Parmi les divers droits que le Règlement Général Européen sur la Protection des Données (RGPD) accorde aux personnes concernées, on compte le droit d’accès aux données personnelles, ainsi qu’à certaines informations concernant la manière dont ces données sont traitées.
Si votre organisation traite des données personnelles, savez-vous quand le droit d’accès peut être utilisé ? Avez-vous mis en place les procédures nécessaires afin d’assurer que vous facilitiez ce droit ? Savez-vous exactement quel type d’informations vous devez fournir et/ou quand vous pouvez refuser de répondre à une demande d’accès.
Ce que dit le RGPD
L’article 15 du RGPD indique ce que vous, le responsable du traitement, devez faire.
Sur demande, vous devez confirmer à la personne concernée si ses données sont traitées et, si oui, où cela a lieu, leur fournir une copie de leurs données personnelles (à condition que cela n’affecte pas pour autant les droits et libertés d’autres individus), ainsi que les informations suivantes :
- Les raisons du traitement.
- Les catégories de données personnelles concernées.
- Les destinataires (ou catégories de destinataires) avec qui ces données sont partagées.
- La durée sur laquelle vous comptez conserver les données personnelles (ou, si cela n’est pas possible, le critère utilisé afin de déterminer cette durée).
- La possibilité d’exercer leur droit de rectification, de suppression ou de limitation ou de s’opposer au traitement.
- Leur droit d’introduire une réclamation auprès d’une autorité de contrôle.
- Toutes les informations disponibles concernant la source des données si elles n’ont pas été collectées directement auprès de la personne concernée.
- L’existence de prises de décisions automatisée, y compris le profilage et les informations utiles concernant la logique ainsi que la signification du traitement et les conséquences éventuelles liées à celui-ci.
Lorsque les données sont transférées vers une organisation internationale ou un pays tiers, la personne concernées peut également exercer son droit d’être informée quant aux garanties appropriées liées au transfert (conformément à l’article 46).
Les frais
Vous ne pouvez pas demander des honoraires à la personne concernée pour exercer ces droits, à moins que leur demande soit « manifestement infondée ou excessive ». Mais vous pouvez lui faire payer des frais raisonnables liés au coût administratif dans le cas où la personne concernée demanderait des exemplaires supplémentaires.
Ce que vous devez faire
Le RGPD n’explique pas ce qu’est une demande d’accès valide, elles peuvent donc prendre différentes formes – y compris orale. Les demandes n’ont pas besoin d’être envoyées à une personne ou à un contact particulier et ne doivent pas nécessairement contenir les termes « demande d’accès », « Article 15 » ou « RGPD ». La personne concernée peut simplement demander à recevoir ses données personnelles.
Si vous êtes responsable du traitement, il vaut la peine de définir une procédure à suivre dans la cadre d’une demande d’accès afin que tout employé recevant ce type de demande sache comment la traiter – d’autant plus que vous disposez d’un délai d’un mois pour y répondre. Formez votre personnel quant à la manière de gérer les demandes d’accès peut donc s’avérer plus prudent.
Se conformer aux demandes d’accès
Notre coffret de mise en place du RGPD vous fournit toutes les ressources et outils dont vous avez besoin afin de lancer votre projet de mise en conformité avec le RGPD, y compris le kit de documentations RGPD. Il comprend un ensemble de documents-types faciles à utiliser, y compris une procédure et un formulaire de demande d’accès personnalisables.
En savoir plus >>
