Lorsqu’une personne fait une demande de droit d’accès en vertu du règlement général sur la protection des données (RGPD), il est important de répondre de manière adéquate et rapide. Voici comment répondre à une demande de droit d’accès :
- Vérifiez que la demande est légitime. Assurez-vous que la demande est bien écrite et qu’elle provient bien de la personne concernée par les données . Si vous avez des doutes, vous pouvez demander des informations supplémentaires pour vérifier son identité.
- Identifiez les données concernées. Vous devez localiser les données personnelles de la personne et vérifier si elles sont toujours en votre possession ou si elles ont été transférées à un autre responsable de traitement.
- Préparez les données pour l’exercice du droit d’accès. Vous devez fournir les données dans un format lisible et compréhensible, en utilisant un format standard et couramment utilisé.
- Communiquez les données à la personne concernée. Vous pouvez communiquer les données de différentes manières, par exemple en les envoyant par courrier électronique ou en les mettant à disposition sur un site web sécurisé.
- Conservez une trace de la demande et de la réponse. Vous devez conserver une trace de la demande de droit d’accès et de la réponse que vous avez fournie, afin de pouvoir justifier votre action en cas de contrôle de la part de l’autorité de protection des données.
La CNIL a publié en décembre 2022, une notice de réponse à une demande de droit d’accès.
Une personne peut exercer son droit d’accès :
- auprès d’une société dont elle est cliente, par exemple pour avoir la copie de son dossier client ou d’une conversation téléphonique avec le service clients qui a été enregistrée ;
- auprès de son employeur pour accéder aux données de son dossier administratif ;
- auprès de son médecin pour obtenir une copie des données de son dossier médical ;
- auprès d’une administration pour obtenir la confirmation que des données la concernant sont traitées.
Quelles sont les obligations du responsable de traitement ?
En tant que responsable du traitement des données personnelles, vous devez :
- Informer les personnes concernées de leur droit d’accès lorsque vous collectez leurs données ;
- Faciliter l’exercice de leur droit d’accès en proposant des modalités pratiques (formulaire en ligne, coordonnées dédiées) ;
- Mettre en place un processus interne efficace pour traiter les demandes de droit d’accès. Cela implique de prévoir des procédures pour acheminer les demandes au bon interlocuteur et de gérer les demandes dans les délais impartis ;
- Prévoir des modalités de réponse compréhensibles, accessibles et formulées dans un langage clair et simple pour les personnes concernées.
Quels justificatifs d’identité demander ?
Pour exercer ses droits, la personne doit prouver son identité. Dans la plupart des cas, cette preuve peut être apportée par « tout moyen » qui permet d’établir l’identité de la personne de manière suffisante. Par exemple, il n’est pas nécessaire de fournir une photocopie d’une pièce d’identité si l’identité de la personne peut être établie grâce à d’autres informations (comme un numéro client ou adhérent).
Dans un contexte numérique, l’exercice des droits depuis un espace où la personne s’est authentifiée peut également être suffisant, selon les données d’identité numérique requises (par exemple FranceConnect).
Cependant, si vous avez un « doute raisonnable » sur l’identité du demandeur, vous pouvez lui demander de fournir tout autre document qui permette de prouver son identité, par exemple la photocopie d’une pièce d’identité.
Le niveau de vérification à effectuer peut varier en fonction de la nature de la demande, de la sensibilité des informations communiquées et du contexte dans lequel la demande est faite.
Quels sont les délais pour répondre à une demande ?
Le principe :
- 1 mois maximum pour une demande simple ;
- 3 mois maximum pour une demande complexe (par exemple si une personne demande une copie de l’intégralité de ses données) ;
- 8 jours maximum pour des données de santé.
Quelle que soit la situation, il faut informer la personne des suites sous un mois maximum.
Comment répondre à une demande de droit d’accès ?
Les demandes de droit d’accès peuvent être formulées sur place ou par écrit (voie postale ou électronique).
