L’introduction du règlement général sur la protection des données (RGPD) impose aux organisations de donner aux personnes concernées le droit de contrôler les données à caractère personnel conservées les concernant.
Les particuliers peuvent faire cette demande en soumettant un DSAR (demande d’accès à la personne concernée), auquel les organisations doivent répondre en fournissant :
- Une confirmation que les données de la personne sont en cours de traitement
- L’accès à leurs données personnelles.
- Le but du traitement des données.
- Les destinataires (ou catégories de destinataires) avec lesquels les données personnelles ont été ou seront partagées.
- La période estimée pour laquelle les données personnelles seront stockées (ou, si cela n’a pas encore été décidé, les critères utilisés afin de déterminer cette période).
- Un rappel que la personne concernée a le droit de s’opposer au traitement, de demander la rectification des données ou de déposer une plainte auprès d’une autorité de surveillance.
- Toute information pertinente quant à la manière dont les données personnelles ont été obtenues.
- Les informations concernant la prise de décision automatisée, y compris le profilage, et sur le raisonnement et les conséquences potentielles de l’automatisation.
Ces exigences sont globalement conformes aux lois précédentes concernant les demandes d’accès aux données personnelles, même si elles sont plus rigoureuses. Cependant, le RGPD comprend également des règles strictes sur la manière dont les informations doivent être fournies, ce que nous expliquons dans ce blog.
1. Vous ne pouvez pas imposer de frais afin de fournir ces informations
Dans la plupart des cas, les organisations devront fournir gratuitement une copie des informations demandées à le personne concernée. Toutefois, les organisations sont autorisées à facturer des « frais raisonnables » lorsqu’une demande est manifestement non fondée, excessive ou répétitive.
Ces frais doivent être définis en fonction des coûts administratifs liés à la fourniture des informations.
Les organisations peuvent également refuser d’accorder des demandes excessives, non fondées ou répétitives. Elles devront alors expliquer à la personne pourquoi elles refusent de se conformer et l’informer de leur droit de faire appel à l’autorité de surveillance de l’organisation.
2. Vous avez un mois pour répondre
Le règlement stipule que les organisations doivent fournir les informations demandées au plus vite et sous un délai d’un mois.
Lorsque les demandes sont complexes ou nombreuses, les organisations sont autorisées à prolonger le délai à trois mois. Cependant, ils doivent toujours répondre à la demande dans un délai d’un mois et expliquer pourquoi la prolongation est nécessaire.
3. Vous devez autoriser les demandes électroniques
Il n’y a pas de règles spécifiques concernant la manière utilisées afin de répondre à une demande d’accès. Un utilisateur peut, par exemple, dire « Je souhaite voir les données personnelles que vous détenez me concernant » ou faire la demande via email.
Lorsqu’une demande est faite par voie électronique, les informations doivent être fournies dans un format de fichier couramment utilisé.
De même, la raison 63 du règlement stipule que les responsables du traitement des données doivent, dans la mesure du possible, fournir « un accès à distance à un système sécurisé qui donnerait à la personne concernée un accès direct à ses données à caractère personnel ».
Vous souhaitez simplifier votre projet de mise en conformité avec le RGPD?
Vous pouvez créer un système permettant de répondre aux demandes d’accès rapidement et facilement à l’aide de notre kit de documentation RGPD. En effet, il contient plus de 80 modèles, y compris des stratégies, des procédures et des listes de contrôles, que vous pouvez intégrer à votre organisation pour garantir la conformité au RGPD.
Ce kit de documentation a été conçu et développé par des spécialistes dans le domaine du RGPD, selon leur expérience et ayant aidé des organisations de tous types et de toutes tailles à se conformer à la règlementation.
