Une personne peut demander à exercer ses droits conformément au Règlement général sur la protection des données (RGPD) aussi il est important de répondre de manière appropriée et dans un délai de 30jours maximum.
Après la lecture de cet article, vous pourrez répondre à une demande de droit d'accès RGPD et notamment :
▶️ Quels sont les droits?
Toute personne dispose de plusieurs droits sur ses données personnelles conformément au RGPD (Articles 12 à 23) :
👉 Le droit d'accès : Chaque personne peut demander à un organisme de lui communiquer les données qu'il détient sur elle. La personne peut demander d'en obtenir une copie dans un format compréhensible.
👉Le droit de rectification : Chaque personne peut demander la correction ou la complétion des informations qui la concerne.
👉Le droit à l'effacement : Chaque personne peut demander l'effacement de ses données lorsqu'elle ne souhaite plus bénéficier d'un service ou est gênée par une information sur internet. (Attention ce droit ne peut s'exercer que dans certaines situations).
👉Le droit à la portabilité des données : Chaque personne peut demander à récupérer ses données dans un format compréhensible pour son propre usage ou pour les transmettre à un tier.
👉Le droit d'opposition : Chaque personne peut demander à ce que ses données ne soient plus traitées. Ce droit n'est pas absolu et ne peut s'exercer que dans certaines situations.
👉Le droit à la limitation des traitements : Lorsqu'une personne fait jouer son droit de rectification ou d'opposition, vous disposez d'un délai pour répondre à ces demandes. Pendant ce délai, la personne peut demander à ce que les traitements de données cessent (attention, les données seront toujours conservées).
👉Les droits liés à la prise de décision automatisée : Lorsqu'une personne fait l'objet d'une décision automatisée, elle a le droit d'en être informée, de contester la décision et de demander le réexamen de la décision par un être humain.
Dès lors, pour répondre à une demande d'exercice de droit, il faut :
1️⃣ Vérifier l'identité de la personne qui demande
Par principe, seule la personne concernée peut faire une demande d'exercice de droit pour ses propres données. Vous n'avez pas à répondre aux demandes d'exercice de droit faites pour d'autres.
Deux exceptions :
- Le mandataire : une personne ou une société mandatée peut faire une demande d'exercice de droit à condition de présenter un mandat et de pouvoir présenter la preuve de l'identité du mandant et de la sienne.
- Les mineurs et les majeurs incapables : Les demandes d'exercice de droits sont faites par les tuteurs.
2️⃣ Connaitre les cas où vous pouvez refuser de répondre
Vous pouvez refuser de répondre à une demande d'exercice de droits dans 4 cas :
Si les données ont été effacées
Si la personne fait une demande pour le compte d'une autre sans être mandatée
Si la demande porte atteinte aux droits d'autrui
Si la demande est manifestement infondée ou excessive (demandes répétées et rapprochées par exemple).
Les demandes manifestement infondées ou excessives peuvent aussi donner lieu au paiement de frais raisonnables.
⚠️ Ces frais raisonnables ne doivent pas être une entrave aux droits des personnes.
Dans les cas où vous refusez de répondre à une demande d'exercice de droit, vous devez en informer la personne, motiver votre décision et l'informer des voies de recours auprès de la CNIL dont elle dispose.
3️⃣ Savoir quelles informations complémentaires vous pouvez demander
Le RGPD permet si vous avez des doutes raisonnables sur l'identité de la personne concernée, de demander à joindre une preuve d'identité :
- Numéro client
- Numéro de facture
- Pièce d'identité etc.
Pensez à supprimer cette preuve d'identité dès que vous aurez effectué la demande de la personne.
4️⃣ Les modalités à respecter
Deux conditions sont à respecter lorsque vous répondez à une demande d'exercice de droit RGPD :
Les délais à respecter
Pour répondre à un exercice de droit des personnes vous disposez de délai déterminé : 1 mois à partir du moment où vous recevez la demande.
Toutefois, si la demande est complexe ou si vous recevez un nombre important de demandes, ce délai peut être porté à 2 mois maximum. Vous devez informer la personne concernée que sa demande sera traitée dans un délai plus long.
Tenir un registre des demandes d'exercice de droits
Pour respecter le principe d'accountability auquel vous êtes soumis en tant que responsable de traitement (pour en savoir plus, notre article de blog !), vous devez tenir un registre qui répertorie les demandes d'exercice de droits que vous avez reçu et traité.
Ce registre doit contenir :
L'identité de la personne
Le type de personne (client, usagers, partenaires, salariés...)
La date de la demande
Le type de la demande (quel droit a été exercé)
Le responsable en interne qui a répondu à la demande
Si vous avez collecté une preuve d'identité et le type de preuve
Le statut de la demande (demande traitée, en cours de traitement, refusée)
En respectant ces règles simples, vous pouvez répondre à une demande d'exercice de droit en conformité avec le RGPD.
Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.
Comentarios