- Si la demande est formulée sur place et que vous ne pouvez pas y apporter une réponse immédiatement, vous devez remettre au demandeur un avis de réception daté et signé.
- Si la demande est formulée par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement (article 12.3). Dans ce cas, attention aux modalités de transmission des informations qui doivent se faire de manière sécurisée.
- Si la demande est faite par écrit et que vous avez besoin de précisions ou de compléments pour y répondre, vous devez prendre contact avec le demandeur (courrier postal ou électronique). Si vous envoyez les données personnelles par voie postale, il est souhaitable de le faire par le biais d’un courrier recommandé avec accusé de réception.
- Si les données sont communiquées par clé USB, vous pouvez remettre la clé USB en main propre.
DPO PARTAGE vous propose son logiciel RGPD pour la gestion des demandes d’accès
Face à cette exigence, le logiciel de gestion du RGPD proposé par DPO PARTAGE (droit d’accès RGPD ) se distingue par sa capacité à offrir une solution native intégrant un registre des demandes pleinement conforme au RGPD. Ce registre, conçu pour simplifier au maximum la saisie des informations, facilite non seulement la gestion quotidienne des demandes d’accès, de rectification ou de suppression de données, mais assure également le respect des obligations légales incombant aux organisations.
L’interface intuitive du logiciel permet aux utilisateurs de compléter le registre de manière efficace, garantissant ainsi que toutes les informations requises par le RGPD sont enregistrées de façon précise et systématique. Que ce soit la nature de la demande, l’identité du demandeur, les dates de réception et de traitement de la demande, ou encore les actions entreprises en réponse, chaque élément est pris en compte pour permettre une traçabilité et une transparence totale.
Cette fonctionnalité s’avère particulièrement précieuse dans un contexte où les sanctions pour non-conformité au RGPD peuvent être sévères. En effet, l’absence d’un registre adéquat des demandes d’accès peut exposer les organisations à des risques juridiques et financiers significatifs, allant jusqu’à des amendes importantes. En intégrant ce registre conforme et facile à utiliser, DPO PARTAGE offre donc une solution clé en main pour naviguer sereinement dans le paysage complexe de la protection des données, renforçant ainsi la confiance des utilisateurs et des parties prenantes dans le respect de leurs droits fondamentaux.
Logiciel RGPD : Les éléments de notre logiciel
FAQ sur les Obligations du Responsable de Traitement sous le RGPD
1. Quelle est ma première étape en recevant une demande d’accès aux données personnelles ?
Vérifiez l’identité du demandeur pour vous assurer que vous ne divulguez pas de données personnelles à une personne non autorisée. Puis, traitez la demande conformément au RGPD, en fournissant toutes les informations pertinentes demandées dans un délai d’un mois.
2. Dois-je toujours répondre à une demande de suppression de données ?
Oui, mais il existe des exceptions, comme lorsque le traitement est nécessaire pour l’exercice du droit à la liberté d’expression, pour l’exécution d’une obligation légale, ou pour la constatation, l’exercice ou la défense de droits en justice.
3. Comment dois-je procéder avec les demandes de rectification des données ?
Traitez la demande de rectification sans délai en corrigeant les données inexactes et, si applicable, en complétant les données incomplètes, puis informez le demandeur une fois l’action effectuée.
4. Quelle réponse donner à une demande de limitation de traitement ?
Appliquez la limitation de traitement quand il y a contestation de l’exactitude des données, traitement illicite, ou si les données sont nécessaires pour la défense de réclamations juridiques, en informant le demandeur de la limitation appliquée.
5. Comment gérer une demande de portabilité des données ?
Fournissez les données personnelles concernées dans un format structuré, couramment utilisé et lisible par machine, et si demandé, transférez-les directement à un autre responsable du traitement, lorsque cela est techniquement faisable.
