Notre dernier Baromètre RGPD auquel ont participé plus de 300 DPO, mentionne que 60% des entreprises traitent les droits des personnes en priorité en 2023.
Le renforcement du pouvoir des individus constitue l’un des apports de la règlementation européenne sur la protection des données. Les articles 15 et suivants du RGPD reconnaissent aux personnes un certain nombre de droits concernant leurs données, tels que le droit d’accès, le droit de rectification, le droit d’effacement, le droit à la portabilité et le droit d’opposition. Ces prérogatives imposent que tout organisme traitant des données personnelles respecte l’ensemble de ces dispositions, et qu’il mette en place les mesures nécessaires à cet effet.
Les personnes concernées doivent être informées des droits dont elles bénéficient ainsi que des modalités de leur exercice. Il faudrait dès lors définir les canaux permettant de contacter l’organisme ainsi que les étapes à suivre en interne en cas de réception d’une demande d’exercice de droit et la ou les personnes en charge de gérer et traiter ces demandes. Dans le cas où la demande n’a pas été réceptionnée à l’adresse communiquée, voire par le collaborateur en charge de la traiter, elle doit lui être transmise.
Vous devez dès lors veiller à ce que les collaborateurs soient correctement formés pour éviter qu’une demande ne soit pas traitée à cause d’un manque d’information. Vous devez aussi vous assurer que l’absence du collaborateur en charge du traitement des demandes n’implique pas un manquement à ces dispositions. En effet, le retard de réponse dans le cadre d’une demande d’exercice de droit dû à l’absence d’un collaborateur ne peut exonérer le responsable de traitement de ses obligations vis-à-vis des personnes concernées.
Comment procéder concrètement ?
- Vérifier l’identité de la personne : Au moment de la réception de la demande, vous devez vous assurer que la personne concernée par la demande est bien la personne à qui appartiennent les données concernées. Cette vérification peut être établie en collectant des informations supplémentaires, et en demandant, en cas de doute raisonnable quant à l’identité de la personne, le transfert d’une pièce d’identité.
- Accuser bonne réception de la demande : Vous devez veiller à assurer une bonne gestion de la demande. Vous pouvez ainsi envoyer une confirmation de réception pour informer la personne que vous l’avez bien reçue.
- Collecter les informations pertinentes : Vous devez recueillir si nécessaire des informations supplémentaires concernant la demande. Ces informations doivent permettre de spécifier la demande et de comprendre mieux le besoin de la personne.
- Traiter la demande en respectant le délai légal : Vous devez traiter la demande dans les meilleurs délais et répondre à la personne au plus tard dans un délai d’un mois à compter de sa réception. Ce délai peut toutefois être prolongé de manière exceptionnelle de deux mois, en cas de complexité de la demande ou du nombre élevé des demandes. Dans ce cas, vous devez informer la personne concernée dans un délai d’un mois de cette prolongation et des raisons du report.
- Prendre les mesures nécessaires : Dans le cas où la demande est acceptée, vous devez prendre les mesures nécessaires pour assurer son traitement de manière effective. Il peut s’agir de rectification de données, d’effacement de données, de transmission de données, etc.
- Informer les tiers : Les données, objet de la demande, peuvent avoir été transmises à vos sous-traitants dans le cadre du traitement en question. Si tel est le cas, vous devez les informer de la demande afin de vous assister dans le cadre de sa gestion et d’effectuer les actions nécessaires permettant de satisfaire la demande.
- Répondre à la personne : Vous devez informer la personne des mesures prises pour satisfaire sa demande. Dans le cas où la demande ne remplit pas les critères permettant de l’accepter, vous devez spécifier les raisons du refus dans un délai d’un mois à compter de la réception de la demande et inviter la personne à introduire une réclamation auprès de la CNIL ou de former un recours juridictionnel si elle le souhaite.
D’après le Baromètre RGPD, 73% des entreprises traitent les droits des personnes par échanges d’emails et en multipliant l’utilisation de multiples outils classiques à une gestion efficace des demandes dans les délais prescrits.
Saviez-vous qu’avec le module « Demandes des personnes concernées » de notre logiciel RGPD vous pouvez gérer efficacement les demandes d’exercice de droits ? Il vous permet de créer une fiche de demande pour centraliser l’identité de la personne, interagir directement avec la personne depuis la plateforme, utiliser des modèles de réponses pré-paramétrés, configurer l’adresse d’envoi et déléguer les demandes aux entités concernées.
