Gestion des demandes d’accès des personnes concernées

Parmi les divers droits que le Règlement Général Européen sur la Protection des Données (RGPD) accorde aux personnes concernées, on compte le droit d’accès aux données personnelles, ainsi qu’à certaines informations concernant la manière dont ces données sont traitées.

Si votre organisation traite des données personnelles, savez-vous quand le droit d’accès peut être utilisé ? Avez-vous mis en place les procédures nécessaires afin d’assurer que vous facilitiez ce droit ? Savez-vous exactement quel type d’informations vous devez fournir et/ou quand vous pouvez refuser de répondre à une demande d’accès.

 

Ce que dit le RGPD

L’article 15 du RGPD indique ce que vous, le responsable du traitement, devez faire.

Sur demande, vous devez confirmer à la personne concernée si ses données sont traitées et, si oui, où cela a lieu, leur fournir une copie de leurs données personnelles (à condition que cela n’affecte pas pour autant les droits et libertés d’autres individus), ainsi que les informations suivantes :

  • Les raisons du traitement.
  • Les catégories de données personnelles concernées.
  • Les destinataires (ou catégories de destinataires) avec qui ces données sont partagées.
  • La durée sur laquelle vous comptez conserver les données personnelles (ou, si cela n’est pas possible, le critère utilisé afin de déterminer cette durée).
  • La possibilité d’exercer leur droit de rectification, de suppression ou de limitation ou de s’opposer au traitement.
  • Leur droit d’introduire une réclamation auprès d’une autorité de contrôle.
  • Toutes les informations disponibles concernant la source des données si elles n’ont pas été collectées directement auprès de la personne concernée.
  • L’existence de prises de décisions automatisée, y compris le profilage et les informations utiles concernant la logique ainsi que la signification du traitement et les conséquences éventuelles liées à celui-ci.

Lorsque les données sont transférées vers une organisation internationale ou un pays tiers, la personne concernées peut également exercer son droit d’être informée quant aux garanties appropriées liées au transfert (conformément à l’article 46).

 

Les frais

Vous ne pouvez pas demander des honoraires à la personne concernée pour exercer ces droits, à moins que leur demande soit « manifestement infondée ou excessive ». Mais vous pouvez lui faire payer des frais raisonnables liés au coût administratif dans le cas où la personne concernée demanderait des exemplaires supplémentaires.

 

Ce que vous devez faire

Le RGPD n’explique pas ce qu’est une demande d’accès valide, elles peuvent donc prendre différentes formes – y compris orale. Les demandes n’ont pas besoin d’être envoyées à une personne ou à un contact particulier et ne doivent pas nécessairement contenir les termes « demande d’accès », « Article 15 » ou « RGPD ». La personne concernée peut simplement demander à recevoir ses données personnelles.

Si vous êtes responsable du traitement, il vaut la peine de définir une procédure à suivre dans la cadre d’une demande d’accès afin que tout employé recevant ce type de demande sache comment la traiter – d’autant plus que vous disposez d’un délai d’un mois pour y répondre. Formez votre personnel quant à la manière de gérer les demandes d’accès peut donc s’avérer plus prudent.

 

Se conformer aux demandes d’accès

Notre coffret de mise en place du RGPD vous fournit toutes les ressources et outils dont vous avez besoin afin de lancer votre projet de mise en conformité avec le RGPD, y compris le kit de documentations RGPD. Il comprend un ensemble de documents-types faciles à utiliser, y compris une procédure et un formulaire de demande d’accès personnalisables.

En savoir plus >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.