6. Quels sont mes devoirs en cas de violation de données personnelles ?
Vous devez notifier la violation à l’autorité de contrôle compétente sans retard injustifié, et si possible, dans les 72 heures après en avoir pris connaissance, sauf si la violation ne présente pas de risque pour les droits et libertés des personnes physiques.
7. Dois-je informer les individus affectés par une violation de données ?
Oui, si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, vous devez informer sans délai injustifié les personnes concernées, en décrivant la nature de la violation ainsi que les recommandations pour atténuer ses éventuelles conséquences négatives.
8. Comment assurer la sécurité des données traitées ?
Mettez en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, incluant, selon le cas, la pseudonymisation, le chiffrement, la capacité à assurer la confidentialité, l’intégrité, la disponibilité, et la résilience des systèmes et services de traitement.
9. Quelles sont les obligations liées à la sous-traitance ?
Assurez-vous que vos sous-traitants respectent également le RGPD. Cela inclut la sélection de sous-traitants fournissant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles adéquates, ainsi que la régulation de cette relation par un contrat ou un autre acte juridique.
10. Comment documenter la conformité au RGPD ?
Tenez à jour des registres de vos activités de traitement, évaluez régulièrement votre conformité au RGPD, réalisez des analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé, et désignez un Délégué à la Protection des Données si nécessaire.
FAQ coté personne concernée (personne qui souhaite avoir des informations sur ses données personnelles )
1. Comment puis-je faire une demande d’accès à mes données personnelles ?
Vous pouvez faire une demande d’accès en contactant le responsable du traitement des données de l’organisation, en précisant les informations que vous souhaitez obtenir. La demande peut souvent être faite par email ou via un formulaire dédié sur le site web de l’organisation.
2. Sous combien de temps doit être traitée ma demande d’accès ?
Le RGPD stipule que les demandes doivent être traitées sans retard injustifié, et en tout état de cause dans le mois suivant la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire.
3. Quels droits ai-je concernant mes données personnelles ?
Vous avez plusieurs droits, dont le droit d’accès, de rectification, d’effacement (« droit à l’oubli »), de limitation du traitement, de portabilité des données, et d’opposition au traitement de vos données personnelles.
4. Comment demander la suppression de mes données personnelles ?
Pour demander la suppression de vos données personnelles, contactez directement l’organisation en charge de vos données, en précisant votre demande d’effacement selon les conditions du RGPD.
5. Puis-je demander la modification de mes données si elles sont incorrectes ?
Oui, le RGPD vous donne le droit de faire rectifier sans délai injustifié les données personnelles inexactes vous concernant. Vous pouvez adresser une demande de modification auprès de l’organisation détenant vos données.
6. Qu’est-ce que le droit à la portabilité des données ?
Le droit à la portabilité vous permet de recevoir les données personnelles vous concernant, fournies à une organisation, dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à une autre organisation sans entrave.
7. Comment exercer mon droit d’opposition au traitement de mes données ?
Vous pouvez exercer votre droit d’opposition en contactant l’organisation traitant vos données, en spécifiant les raisons de votre opposition au traitement de certaines données vous concernant.
8. Quelles sont les obligations des organisations en réponse à une demande RGPD ?
Les organisations sont tenues de répondre aux demandes des personnes exerçant leurs droits sous le RGPD dans les délais légaux, de manière claire et précise, et de prendre les mesures nécessaires pour faciliter l’exercice de ces droits.
9. Que faire si ma demande RGPD n’est pas satisfaite ?
Si votre demande n’est pas satisfaite ou reste sans réponse, vous avez le droit de déposer une plainte auprès de l’autorité de protection des données de votre pays, qui peut enquêter sur votre cas.
10. Existe-t-il des exceptions au droit d’accès aux données personnelles ?
Oui, certaines exceptions existent, comme lorsque l’accès pourrait nuire aux droits et libertés d’autrui, ou dans le cadre de la sécurité nationale et de la défense. Les détails spécifiques peuvent varier selon la législation nationale.
