Droit à la rectification RGPD : Art. 16 expliqué

Le droit rectification RGPD, prévu à l’Art. 16, est le corollaire direct du principe d’exactitude des données (Art. 5(1)(d) RGPD). Il garantit à toute personne le droit d’obtenir la correction de données personnelles inexactes et le complément de données incomplètes. Ce droit, en apparence simple, implique des obligations en cascade pour le responsable de traitement : notification aux destinataires, mise à jour des systèmes en amont et en aval, et documentation de la rectification.

Points Clés

• L’Art. 16 RGPD accorde un droit à la rectification des données inexactes dans les meilleurs délais et un droit au complément des données incomplètes.
• Le délai de réponse est d’un mois (Art. 12(3) RGPD), prolongeable de deux mois en cas de complexité.
• L’Art. 19 RGPD impose de notifier la rectification à chaque destinataire auquel les données ont été communiquées, sauf si cela s’avère impossible ou exige des efforts disproportionnés.
• Le principe d’exactitude (Art. 5(1)(d) RGPD) a donné lieu à de nombreuses sanctions : la CNIL a infligé 600 000 euros à la société EDF (Délibération n°SAN-2022-021, 24 novembre 2022) notamment pour des données de consommation inexactes.
• Le responsable de traitement doit documenter chaque demande de rectification et sa réponse dans un registre spécifique.

Ce que l’Art. 16 RGPD impose

L’Art. 16 RGPD est formulé de manière concise :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

Deux droits distincts se combinent :

Droit à la rectification : corriger des données factuellement inexactes. Par exemple, un nom mal orthographié, une date de naissance erronée, une adresse obsolète. L’inexactitude s’apprécie de manière objective : les données sont soit exactes, soit inexactes au regard des faits vérifiables.

Droit au complément : compléter des données incomplètes lorsque cette incomplétude est pertinente au regard de la finalité du traitement. Ce droit peut être exercé en fournissant une « déclaration complémentaire », ce qui signifie que la personne peut communiquer les informations manquantes.

La distinction entre données inexactes et données incomplètes est importante : une donnée peut être exacte mais incomplète (un dossier médical qui omet un diagnostic antérieur), ou inexacte et complète (une adresse erronée dans un formulaire bien rempli).

Lien avec le principe d’exactitude : Art. 5(1)(d)

Le droit de rectification ne fonctionne pas en isolation. Il est l’instrument procédural du principe d’exactitude des données consacré à l’Art. 5(1)(d) RGPD. Ce principe impose que les données personnelles soient « exactes et, si nécessaire, tenues à jour » et que « toutes les mesures raisonnables » soient prises pour rectifier les données inexactes.

En pratique, l’obligation d’exactitude est une obligation proactive : le responsable de traitement doit mettre en place des mécanismes de vérification et de mise à jour sans attendre une demande de rectification. Le droit de l’Art. 16 RGPD est le mécanisme réactif qui permet à la personne de déclencher la correction lorsque l’obligation proactive a échoué.

Le CEPD (lignes directrices 01/2022 sur le droit d’accès) a précisé que l’exactitude s’apprécie au regard de la finalité du traitement : une donnée peut être considérée comme exacte pour une finalité (un historique de commandes reflétant une situation passée) et inexacte pour une autre (une adresse de livraison obsolète).

Obligation de notification aux destinataires : Art. 19

L’Art. 19 RGPD impose une obligation souvent sous-estimée :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification […] effectuée conformément à l’article 16, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

Trois implications concrètes :

Traçabilité des transmissions : le responsable doit tenir un registre des destinataires auxquels les données ont été transmises. Sans cette traçabilité, l’obligation de notification est impossible à exécuter.

Notification effective : chaque destinataire doit être informé de la rectification. Cela inclut les sous-traitants (Art. 28 RGPD), les co-responsables (Art. 26 RGPD) et les tiers destinataires.

Exception proportionnalité : la notification n’est pas requise si elle est « impossible ou exige des efforts disproportionnés ». Le responsable doit documenter les raisons pour lesquelles la notification n’a pas pu être effectuée.

