Maîtrisez-vous la gestion des demandes de droits RGPD ?

Avec le RGPD, outre le droit d'être informées, les personnes dont les données sont traitées peuvent exercer jusqu’à sept droits : le droit d’accès permet, entre autres, à un utilisateur de savoir si des données le concernant sont traitées et d’en obtenir une copie lisible dans un format compréhensible.
Il permet notamment de contrôler l’exactitude des données ; le droit de rectification permet à la personne de modifier, corriger ou mettre à jour des données la concernant afin de limiter l’utilisation ou la diffusion d’informations erronées ; le droit d’opposition permet à la personne de s’opposer à ce que ses données soient utilisées pour un objectif précis ; le droit à l’effacement permet à la personne d’obtenir l’effacement de ses données ; le droit à la limitation permet de stopper temporairement l’utilisation des données concernant une personne, par exemple le temps d’examiner une contestation de sa part sur l’utilisation de ses données ou une demande d’exercice de droits ; le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible par machine, pour son propre usage ou pour les fournir à un autre organisme ; le droit à l’intervention humaine face à un profilage ou une décision entièrement automatisée.
Au-delà de la théorie, comment un responsable de traitement doit gérer ces droits très concrètement quand ils sont exercés ? Et quel rôle doit jouer le DPO : simple spectateur, critique, pilote et leader, vérificateur, soutien ?
Nous vous proposons de répondre à ce quiz qui aborde le traitement de ces droits (principalement le droit d’accès).

- Vous devez répondre à toutes les questions
- Les questions qui appellent une réponse unique voient les propositions précédées d'un rond
- Les questions qui appellent une ou plusieurs réponses voient les propositions précédées d'un carré

_{Les données de ce formulaire sont recueillies par ANAXIA CONSEIL au titre de son intérêt légitime à développer son activité de formation ; elle sont destinées au service formation et}_{conservées pour une durée maximale de 3 ans après la fin de la relation commerciale, ou après votre dernière demande, puis seront anonymisées. Conformément à la loi "Informatique et Libertés" du 6 janvier 1978 modifiée et au Règlement Européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, vous disposez d'un droit d'accès et de rectification aux informations qui vous concernent ainsi que d'un droit d'opposition, du droit à la limitation du traitement et à l'effacement dans le cadre de la réglementation en vigueur. Vous pouvez exercer ces droits par courrier postal (joindre un justificatif d’identité) auprès de ANAXIA CONSEIL • 400 Avenue Roumanille • Village Greenside • BP 309 • 06906 SOPHIA ANTIPOLIS Cedex. Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL. Pour votre parfaite information, ANAXIA CONSEIL a désigné un délégué à la protection des données, que vous pouvez joindre à l’adresse mail dpo@anaxia-conseil.fr.}

Ayant reçu une demande de droit d'accès, nous ne trouvons aucune donnée concernant le demandeur ; qu’est-il possible de faire ? *

Rien

Contacter le demandeur pour lui demander des précisions pouvant nous aider à trouver des données le concernant

Lui indiquer formellement ce constat et dans les temps impartis par le RGPD (un mois)

Est-il possible d'obliger les personnes concernées d'utiliser un canal particulier pour exercer leur droit d’accès ? *

Oui (un formulaire en ligne, par exemple)

Oui, pour certaines catégories de personnes (les salariés, par exemple)

Non. S’il est possible d’inviter les personnes à privilégier un canal, toutes les demandes sont recevables quel que soit le moyen utilisé (sauf ceux qui ne sont manifestement pas destinés aux interactions avec le personnel)

La personne concernée exerce son droit sur place ; de combien de temps dispose le responsable de traitement pour fournir les données et les informations complémentaires ? *

Les données doivent être fournies immédiatement, la personne s’étant spécialement déplacée pour cela

Du même temps dont il dispose pour traiter une demande similaire exercée via un autre canal

L’article 15.1 RGPD dispose que « La personne concernée a le droit d'obtenir du RT ... l'accès auxdites données à caractère personnel ». Donc un RT devrait laisser le demandeur accéder à ses données si celui-ci n’accepte pas qu’une copie lui soit fournie. *

Tout à fait

Non, le responsable de traitement peut se contenter de fournir une copie des données à caractère personnel faisant l'objet d'un traitement

Dans quel cas, en France, la production d’un accusé de réception d’une demande de droit d’accès est-elle requise (obligatoire) ? *

Dans aucun cas, il s’agit seulement d'une « bonne pratique » évoquée par le CEPD dans ses lignes directrices sur le droit d’accès

En cas de demande exprimée par email

En cas de demande exprimée via un formulaire en ligne

En cas de demande exprimée sur site

En cas de demande exprimée par courrier postal

Dans tous les cas

Quelles peuvent être les « données personnelles » que doit fournir un responsable de traitement en réponse à une demande de droit d’accès ? *

En tant que responsable de traitement, vous soupçonnez la personne qui exerce auprès de vous une demande de droit d'accès de viser un objectif autre que celui de prendre connaissance du traitement des données et d’en vérifier la licéité… *

Vous lui demandez de motiver sa demande et, selon sa réponse, pourrez décider de ne pas y donner suite

