top of page
Rechercher

Comment répondre à une demande de droit d'accès RGPD?

  • xdpo
  • 23 janv. 2023
  • 5 min de lecture

Dernière mise à jour : 27 nov.


Droit d'accès données


Une personne peut demander à exercer l'un de ses droits garantis par le Règlement Général sur la Protection des Données (RGPD). En tant que responsable de traitement, il est essentiel de savoir comment gérer ces requêtes de manière appropriée, légale et dans les meilleurs délais .


Cet article est votre guide pratique pour répondre à une demande d'exercice de droit RGPD et surtout respecter les délais légaux de réponse (un point crucial !).


I. ⚖️ Quels sont les droits RGPD des personnes concernées ?


Il faut d'abord rappeler que les données personnelles appartiennent aux personnes concernées et que vous - responsable de traitement ou sous-traitant - les utilisez dans un certain cadre (voir les règles d'or du RGPD que nous décrivons dans cet article de Blog). La demande des personnes est donc parfaitement légitime.

Les droits des personnes sont décrits dans les articles 12 à 23 du RGPD :

  • Le droit à l'effacement (droit à l'oubli) : La personne peut demander la suppression de ses données.

  • Le droit d'accès : Le droit le plus fréquent. La personne demande la communication des données que vous détenez sur elle, souvent sous forme de copie lisible et compréhensible.

  • Le droit d'opposition : Permet de s'opposer à un traitement de ses données. Ce droit n'est pas absolu et doit être justifié par la situation particulière de la personne, sauf pour la prospection commerciale (opposition absolue).

  • Le droit de rectification : Permet d'exiger la correction ou la complétion d'informations inexactes ou incomplètes.

  • Le droit à la portabilité des données : Permet à la personne de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine, pour son usage personnel ou pour les transmettre à un autre organisme.

  • Le droit à la limitation des traitements : Utilisé en attente de la réponse à une demande de rectification ou d'opposition. La personne peut demander la suspension du traitement de ses données pendant l'examen de sa requête (les données sont conservées, mais non traitées).

  • Les droits liés à la décision automatisée : Concerne toute décision prise uniquement sur la base d'un traitement automatisé. La personne a le droit d'être informée de l'existence de ces décisions, de les contester et d'exiger un réexamen humain.


A noter que l'exercice de ces droits dépend de la justification juridique du traitement (la base légale), que le CNIL a résumé dans ce tableau:


ree



II. Étape cruciale : vérifier l'identité du demandeur


La première étape pour traiter une demande de droit d'accès RGPD est de s'assurer que vous parlez bien à la personne concernée.


Principe : La règle de l'unicité du demandeur


Par principe, seule la personne concernée peut exercer un droit pour ses propres données. Vous êtes en droit de ne pas répondre aux demandes d'exercice de droit faites pour le compte d'autrui, à moins de tomber dans les exceptions suivantes :


Les exceptions à la règle


  • Le mandataire : Une personne ou une entreprise mandatée peut effectuer la demande. Elle doit obligatoirement fournir :

    • Un mandat clair et valide ;

    • Une preuve de son identité (le mandataire) ;

    • Une preuve de l'identité du mandant (la personne concernée).

  • Les représentants légaux : Pour les mineurs ou les majeurs incapables, les demandes sont naturellement effectuées par leurs tuteurs ou représentants légaux.


"Doute raisonnable" = Demander un justificatif


Si vous avez un doute raisonnable sur l'identité du demandeur, le RGPD vous autorise à demander des preuves supplémentaires. Celles-ci doivent être proportionnées à la situation :

  • Numéro client / Numéro de facture ;

  • Copie de pièce d'identité.

💡 Réflexe RGPD : Pensez à supprimer immédiatement la preuve d'identité (notamment la copie de pièce d'identité) une fois que l'identité est confirmée et que la demande est traitée.

⛔ Les 4 motifs légitimes de refus de réponse


Vous avez le droit de refuser de donner suite à une demande d'exercice de droits dans les cas suivants :

  1. Les données sollicitées ont déjà été effacées.

  2. La demande émane d'une personne agissant pour le compte d'un tiers sans mandat.

  3. La satisfaction de la demande porte atteinte aux droits et libertés d'autrui.

  4. La demande est manifestement infondée ou excessive (par exemple, des demandes répétées de manière abusive et rapprochée).

Si la demande est jugée infondée ou excessive, vous pouvez aussi exiger le paiement de frais raisonnables. Attention : ces frais ne doivent jamais constituer une entrave à l'exercice des droits de la personne.

⚠️ En cas de refus : Vous avez l'obligation d'informer la personne, de motiver clairement votre décision et de l'informer des voies de recours dont elle dispose auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

III. Respecter les délais : La clé de la conformité


Le respect des délais est un indicateur essentiel de la conformité au RGPD et l'un des points les plus contrôlés par la CNIL.Le droit d'opposition : Permet de s'opposer à un traitement de ses données. Ce droit n'est pas absolu et doit être justifié par la situation particulière de la personne, sauf pour la prospection commerciale (opposition absolue).


Pour répondre à une demande d'exercice de droit :

  • ⏰Accusez réception de la demande immédiatement

  • Si elle est justifiée, répondez dès que possible et au plus tard un mois à compter de la réception de la demande.

  • ⏰Extension du délai : Si la demande est particulièrement complexe ou si vous faites face à un nombre important de requêtes, ce délai peut être prolongé de deux mois supplémentaires (soit 3 mois au total).

Important : En cas d'extension, vous devez informer la personne concernée de cette prolongation et des motifs du report dans le délai initial d'un mois.

IV. Garder une trace : Le devoir d'accountability


Conformément au principe d'Accountability (responsabilité), vous devez pouvoir prouver que vous respectez le RGPD. C'est pourquoi la tenue d'un registre des demandes d'exercice de droits est indispensable.


Ce registre doit idéalement contenir les informations suivantes :

  • L'identité de la personne concernée ;

  • Le type de personne (Client, prospect, salarié, partenaire, etc.) ;

  • La date de la demande et la date de la réponse ;

  • Le type de droit exercé (accès, rectification, effacement, etc.) ;

  • Le responsable interne qui a traité et répondu à la demande ;

  • Le statut final de la demande (Traitée favorablement, en cours de traitement, Refusée) ;

  • Détails sur la preuve d'identité (Type de preuve si collectée et date de sa suppression).


En appliquant ces trois étapes fondamentales (Vérification, Délais, Traçabilité), vous sécurisez votre processus et répondez aux demandes de droit d'accès RGPD en toute conformité .


Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.


bottom of page