Le Règlement Général sur la Protection des Données (RGPD) met en avant le droit d’accès des personnes concernées aux données personnelles qui les concernent. Dans cet article, nous aborderons la question de savoir si un traitement de « Gestion des demandes de droit d’accès » doit être enregistré dans le registre, et nous vous proposons un exemple de traitement pour vous aider à respecter la réglementation.
Gérer droit d’accès RGPD
Il est essentiel de conserver des éléments relatifs à la gestion des demandes de droit d’accès, notamment pour démontrer votre « bonne diligence » si nécessaire. Cette pratique est également utile pour vérifier s’il s’agit d’une première demande ou si la personne effectue régulièrement de telles demandes, éventuellement à une fréquence élevée (voir la question « Comment juger du caractère abusif d’une demande ? »).
Puisque la plupart de ces éléments sont des données à caractère personnel, et que ce traitement peut être considéré comme un traitement de données personnelles soumis à la loi Informatique et Libertés, il est recommandé d’ajouter votre traitement de gestion des demandes de droit d’accès à votre registre des traitements.
Voici un exemple de traitement pour la gestion des demandes de droit d’accès :
- Date de mise en œuvre : (à renseigner)
- Finalité principale : Gestion et suivi des demandes de droit d’accès
- Finalités secondaires :
a) Analyse du caractère éventuellement abusif des demandes ;
b) Production d’éléments statistiques relatifs aux demandes de droits d’accès - Service chargé de la mise en œuvre : Correspondant Informatique et Libertés (CIL)
- Catégories de données : Données d’identification du demandeur, copie de la demande et des échanges, copie de la réponse apportée, éléments prouvant la bonne diligence
- Personnes concernées : Personnes ayant adressé au responsable de traitement une demande de droit d’accès direct au titre de la loi Informatique et Libertés
- Destinataires : aucun (sauf réquisition et demande d’information au titre de tiers autorisés)
- Durées de conservation :
- Deux mois pour toutes les données après la fin d’instruction de la demande (archive courante)
- Trois ans en archives intermédiaires après basculement de l’archive courante concernant les copies de preuve d’identité
- Cinq ans en archives intermédiaires après basculement de l’archive courante pour toutes les autres données (voir la question « Pourquoi conserver la preuve d’identité, combien de temps et où ? »)
- Droit des personnes : L’information des personnes peut se faire dans l’accusé de réception de la demande de droit d’accès. La personne peut s’opposer, pour motif légitime, à figurer à ce traitement.
- Personne auprès de laquelle s’exerce le droit d’accès : le Correspondant Informatique et Libertés (CIL)
En somme, il est important de porter ce traitement de « Gestion des demandes de droit d’accès » à votre registre pour assurer la conformité au RGPD.
N’oubliez pas de fournir les données contenues dans ce traitement lorsqu’une nouvelle demande de droit d’accès est présentée. Ainsi, vous respecterez les exigences du RGPD en matière de transparence et de responsabilité.
Il est crucial d’adopter une approche proactive pour gérer et enregistrer les demandes de droit d’accès dans le cadre du RGPD. En ajoutant ce traitement à votre registre des traitements et en suivant les bonnes pratiques proposées, vous garantirez non seulement la conformité aux réglementations, mais aussi la protection des droits des personnes concernées.
