L’article 18 prévoit que les personnes concernées peuvent vous demander de limiter temporairement l’utilisation de leurs données à caractère personnel. Il existe des scénarios spécifiques dans lesquels leur demande doit être honorée (voir la question suivante). Votre entreprise doit mettre en place des procédures pour répondre de manière appropriée à ces demandes.

Un responsable du traitement doit limiter le traitement des données personnelles d’une personne concernée lorsqu’il y a des doutes sur l’exactitude de ses données, jusqu’à ce que celle-ci ait été vérifiée.

Si le traitement des données à caractère personnel est considéré comme illégal, la personne concernée peut choisir de restreindre le traitement de ses données à caractère personnel plutôt que de les effacer. Cette option peut être pertinente dans les cas où une action en justice est en cours contre le responsable du traitement. La limitation permet de conserver la preuve de la pratique illégale, tout en garantissant que les données ne peuvent pas être utilisées à des fins illégales.

La personne concernée peut demander au responsable du traitement de continuer à traiter ses données, mais de manière restreinte. Cela peut se faire lorsque le responsable du traitement n’a plus de raison d’être, alors que la personne concernée a besoin de données intactes pour l’établissement, l’exercice ou la défense de droits en justice à l’encontre du responsable du traitement

L’article 21, paragraphe 1, permet aux personnes concernées de s’opposer au traitement de leurs données par un responsable du traitement lorsqu’il est fondé sur les bases juridiques de l'”intérêt public” ou des “intérêts légitimes”. Lorsqu’une personne concernée s’oppose au traitement de ses données à caractère personnel conformément à l’article 21, paragraphe 1, le traitement doit être limité jusqu’à ce qu’il soit déterminé si les motifs légitimes du responsable du traitement l’emportent sur ceux de la personne concernée.

Lorsque le traitement des données est restreint, le responsable du traitement peut stocker les données mais ne peut pas les modifier, les partager ou les utiliser sans le consentement de la personne concernée.

Toutefois, il existe des exceptions où la transformation est encore autorisée :

• Le consentement de la personne concernée est obtenu.
• Le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.
• Le traitement est nécessaire pour protéger les droits d’une autre personne.
• Le traitement est nécessaire pour des raisons impérieuses d’intérêt public pour l’UE ou un État membre.

Pour répondre à une demande de restriction, vous devez mettre en place une procédure pour recevoir et répondre à de telles demandes, en veillant à ce que les personnes concernées puissent vous contacter facilement.

Mettez en place un mécanisme permettant de signaler les données restreintes afin d’éviter toute utilisation accidentelle qui violerait la restriction.

Lorsqu’une limitation est levée, vous devez en informer la personne concernée avant la levée de la limitation, en lui donnant le temps de répondre.

Oui, la limitation du traitement affecte les données partagées avec des tiers. Lorsque vous limitez le traitement, vous devez en informer tous les tiers qui ont reçu les données afin qu’ils se conforment également à la restriction et ne traitent plus les données. Il est donc important de tenir à jour des registres sur la manière dont les données sont partagées avec des tiers.

Lorsqu’une personne concernée demande au responsable du traitement de restreindre le traitement, cela a une incidence sur la prise de décision automatisée et le profilage en interrompant ces activités. Les données ne peuvent pas être utilisées dans des systèmes automatisés ou à des fins de profilage tant que la limitation n’est pas levée.