Cas pratiques de rectification

Données RH : un salarié constate que sa fiche RH indique une mauvaise date d’embauche ou un grade inexact. Le responsable de traitement (l’employeur) doit rectifier dans les meilleurs délais et notifier tout organisme tiers auquel ces données ont été transmises (mutuelle, caisse de retraite, URSSAF).

Données clients : un client signale que son adresse est obsolète dans le CRM. La rectification doit être propagée à tous les systèmes utilisant cette adresse (facturation, livraison, marketing). Si les données ont été transmises à des partenaires commerciaux, l’Art. 19 RGPD impose de les notifier.

Données de scoring : lorsqu’un organisme de crédit utilise des données inexactes pour calculer un score, la rectification peut avoir un impact direct sur la situation financière de la personne. La CNIL a rappelé que le droit de rectification s’applique aux données sources du scoring, et que le responsable doit recalculer le score après rectification.

Données de santé : un patient constate une erreur dans son dossier médical. Le droit de rectification s’applique, mais le médecin peut refuser de supprimer une donnée qu’il considère exacte. Dans ce cas, la personne peut exiger que sa contestation soit mentionnée dans le dossier (déclaration complémentaire au sens de l’Art. 16).

Données collectées indirectement : lorsque les données proviennent d’un tiers (achat de base de données, enrichissement depuis un registre public), la personne peut demander la rectification au responsable de traitement actuel, qui doit corriger les données dans ses propres systèmes. Le responsable n’est pas tenu de faire rectifier les données à la source, mais l’Art. 19 RGPD impose de notifier la rectification aux destinataires en aval. Le responsable doit également envisager de corriger la source pour éviter la réintroduction de données inexactes lors d’un futur enrichissement.

Sanctions pour manquement à l’obligation de rectification

Le non-respect du droit de rectification relève des sanctions de l’Art. 83(5)(b) RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

CNIL vs EDF (Délibération n°SAN-2022-021, 24 novembre 2022) : 600 000 euros. EDF a été sanctionnée pour plusieurs manquements, dont le défaut de rectification de données de consommation inexactes et la conservation de données au-delà des durées prévues.

ICO vs Equifax (2018) : 500 000 livres sterling (sous l’ancien régime, plafond du Data Protection Act 1998). Le défaut de maintien de données exactes dans les fichiers de crédit a été retenu comme manquement distinct.

BfDI vs 1&1 Telecom (9 décembre 2019) : 9,55 millions d’euros initialement, réduit à 900 000 euros en appel. La procédure de vérification d’identité avant rectification et accès a été jugée insuffisante.

FAQ

Le responsable peut-il refuser une demande de rectification ?

Oui, si les données contestées sont effectivement exactes. Le responsable de traitement doit vérifier l’exactitude de la donnée et, si elle est correcte, peut refuser la rectification en motivant sa décision (Art. 12(4) RGPD). Il doit informer la personne de son droit de saisir la CNIL et de former un recours juridictionnel. En cas de doute sur l’exactitude, le droit de limitation du traitement (Art. 18(1)(a)) peut être invoqué par la personne.

La rectification doit-elle être notifiée à la CNIL ?

Non. L’Art. 19 RGPD impose la notification aux destinataires des données, pas à l’autorité de contrôle. La CNIL n’est pas un destinataire au sens de l’Art. 19. Toutefois, si la rectification résulte d’une plainte déposée auprès de la CNIL, le responsable de traitement doit informer la CNIL des mesures prises.

Quelle est la différence entre rectification et effacement ?

La rectification (Art. 16) vise à corriger des données inexactes ou à compléter des données incomplètes. L’effacement (Art. 17) vise à supprimer les données. Le choix entre les deux dépend de la situation : si les données sont fausses mais nécessaires au traitement, la rectification est appropriée. Si les données ne sont plus nécessaires ou ont été traitées illicitement, l’effacement s’impose.

Quel est le délai de rectification ?

L’Art. 16 RGPD impose la rectification « dans les meilleurs délais ». L’Art. 12(3) RGPD fixe le délai de réponse à un mois, prolongeable de deux mois en cas de complexité. La rectification effective doit intervenir le plus rapidement possible après validation de la demande — la CNIL considère que la correction technique doit être effectuée dans un délai de quelques jours après acceptation de la demande.