Saviez-vous que l’exactitude des données est l’un des principes les plus délicats à mettre en œuvre dans le RGPD ? En règle générale, il peut être appréhendé de trois façons différentes.
La plus évidente, pas la plus simple à gérer, est le cas où la personne exerce son droit de rectification. Ici, la personne doit démontrer l’inexactitude des données (NSA, 2 août 2023, n° III OSK 1789-22). Ne justifient ainsi pas une rectification :
- Un élément subjectif (APD belge, 19 juin 2023, n° 79-2023)
- une donnée qui ne plaît pas, dans le dossier médical (Personvernnemnda, 10 octobre 2023, n° PVN-2023-06 ; CAA Paris, 11 avril 2023, n° 22PA01320)
- la mention d’un diagnostic erroné
La plus crainte tient à la fourniture de données inexactes par la personne. Une décision intéressante de la « CNIL maltaise » retient que les données erronées qu’elle a volontairement transmises sont réputées conformes au principe d’exactitude (IDPC, 22 mai 2023, n° CDP_COMP_583_2022). A tout le moins tant que leur fausseté n’a pas été établie, cas dans lequel le responsable de traitement doit chercher à corriger les informations (IMY, 10 octobre 2022, Trionic Sverige AB) ou, le cas échéant, les rectifier / effacer (GPDP, 31 août 2023, Medical Center di Giugni Marco).
La plus risquée, au niveau collectif, tiendrait à l’alimentation d’une intelligence artificielle à partir de données inexactes. Pour mémoire, c’est l’un des motifs ayant conduit l’APD italienne à suspendre provisoirement ChatGPT (GPDP, 30 mars 2023, OpenAI, n° 9870832).
En revanche, si des inexactitudes résultent d’un problème technique (Datatilsynet, 24 juin 2021, 20-02165) ou d’approximations du responsable (CEDH, 8 septembre 2022, Drelon), un manquement serait établi.
En pratique, que faire ?
1) Vérifier régulièrement la fraîcheur et l’exactitude des données
2) Le cas échéant, inviter la personne à mettre à jour ses données périodiquement
3) Surtout, tracer toute modification des données
Avez-vous eu à gérer de telles situations? Partagez-les en commentaires.
Des demandes de rectification délicates à gérer ? Des interrogations sur vos politiques de revue des données ? N’hésitez pas à me contacter.