Appelez-nous au Mission RGPD, le logiciel RGPD de référence 04 28 70 91 81

Vous avez suivi nos derniers articles sur les droits des personnes consacrés par le RGPD ? Il est temps d’en apprendre plus sur la gestion des demandes d’exercice de droits et l’aide apportée par Mission RGPD dans ce cadre !

Récapitulatif des droits des personnes dans le RGPD

Pour rappel, le chapitre 3 du RGPD prévoit les droits suivants : ?

Nous vous avons expliqué certains de ces droits à l’occasion de nos dernières vidéos 1 minute pour tout comprendre et de nos récents articles.

La méthode pour gérer une demande d’exercice de droit ?

Exemples de demandes d’exercice de droit

  • Aujourd’hui vous recevez un mail de la part d’un prospect professionnel intitulé « Ne plus recevoir vos publicités ». La personne vous demande de supprimer son contact de vos listes d’envoi de mail. Dans ce cas, vous faites face à une demande d’opposition.
  • Un collègue vous transfère un mail d’un client ayant changé d’adresse postale : c’est une demande de rectification.

Notez que les demandes d’exercice de droits peuvent être formulées : de manière orale (lors d’une discussion ou par téléphone) ou écrite (par mail, par courrier postal ou via un formulaire d’exercice de droits dématérialisé ou non). Dans tous les cas, la personne doit pouvoir exercer ses droits facilement et gratuitement. Vous devez indiquer aux personnes les moyens dont elles disposent pour exercer leurs droits, notamment dans votre politique de confidentialité.

? Mission RGPD met à votre disposition un modèle de politique de confidentialité pour informer les personnes. Ce modèle est téléchargeable sur la plateforme Mission RGPD et prêt à être utilisé. Il vous suffit de remplir les champs identifiés par nos experts afin de l’adapter à votre organisation.

? D’autre part, avec Mission RGPD, vous disposez d’un formulaire de demande d’exercice de droits prêt à être mis en ligne sur votre site internet par exemple. Ce formulaire est accessible en ligne par les personnes qui souhaitent exercer leurs droits. Elles remplissent les différents champs du formulaire parmi lesquels : nom, prénom, adresse mail, le ou les droits qu’elles souhaitent exercer et la raison de leur demande.

Une fois le formulaire rempli et envoyé, la demande est directement enregistrée sur votre compte Mission RGPD, dans le module « Droits des personnes ». Vos fiches de demande d’exercice de droits sont automatiquement préremplies. De plus, vous centralisez les demandes d’exercice de droits des personnes dont vous traitez les données en proposant un moyen simple d’utilisation et sûr pour les personnes concernées.

L’enjeu de la qualification de la demande d’exercice de droit

Une fois que vous avez reçu la demande d’exercice de droit, vous devez la qualifier. Il arrive que les personnes ne formulent pas leur demande en utilisant les termes juridiques exacts du RGPD. Dans d’autres cas, la personne peut confondre ou lier différents droits dans une même demande. Vous devez alors traduire les attentes de la personne afin d’apporter une réponse adéquate.

Cette étape vous permet également d’évaluer la validité de la demande. Ainsi, vous évitez de répondre à des demandes infondées. Le risque peut être d’une part de répondre trop largement à la demande, ce qui peut porter préjudice à votre organisation, et d’autre part de répondre à une demande qui n’a pas lieu d’être. De manière générale, soyez attentif au contexte dans lequel la demande est formalisée. Les enjeux ne sont pas les mêmes d’une demande à l’autre. Par exemple répondre à une demande qui émane d’un salarié en cours de licenciement peut s’avérer plus risqué que de répondre à une demande provenant d’un client qui change de numéro de téléphone.

Ne réagissez pas avec précipitation en cas de demande. Prenez le temps d’analyser la demande, d’identifier les attentes de la personne et d’évaluer les risques. Une réponse hâtive peut elle-même représenter un risque pour votre organisation, notamment en entrainant une violation de données. Ce peut être le cas si vous envoyez des données personnelles au mauvais interlocuteur (hypothèse d’un homonyme ou d’une erreur dans le choix du destinataire lors de l’envoi).

La vérification d’identité ✅

Il convient de s’assurer que la personne formalisant la demande de droits est bien celle qu’elle indique être. En cas de demande de droit d’accès par exemple, cela limite le risque de communiquer les données de la personne concernée à un tiers mal intentionné.

En cas de doute sur l’identité de la personne vous pouvez, dans certains cas, demander la communication d’un justificatif d’identité. Vous pouvez par exemple avoir un doute sur l’identité du demandeur dans l’hypothèse où l’adresse mail de l’expéditeur ne correspond pas à celle enregistrée dans votre base.

Veillez toutefois à limiter la collecte de données. En effet, si vous demandez à la personne qu’elle vous envoie une copie de sa carte d’identité, vous risquez de collecter des données qui ne sont pas nécessaires et dont vous ne disposiez pas auparavant (comme le lieu de naissance de la personne, sa photo d’identité, son âge, etc.). Privilégiez préalablement d’autres moyens de vérification (numéro de commande, numéro de compte client etc.) afin d’éviter de collecter inutilement des pièces d’identité.

Répondre à une demande d’exercice de droits

Quel délai pour répondre à une demande d’exercice de droit ? ?

