Comment gérer les droits des personnes concernées ?
Dans son rapport annuel de 2020, la CNIL annonce avoir reçu plus de treize mille plaintes …
Plaintes majoritairement motivées par le non-respect des droits prévus par le RGPD.
On constate donc que les personnes concernées ont bien compris qu’elles disposaient de droits… Mais le second constat que l’on peut donc faire est que ces droits ne sont parfois même pas pris en compte.
Alors, comment traiter la demande d’une personne concernée ?
Rappelons tout d’abord trois grands principes :
- Les droits sont personnels ;
- Ils sont gratuits ;
- Et chaque demande doit être traitée dans un délai d’un mois à compter de la réception de la demande, sauf exception.
En respectant ces principes, il faudra donc respecter cinq étapes clés qui nous permettront de répondre aux demandeurs :
1ère étape : Réceptionner la demande
Un premier réflexe s’impose ! En tant qu’employé non habilité à traiter ces demandes, n’y répondez pas directement !
Toutes demandes doivent être transmises le plus tôt au délégué à la protection des données ou au service habilité à les traiter.
Attention ! Si elles sont faites par téléphone demandez à votre interlocuteur de renouveler la demande à l’écrit à une adresse mail dédiée ou par courriel. Cela permettra de garder une trace concrète de ces demandes.
2ème étape : Accuser réception de la demande
Une fois une demande réceptionnée : le délai de réponse commence à courir !
Cela veut dire que :
- La demande devra être traitée dans un délai d’un mois à compter de sa réception ;
- Ce délai pourrait être prolongé de 2 mois si et seulement si la complexité et le nombre de demande l’impose.
En bref, il est essentiel d’informer la personne de la réception de sa demande et de la tenir informée du traitement de cette dernière. On peut ainsi prévoir des courriers types pour l’avertir d’un traitement plus long en raison de la complexité de sa demande.
3ème étape : Vérifier l’identité du demandeur
Pour traiter correctement une demande il faut s’assurer de l’identité du demandeur : il s’agit d’une étape cruciale ! A défaut, une demande mal traitée pourrait bien se transformer en violation de données à caractère personnel (accès non autorisé, modification ou disparition des données sont envisageables !) …
Un titre d’identité, ou tout moyen adapté au contexte, peut être requis pour valider cette étape.
Attention ! Les copies de documents d’identité ne doivent pas être conservées pour des durées trop longues. Ils peuvent être conservés un an maximum en cas de réponse positive à la demande. A défaut, ils peuvent être supprimés directement.
4ème étape : Analyser et répondre à la demande
Lorsque vous disposez de l’ensemble des éléments nécessaires pour répondre à la demande : il est temps de la traiter !
Attention ! En cas de refus, il faudra également informer le demandeur et justifier le refus (droit non applicable, données inexistantes ou anonymisées, etc.)
5ème étape : Conserver une trace des demandes
Afin de démontrer que chaque demande a bien été prise en compte et traitée dans les délais impartis il est recommandé de conserver une trace de ces demandes. On peut conserver ces informations pendant 5 ans après le traitement de la demande (durée de prescription civile).
Une dernière recommandation :
Pour faciliter le traitement des demandes, il est fortement recommandé de mettre en place une procédure de gestion des droits des personnes !
La procédure peut être adaptée par activité de traitement et prévoir des courriers types pour traiter rapidement et de manière efficace les demandes des personnes concernées.