Le Règlement Général sur la Protection des Données (RGPD) vise à donner aux citoyens le contrôle de leurs données personnelles. Parmi les droits fondamentaux consacrés par le RGPD, on trouve le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité des données, et le droit d’opposition. Mais que faire lors d’une demande d’exercice de droit douteuse ?
Qu’est-ce qu’une demande de droit ?
Une demande de droit au sens du RGPD est une requête formelle envoyée par un individu à une organisation pour exercer l’un de ses droits concernant ses données personnelles. Par exemple, un individu peut demander à une entreprise de lui fournir une copie de toutes les données personnelles qu’elle détient à son sujet (droit d’accès), ou de supprimer toutes ses données personnelles (droit à l’effacement).
Comment gérer une demande de droit ?
La première étape de la gestion d’une demande de droit est de vérifier l’identité de la personne qui fait la demande. Le RGPD exige que les organisations prennent des mesures pour s’assurer que les personnes qui demandent à exercer leurs droits sont bien les personnes qu’elles prétendent être.
Exclusivité DPO PARTAGE
Trouver le DPO d'une société
Nouveau service pour trouver le DPO d'une société et lui ecrire pour rectifier vos données.
Annuaiare des DPOComment contrôler que c’est la bonne personne ?
L’entreprise peut demander des informations supplémentaires pour confirmer l’identité de la personne qui fait la demande. Cela pourrait inclure des questions de sécurité basées sur les informations que l’entreprise détient déjà, ou la demande de documents d’identité. Cependant, il est important de ne demander que les informations strictement nécessaires pour confirmer l’identité de la personne, afin de ne pas enfreindre les principes du RGPD.
Que faire lorsque la demande d’exercice de droit douteuse ?
Si une demande d’exercice de droit semble douteuse, c’est-à-dire qu’il existe des motifs raisonnables de soupçonner qu’elle est frauduleuse ou faite dans le but de recueillir des informations sur l’entreprise, il est recommandé de ne pas y donner suite. Le RGPD prévoit que l’organisation peut refuser de répondre à une demande si elle est manifestement infondée ou excessive.
Cependant, il est important de documenter la raison de ce refus et de communiquer cette raison à la personne qui a fait la demande. Si la personne conteste le refus, l’organisation peut être tenue de fournir des preuves justifiant sa décision.