Une fois la demande qualifiée et l’identité de la personne vérifiée, vous devez répondre à la demande d’exercice de droit. Pour rappel, vous disposez d’un délai d’un mois pour répondre à la demande, à compter de sa réception (article 12 du RGPD). Il existe cependant deux exceptions à ce principe :

  • Si la demande concerne des données de santé, le délai de réponse maximal est de huit jours (article R-1111-1 du Code de la santé publique) ;
  • Si la demande est complexe ou si vous devez traiter un grand nombre de demandes simultanément, alors le délai peut être prolongé de deux mois supplémentaires, à condition d’en avertir la personne concernée dans le mois suivant sa demande.

Dans le cas où vous avez besoin de temps pour répondre à la demande, il est préférable d’accuser réception de la demande de la personne et de l’informer qu’elle sera traitée dans les plus brefs délais (ou dans un délai de trois mois maximum en cas de prorogation du délai). Dans l’hypothèse où vous pouvez répondre immédiatement, nul besoin d’accuser réception, formalisez directement votre réponse.

Comment délimiter le périmètre de la réponse ?

Identifiez le périmètre de traitements concerné par la demande. Selon le type de droit exercé, vérifiez les conditions d’application (la base légale du traitement objet de la demande, typologie de données devant être transmises, etc.) et identifiez les limites qui peuvent être opposées à la personne (atteinte au droit des tiers, au secret des affaires, liberté d’information etc.). Retrouvez ces informations dans nos articles précédents.

Quelle réponse formuler à une demande d’exercice de droit ? ?

D’un point de vue général, pour répondre aux demandes d’exercice de droits, restez cordial avec la personne et apportez-lui toutes les informations nécessaires. Les personnes qui exercent leurs droits sont sensibles à la protection de leurs données et souhaitent en principe une réponse favorable. Notez

qu’en cas d’insatisfaction ou d’absence de réponse de votre part, la personne peut saisir la CNIL. Dans le cas où la CNIL reçoit plusieurs plaintes s’agissant de demandes d’exercice de droits concernant votre organisation, elle risque de vous contrôler. Soyez donc vigilant et rigoureux dans vos réponses et vos échanges avec les personnes.

Pour adresser une réponse favorable, veillez à répondre aux attentes de la personne concernée sans dépasser le périmètre de la demande. Il peut être pertinent de demander à la personne concernée de préciser le périmètre de sa demande afin d’éviter de communiquer plus d’informations que nécessaire. En cas de demande de droit d’accès par exemple, la personne peut vous demander un accès à certaines données plutôt qu’à l’ensemble des données que vous détenez à son sujet. Dans ce cas, il peut être préjudiciable pour votre organisation de lui communiquer plus d’informations que ce qu’elle demande.

Vous pouvez également rendre une réponse défavorable à la demande de la personne. Mais cela ne vous exonère pas de lui répondre. Vous devez, même en cas de réponse défavorable, justifier votre choix et exposer vos motivations à la personne concernée. C’est le cas par exemple lorsque la demande est manifestement infondée ou excessive (article 12 du RGPD), notamment si les demandes de la personnes sont répétitives.

? Mission RGPD met à votre disposition des modèles de réponses aux différentes demandes d’exercice de droits. Téléchargez-les directement depuis la plateforme pour répondre rapidement aux personnes.

S’assurer de l’effectivité opérationnelle de la réponse apportée

D’une manière générale, pour traiter vos demandes d’exercice de droits, vous devez collaborer avec les opérationnels, ceux qui traitent les données. Cela vous permet d’identifier les données concernées. Formaliser une réponse à une demande d’exercice de droits est un travail d’équipe notamment pour : ?

  • Centraliser toutes les données afférentes à une demande de droit d’accès ou de portabilité,
  • Modifier ou supprimer des données,
  • Arrêter ou limiter un traitement.

Ce n’est pas tout de répondre favorablement à la personne concernée ! Il convient de s’assurer de la prise en compte effective de cette demande. Par exemple, en cas d’exercice du droit d’opposition, vérifiez que le contact de la personne concernée est bien supprimé de vos listes. Il peut être pertinent de formaliser une procédure opérationnelle de gestion des demandes d’exercice de droits, notamment en matière de prospection commerciale. Celle-ci peut notamment prévoir d’utiliser une liste repoussoir.

Le nombre ou le type de demandes d’exercice de droits peut également être un indicateur du mécontentement des personnes concernées par certains traitements et ainsi permettre aux équipes d’identifier des axes d’amélioration possibles dans leur process.

? Mission RGPD est un outil collaboratif et simple d’utilisation pour tous les profils d’utilisateurs. Experts et novices peuvent participer à la conformité RGPD de votre organisation. Vous pouvez notamment impliquer les responsables métiers ou les directions dans la réponse de vos demandes d’exercice de droits.

Notifier la rectification, l’effacement ou la limitation du traitement

Vous devez avoir identifié au préalable les destinataires vers qui les données ont été envoyées. Selon l’article 19 du RGPD, vous avec l’obligation de les informer de toute rectification, de l’effacement ou de la limitation du traitement des données concernées par la demande.

Conserver les preuves de vos échanges ?

N’oubliez pas de garder une trace de vos communications avec la personne, c’est primordial pour respecter votre obligation d’accountability. En cas de contrôle de la CNIL, vous devez apporter les preuves de votre volonté de respecter vos obligations et de vos efforts de mise en œuvre.

? Avec Mission RGPD vous gérez vos demandes d’exercice de droits en toute simplicité et sérénité. Le module « Droits des personnes » vous permet de documenter les demandes. Ainsi, vous assurez la traçabilité de vos réponses. Vous renseignez la date de réception de la demande et toutes les pièces jointes qui vous semblent pertinentes (copie de mail ou échanges de courriers par exemple).

`
Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.