RGPD : Comment répondre à la demande d’accès d’une personne concernée ?

Les changements et ajouts aux droits des personnes sous le Règlement Général Européen sur la Protection des Données (RGPD) auront des conséquences considérables. Ce blog met l’accent sur les demandes d’accès des personnes concernées leur donnant la possibilité d’obtenir :

  • La confirmation que leurs données sont en cours de traitement ;
  • L’accès à leurs données personnelles ; ainsi que
  • Des informations complémentaires (principalement les informations fournies dans les avis de confidentialité).

Les procédures de réponse et de demande d’accès des personnes concernées restent similaires à celles des lois actuelles de protection des données, mais le RGPD y apporte quelques changements. Par exemple :

 

  1. Vous ne pouvez pas exiger de frais contre l’accès à ces informations

Dans la plupart des cas, les entreprises devront fournir aux personnes concernées une copie gratuite des informations demandées. Cependant, les entreprises ont le droit de prélever des « frais raisonnables » lorsqu’une demande est manifestement infondée, excessive ou répétitive.

Ces frais doivent être déterminés en fonction des coûts administratifs liés à la livraison des informations demandées.  Les entreprises peuvent également refuser de répondre à toute demande excessive, infondée ou répétitive. Dans ce cas, elles devront alors expliquer pourquoi elles refusent de se conformer à la personne concernée et l’informer quant à son droit de faire appel à l’autorité de contrôle de l’entreprise.

 

  1. Vous avez un mois pour y répondre

Le règlement indique que les entreprises doivent fournir les informations demandées au plus vite et dans un délai d’un mois.

Lorsque les demandes sont complexes ou nombreuses, les entreprises peuvent allonger cette période à trois mois. Elles doivent cependant tout de même répondre à la demande dans un délai d’un mois et expliquer les raisons de cette prolongation.

 

  1. Vous devez permettre les requêtes électroniques

Les personnes concernées doivent avoir la possibilité d’adresser leur demande par voie électronique (ex. via email) ou physique. Lorsqu’une demande est faite par voie électronique, les informations doivent être fournies sous un format de fichier courant.

La Raison 63 du règlement indique que le responsable du traitement des données devrait, si possible, « pouvoir donner l’accès à distance à un système sécurisé permettant à la personne concernée d’accéder directement aux données à caractère personnel la concernant »

 

Comment vous préparer ?

Les modifications des règles concernant les demandes d’accès des personnes concernées signifient que les entreprises devront fournir plus d’informations et répondre plus rapidement.  Par conséquent, elles devront organiser leur manière de conserver les données personnelles. Cela signifie qu’une cartographie de leurs données pourrait leur être particulièrement bénéfique.

La cartographie des données vous aide à contrôler la localisation des données que vous avez collectées. Cela peut s’avérer compliqué, mais notre outil de cartographie des flux de données vous aide à simplifier ce processus.

Cet outil vous aide à créer des représentations visuelles cohérentes de vos processus sans pour autant avoir besoin de stylos, de papier ou de graphiques vectoriels.

Vous pouvez également générer des rapports de flux de données sous contrôle de version qui compilent les informations de vos cartographies de flux de données sous un format facile à lire.

En savoir plus sur notre outil de cartographie des flux de données (en Anglais) >>

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.