Saviez-vous qu’il est possible d’exercer ses droits par l’intermédiaire d’un mandat ?
La CNIL a récemment publié ses recommandations concernant l’exercice des droits par un mandat. Nous vous proposons de faire le point dans cet article.
Mais de quoi s’agit-il ?
Le RGPD garantit aux personnes des droits sur leurs données à caractère personnel afin d’en garder la maîtrise. Ces droits peuvent être exercés directement par les personnes elles-mêmes auprès des organismes qui détiennent leurs données mais également par l’intermédiaire de personnes ou d’organismes spécialement mandatés pour l’exercice de leurs droits.
Comment cela se passe concrètement ?
La personne qui souhaite exercer ses droits (le mandant) auprès d’un organisme qui détient ses données (le responsable de traitement, détenteur des données) peut décider de mandater une personne physique ou morale (le mandataire) pour l’exercice de ses droits. Le mandataire va donc exercer les droits pour le compte de la personne. L’ensemble des droits prévus par le RGPD peuvent être exercés ainsi :
- droit d’accès
- droit de rectification
- droit à l’effacement
- droit à la limitation du traitement
- droit à la portabilité
- droit d’opposition
- droit d’obtenir une intervention humaine
- droit de retirer son consentement
Un mandat devra être signé entre le mandant et le mandataire. La CNIL propose un modèle de mandat sur son site Internet que vous pouvez retrouver ici. Le mandat doit préciser :
- quel droit le mandataire peut exercer
- la durée du mandat
- les données à caractère personnel faisant l’objet de la demande
- les informations sur l’identité du mandant
- le destinataire des données, à savoir le mandant ou le mandataire
Le mandataire doit toujours tenir informé le mandant de l’évolution de la demande.
Que doit faire le responsable de traitement ?
Le responsable de traitement, détenteur des données, doit quant à lui identifier la personne concernée à l’origine de la demande, s’assurer de l’authenticité, de l’étendue et de la durée du mandat et enfin d’identifier les destinataires des données.
Par ailleurs, les règles classiques en matière de gestion des droits des personnes s’appliquent :
- La réponse à la demande doit être apportée dans les meilleurs délais et au plus tard dans le délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de demande complexe. Notez d’ailleurs que la complexité de la demande devra être démontrée par le responsable du traitement… Mais attention ! Le simple fait qu’une demande soit exercée par le biais d’un mandataire ne suffit pas à prolonger le délai de réponse.
- Le responsable de traitement pourra refuser de faire droit à la demande lorsque celle-ci est manifestement infondée ou excessive, ou lorsque le responsable de traitement a des doutes raisonnables sur l’identité de la personne concernée. Une fois encore, le fait que la demande soit exercée par l’intermédiaire d’un mandataire ne doit pas conduire à considérer qu’il existe des doutes raisonnables sur l’identité de la personne ou que la demande est manifestement infondée ou excessive.
En bref : le responsable devra toujours faire preuve d’attention lors du traitement de demande exercée par mandat, tout en respectant les principes habituels (gratuité, délais, etc.).
Si vous avez encore des doutes sur la gestion des droits des personnes, n’hésitez pas à nous contacter ! 😉
