rectification des données inexactes ;
- le droit à l’effacement (ce qu’on appelle encore le droit à l’oubli): le droit d’obtenir du responsable du traitement l’effacement des données pour différents motifs (p. ex. si une personne retire son consentement sur lequel est fondé le traitement). Néanmoins, il ne s’agit pas d’un droit absolu. Par exemple, si la conservation des données est nécessaire pour respecter une obligation légale, le droit à l’oubli n’est pas applicable ;
- le droit d’opposition: le droit de demander qu’il soit mis un terme au traitement de ses données personnelles pour des raisons tenant à sa situation particulière, sauf si le responsable démontre l’existence de motifs légitimes et impérieux prévalant ou si le traitement est prévu par la loi.
En ce qui concerne l’envoi de publicité, une distinction s’impose selon le mode utilisé. En cas d’envoi de publicité par courrier postal, le RGPD confère aux personnes concernées un droit de s’opposer (« opt-out ») à tout moment, mais leur consentement préalable n’est pas nécessaire. Ainsi, une association peut envoyer des flyers d’informations via courrier postal ou des demandes de dons à ses propres membres, si elle permet aux personnes contactées de s’y opposer (par exemple en leur fournissant un coupon-réponse ou une adresse mail spécifique permettant d’exprimer leur souhait de ne plus recevoir de tels courriers).
En cas d’envoi de publicité par courriel électronique, la loi luxembourgeoise modifiée du 30 mai 2005 continue à s’appliquer aux communications électroniques. Deux situations distinctes peuvent se présenter dans ce cas :
- si une association a obtenu des coordonnées électroniques dans le cadre d’une relation préexistante (p. ex. lors de la vente d’une carte de membre), elle peut les utiliser à des fins publicitaires sans consentement préalable. En contrepartie, les personnes concernées doivent avoir le droit de s’y opposer à tout moment (et être informé de ce droit lorsque les données sont recueillies, ainsi que lors de chaque message de prospection).
- si aucun lien entre une association et un individu n’existe, le consentement préalable doit être demandé avant l’envoi de courriels électroniques (« opt-in »).
Une association doit donner aux différentes personnes concernées les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos membres la possibilité d’exercer leurs droits à partir de leur compte. Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).
Veillez à ne pas garder les données plus longtemps que nécessaire. Si par exemple un membre d’une association démissionne, ces données sont en principe à supprimer.
Si un individu a l’impression que vous ne respectez pas ses droits, il peut contacter la CNPD.