Le responsable de traitement doit permettre à la personne concernée de jouir des droits suivants, au nombre de quatre (4) :

• Le droit à l’information : le responsable de traitement doit informer les personnes sur son identité, de la finalité du traitement, des destinataires des données, des délais de conservation… (cf. art. 13) ;
• Le droit d’opposition : la personne concernée a le droit de s’opposer à la collecte de ses données pour motif légitime (cf. art. 16). Si ce motif est valable, le responsable de traitement peut être sanctionné s’il n’en tient pas compte ;
• Le droit d’accès : la personne concernée peut saisir le responsable de traitement pour avoir copie des données collectées la concernant (cf. art. 17) ;
• Le droit de rectification : le responsable de traitement doit rectifier les données erronées si la personne concernée, justifiant de sa qualité, en fait la demande (cf. art. 17). De même, le responsable de traitement doit veiller sur la mise à jour de ses bases de données.

Les obligations du responsable de traitements

La loi met à la charge du responsable de traitements un certain nombre d’obligations, parmi lesquelles :

• L’obligation de requérir le consentement de la personne concernée. Le responsable de traitement doit requérir le consentement préalable de la ou des personne(s) concernée(s), sauf dérogations prévues par la loi (cf. art. 5).
• L’obligation de traiter les données de façon loyale, licite, légitime et transparente. Le responsable de traitement ne doit pas collecter les données des personnes à leur insu (cf. art. 12).
• Le respect des droits des personnes concernées. Le responsable de traitement doit permettre à la personne concernée de jouir des droits qui leurs sont reconnus ci-dessus.
• L’obligation d’assurer la sécurité et la confidentialité des données. Le responsable de traitement doit prendre toutes les mesures (techniques et organisationnelles) pour assurer la sécurité et la confidentialité des données notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y accèdent. Les données ne doivent pas être divulguées (cf. art. 15).
  L’obligation de respecter la finalité du traitement. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes (cf. art. 14). Elles ne peuvent pas être traitées ultérieurement, de manière incompatible avec les finalités prédéfinies.
• L’obligation de déterminer une durée limitée de conservation des données. Les données à caractère personnel ne peuvent être conservées indéfiniment. Elles doivent être détruites après l’atteinte de la finalité qui a justifié leur collecte. Pour cela, le responsable de traitement doit déterminer à l’avance la durée de conservation dans la mesure du possible (cf. art. 14).
• L’obligation de collecter les données de façon proportionnée (données pertinentes et non excessives). Le responsable de traitement doit collecter seulement les données nécessaires pour atteindre la finalité poursuivie. Il ne doit donc pas collecter des données excessives sur les personnes concernées.
• L’obligation d’accomplir les formalités préalables. Le responsable de traitement doit accomplir les formalités préalables avant la mise en œuvre des traitements (cf. art. 18 et 19, 24, 56).
• Le responsable de traitement doit se soumettre aux contrôles et vérifications. Le responsable de traitement a obligation de se soumettre aux contrôles et vérifications sur place et répondre à toute demande de renseignement que la CIL aura formulé dans le cadre de ses missions (cf. art.37).