samedi, juin 3, 2023
Votre DPO Contacter DPO PARTAGE
AccueilConformité RGPDRépondre à une demande de droit d’accès ?

Répondre à une demande de droit d’accès ?

Lorsqu’une personne fait une demande de droit d’accès en vertu du règlement général sur la protection des données (RGPD), il est important de répondre de manière adéquate et rapide. Voici comment répondre à une demande de droit d’accès :

  • Vérifiez que la demande est légitime. Assurez-vous que la demande est bien écrite et qu’elle provient bien de la personne concernée par les données . Si vous avez des doutes, vous pouvez demander des informations supplémentaires pour vérifier son identité.
  • Identifiez les données concernées. Vous devez localiser les données personnelles de la personne et vérifier si elles sont toujours en votre possession ou si elles ont été transférées à un autre responsable de traitement.
  • Préparez les données pour l’exercice du droit d’accès. Vous devez fournir les données dans un format lisible et compréhensible, en utilisant un format standard et couramment utilisé.
  • Communiquez les données à la personne concernée. Vous pouvez communiquer les données de différentes manières, par exemple en les envoyant par courrier électronique ou en les mettant à disposition sur un site web sécurisé.
  • Conservez une trace de la demande et de la réponse. Vous devez conserver une trace de la demande de droit d’accès et de la réponse que vous avez fournie, afin de pouvoir justifier votre action en cas de contrôle de la part de l’autorité de protection des données.

La CNIL a publié en décembre 2022, une notice de réponse à une demande de droit d’accès.

Une personne peut exercer son droit d’accès :

  • auprès d’une société dont elle est cliente, par exemple pour avoir la copie de son dossier client ou d’une conversation téléphonique avec le service clients qui a été enregistrée ;
  • auprès de son employeur pour accéder aux données de son dossier administratif ;
  • auprès de son médecin pour obtenir une copie des données de son dossier médical ;
  • auprès d’une administration pour obtenir la confirmation que des données la concernant sont traitées.

Quelles sont les obligations du responsable de traitement ?

En tant que responsable du traitement des données personnelles, vous devez :

Exclusivité DPO PARTAGE

Vos questions sur le RGPD

Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse sous 24/48h à votre problématique.

Poser ma question
  • Informer les personnes concernées de leur droit d’accès lorsque vous collectez leurs données ;
  • Faciliter l’exercice de leur droit d’accès en proposant des modalités pratiques (formulaire en ligne, coordonnées dédiées) ;
  • Mettre en place un processus interne efficace pour traiter les demandes de droit d’accès. Cela implique de prévoir des procédures pour acheminer les demandes au bon interlocuteur et de gérer les demandes dans les délais impartis ;
  • Prévoir des modalités de réponse compréhensibles, accessibles et formulées dans un langage clair et simple pour les personnes concernées.

Quels justificatifs d’identité demander ?

Pour exercer ses droits, la personne doit prouver son identité. Dans la plupart des cas, cette preuve peut être apportée par “tout moyen” qui permet d’établir l’identité de la personne de manière suffisante. Par exemple, il n’est pas nécessaire de fournir une photocopie d’une pièce d’identité si l’identité de la personne peut être établie grâce à d’autres informations (comme un numéro client ou adhérent).

Dans un contexte numérique, l’exercice des droits depuis un espace où la personne s’est authentifiée peut également être suffisant, selon les données d’identité numérique requises (par exemple FranceConnect).

Cependant, si vous avez un “doute raisonnable” sur l’identité du demandeur, vous pouvez lui demander de fournir tout autre document qui permette de prouver son identité, par exemple la photocopie d’une pièce d’identité.

Le niveau de vérification à effectuer peut varier en fonction de la nature de la demande, de la sensibilité des informations communiquées et du contexte dans lequel la demande est faite.

Quels sont les délais pour répondre à une demande ?

Le principe :

  • 1 mois maximum pour une demande simple ;
  • 3 mois maximum pour une demande complexe (par exemple si une personne demande une copie de l’intégralité de ses données) ;
  • 8 jours maximum pour des données de santé.

Quelle que soit la situation, il faut informer la personne des suites sous un mois maximum.

Comment répondre à une demande de droit d’accès ?

Les demandes de droit d’accès peuvent être formulées sur place ou par écrit (voie postale ou électronique).

Audit Flash RGPD GRATUIT

Assurez-vous d'être en conformité RGPD avec notre audit flash gratuit.

  • Si la demande est formulée sur place et que vous ne pouvez pas y apporter une réponse immédiatement, vous devez remettre au demandeur un avis de réception daté et signé.
  • Si la demande est formulée par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement (article 12.3). Dans ce cas, attention aux modalités de transmission des informations qui doivent se faire de manière sécurisée.
  • Si la demande est faite par écrit et que vous avez besoin de précisions ou de compléments pour y répondre, vous devez prendre contact avec le demandeur (courrier postal ou électronique). Si vous envoyez les données personnelles par voie postale, il est souhaitable de le faire par le biais d’un courrier recommandé avec accusé de réception.
  • Si les données sont communiquées par clé USB, vous pouvez remettre la clé USB en main propre
DPO Partagé
DPO Partagé
Vous cherchez un DPO, confiez votre mission à DPO PARTAGE - Contactez nous au 07 56 94 70 90 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles.
Vous pouvez aimer

Derniers articles

Derniers commentaires