Le règlement général sur la protection des données reconnaît certains droits aux particuliers, et en détermine les modalités d'exercice et les limites.
Ainsi, le responsable du traitement doit veiller à ce que les personnes au sujet desquels il collecte, enregistre et utilise des données puissent exercer les droits suivants:
1. Le droit à l’information
Vous devez informer les personnes concernées que leurs données personnelles sont traitées, par qui et pourquoi. Cette information doit se présenter dans un langage simple et clair au moment même de la collecte des données ou si les données n’ont pas été collectées auprès de la personne elle-même, dans un délai raisonnable ne dépassant pas un mois.
2. Le droit de contester une décision prise sur base de processus automatisés
Si vous prenez des décisions sur base de processus automatisés, y compris le profilage (p.ex. approbation d’une demande de crédit de consommation ou d’un contrat d’assurance), vous devez accorder aux personnes la possibilité de faire valoir leur point de vue et de contester, le cas échéant, la décision. Vous devez, en plus, informer les personnes concernées sur la logique qui sous-tend cette décision.
3. Le droit d’accès
Si une personne vous demande si vous détenez des informations sur elle, vous devez lui communiquer une copie de l’intégralité des données que vous possédez à son sujet.
4. Le droit de rectification
Vous avez l’obligation de veiller à ce que les données que vous collectez sont exactes et, si nécessaire, tenues à jour. A la demande d’une personne concernée, vous devez rectifier les informations inexactes.
5. Le droit à l’oubli
Lorsqu’une personne ne souhaite plus que les données qui la concernent soient traitées, vous avez l’obligation de supprimer ces données à moins qu'un motif légitime ne justifie leur conservation.
6. Le droit à la portabilité
Une personne concernée doit pouvoir récupérer les données qu’elle a communiquées à un organisme (dans un format structuré, couramment utilisé et lisible par machine) et les transmettre à un autre (réseau social, fournisseur d’accès à Internet, site de streaming, etc.).
7. Le droit d’opposition
La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel nécessaire à la poursuite de vos intérêts légitimes ou à l’exécution d’une mission d’intérêt public. Dans ce cas, vous devez arrêter le traitement, sauf si vous pouvez démontrer l’existence de motifs légitimes et impérieux pour continuer le traitement.
Vous devez aussi respecter le droit de la personne concernée de s’opposer, sans qu’elle doive fournir de justification, à l’utilisation de ses données à des fins de prospection commerciale ou de démarchage à orientation idéologique (partis politiques, syndicats, groupements religieux, etc.).
8. Le droit à la limitation
La personne concernée peut revendiquer la limitation du traitement de ses données :
- lorsqu’elle conteste l’exactitude d’une donnée, le temps que le vous puissiez vérifier celle-ci,
- si le traitement est illicite et qu’elle s'oppose néanmoins à leur effacement, préférant une telle limitation,
- quoique n’étant plus nécessaire, la personne concernée en a besoin pour la constatation, l'exercice ou la défense de ses droits en justice.
En cas de limitation, les données ne peuvent plus faire l’objet d’un quelconque traitement. La limitation peut être effectuée selon diverses modalités (déplacement temporaire vers un autre fichier, verrouillage des données, retrait temporaire d’un site Internet etc.).