Demande d’exercice de droits : Réponse partielle, tiers, secrets, expurgation.
Minute RGPDVidéo
Lorsqu’une organisation reçoit une demande d’exercice du droit d’accès, la tentation est souvent de transmettre l’ensemble des documents contenant les données de la personne concernée. Cette approche peut sembler conforme à l’esprit de transparence du Règlement général sur la protection des données (RGPD).
Pourtant, dans la pratique, envoyer les documents “tels quels” constitue une erreur fréquente qui peut conduire à divulguer des informations qui ne devraient pas l’être.
Des documents qui contiennent rarement une seule personne
Dans la majorité des cas, les documents professionnels contiennent plusieurs types d’informations mêlées. Par exemple :
des emails envoyés à plusieurs destinataires ;
des tickets de support ou d’assistance ;
des comptes rendus RH ;
des documents internes mentionnant plusieurs collaborateurs ou partenaires.
Ces documents incluent souvent :
des données concernant d’autres personnes,
des informations internes sensibles,
ou des éléments qui ne peuvent pas être communiqués tels quels.
Transmettre ces documents sans analyse préalable peut donc porter atteinte aux droits et libertés d’autres individus.
Le cadre juridique : protéger les droits des tiers
Le droit d’accès est prévu par l’article 15 du Règlement général sur la protection des données. Il permet à toute personne d’obtenir la confirmation que ses données sont traitées et d’y accéder.
Cependant, ce droit comporte une limite importante :
l’exercice du droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui.
Autrement dit, une organisation doit trouver un équilibre entre transparence et protection des tiers.
La CNIL rappelle ainsi que les organismes doivent analyser les documents avant transmission et adapter la réponse lorsque des données de tiers apparaissent.
La bonne pratique : la réponse partielle maîtrisée
Face à ces situations, la solution consiste souvent à fournir une réponse partielle maîtrisée.
Cela ne signifie pas refuser la demande, mais adapter la communication des documents afin de ne transmettre que les informations pertinentes.
Trois réflexes peuvent guider cette démarche.
1. Isoler les données concernant la personne
La première étape consiste à identifier précisément les informations qui concernent la personne ayant exercé son droit.
L’objectif est de déterminer quelles données doivent réellement être communiquées.
2. Expurger les données de tiers
Lorsque les documents contiennent des informations concernant d’autres personnes, il est nécessaire de supprimer ou masquer ces éléments avant transmission.
Cette expurgation peut prendre plusieurs formes :
masquage de noms ou coordonnées,
suppression de passages d’un document,
anonymisation de certaines informations.
L’idée est simple : permettre l’accès aux données personnelles sans divulguer celles des autres.
3. Expliquer la réponse apportée
Une réponse conforme ne consiste pas seulement à transmettre des documents.
L’organisme doit également expliquer sa démarche, notamment :
le périmètre des informations communiquées,
les éléments retirés ou masqués,
les raisons de ces retraits.
Cette explication doit rester claire et proportionnée, sans entrer dans des détails inutiles.
Un piège fréquent : confondre transparence et surinformation
Dans certaines situations, les organisations pensent qu’être transparent signifie tout communiquer.
Or, transmettre un volume important d’informations brutes peut aboutir à :
divulguer des données de tiers,
exposer des informations internes sensibles,
produire une réponse difficilement compréhensible pour la personne concernée.
La transparence ne consiste donc pas à fournir plus d’informations, mais à fournir les bonnes informations.
Documenter les décisions prises
Enfin, un point essentiel consiste à garder une trace des arbitrages réalisés lors du traitement de la demande.
Cela peut inclure :
les documents analysés,
les éléments retirés ou anonymisés,
les justifications juridiques.
Cette documentation permet de démontrer la conformité de la réponse en cas de contrôle ou de contestation.
Répondre à une demande d’accès ne se limite pas à transmettre tous les documents disponibles. Une réponse conforme suppose :
d’identifier les données pertinentes,
d’expurger les informations relatives aux tiers,
et d’expliquer clairement la réponse apportée.
Cette approche permet de respecter le droit d’accès tout en protégeant les droits des autres personnes, conformément aux exigences du Règlement général sur la protection des données.
Sous-traitant qui sous-traite : le piège de la « cascade »
Vous avez validé un prestataire. Tout est signé. Le projet avance. Et puis, un jour, vous découvrez que vos données ne transitent pas uniquement par ce partenaire soigneusement sélectionné, elles passent aussi par un hébergeur, un outil de support, une solution d'analytics, une infogérance... autant d'acteurs que personne n'a vraiment regardés.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