Vous donnez suite à sa demande, sans le questionner sur sa motivation

Vous le contactez sans aborder spécifiquement la question de sa motivation, mais en profitez pour « tâter le terrain » et, éventuellement, décider de ne pas donner suite à la demande

Une personne concernée nous présente une demande d'accès au titre du RGPD mais exige la production de « documents » et pas seulement de données *

Nous devons systématiquement y donner droit

Ce n’est pas ce qu’exige le RGPD : nous pouvons donc nous focaliser sur la remise des copies de données, du moment que l’information est intelligible pour la personne

Nous pouvons en effet être amenés à fournir la copie d’extraits de documents, voire de documents entiers, si cette fourniture est la seule façon de permettre à la personne concernée de comprendre la façon dont nous traitons ses données

Une même personne exerce régulièrement son droit d’accès auprès de nous. Nous possédons une grande quantité de données la concernant, données difficiles à regrouper au sein de notre système d’information ; que faire ? *

Systématiquement, nous lui envoyons l’intégralité de ses données à chaque demande

Nous utilisons la possibilité que nous avons de lui demander de préciser sa demande et espérons vivement qu’elle ne souhaite recevoir que les données « nouvelles » que nous avons traitées depuis sa demande précédente

Après lui avoir envoyé toutes ses données dans le cadre de sa première demande, nous lui envoyons les « évolutions » lors de ses demandes suivantes (et refusons de lui fournir à nouveau l’intégralité de ses données, même si elle les réclame explicitement)

Après lui avoir envoyé toutes ses données dans le cadre de sa première demande, nous lui envoyons les « évolutions » lors de ses demandes suivantes (et nous tenons prêts à lui fournir à nouveau l’intégralité de ses données si elle les réclame explicitement)

Une même personne exerce régulièrement son droit d’accès (et nous possédons une grande quantité de données la concernant) ; que faire pour nous éviter à chaque fois de passer plusieurs jours à regrouper toutes ses données au sein de notre SI ? *

Le plus simple est, systématiquement, de conserver un double de l’intégralité des données que nous lui avons envoyées. Cette conservation est sans limite, allant même au-delà des durées de conservation prévues dans chaque traitement.

Nous conservons un double de l’intégralité des données que nous lui avons envoyées, mais prenons soin de retirer chaque donnée au fur à mesure de l’atteinte des durées de conservation prévue dans chaque traitement.

Pour nous éviter de perdre à nouveau du temps, nous conservons systématiquement un double de l’intégralité des données que nous lui avons envoyées uniquement à l’issue de la deuxième demande (dans l’éventualité d’une troisième demande, et d’autres à suivre). Cette conservation est « calée » sur la période observée entre les deux premières demandes (six mois, par exemple).

Nous conservons un double de l’intégralité des données que nous lui avons envoyées pendant un temps court que nous avons explicitement indiqué à la personne (« Si vous souhaitez l’intégralité de vos données, vous n’avez que juste au 28 mars pour ce faire »), pour respecter le principe de minimisation.

Nous ne conservons pas une copie de l’intégralité des données que nous lui avons envoyées et recommençons les recherches à chaque nouvelle demande, même si cela doit nous prendre quatre jours.

Nous détenons beaucoup d’informations relatives à une personne qui exerce auprès de nous son droit d’accès. Nous décidons de suivre la recommandation du CEPD et nous lui envoyons un premier « lot » d’informations ; qu’y a-t-il dans ce premier envoi ? *

Seulement les données traitées, mais aucune des informations complémentaires qui devraient être également fournies (finalités, durées de conservation, destinataires, etc.)

Seulement les données traitées et les informations complémentaires associées relatives à quelques traitements qui nous semblent « prioritaires » (les plus « importants » de notre point de vue)

Seulement les données traitées et les informations complémentaires associées relatives aux traitements les plus récents

Je ne sais pas

Suite de la question précédente : à réception du premier lot, la personne exige de recevoir le reste ; combien de temps avons-nous pour lui envoyer le reliquat ? *

Un mois à réception de sa nouvelle demande, pas plus

Un mois à réception de sa nouvelle demande, que nous pouvons étendre à trois mois (après en avoir averti la personne avant un mois)

Le RGPD (et le CEPD) étant silencieux à ce sujet, nous prenons le temps qu’il faut

Je ne sais pas

Un lobbyiste veut obtenir une modification de Loi. Pour renforcer ses arguments, il incite un grand nombre de particuliers à exercer leurs droits auprès d’ets. qui sont submergées. Les RT en question peuvent-ils considérer ces demandes comme excessives ? *

En aucun cas, chacun des demandeurs ayant droit à adresser à qui il veut une demande de droit RGPD

Par précaution, ils devraient au préalable contacter l’autorité de contrôle pour décrire la situation et espérer obtenir un soutien

Absolument, l’opération ayant clairement pour but de leur nuire

Je ne sais pas

Un courrier de client contient pour l’essentiel des insultes à l’égard de notre entreprise et des personnes qui y travaillent, mais il contient la phrase « J’en profite pour exiger que vous m’adressiez une copie des données me concernant ! » ; que faire ? *

C’est une demande de droit d’accès RGPD comme les autres, à traiter comme les autres

C’est une demande manifestement excessive et nous refusons de donner suite (en l’indiquant formellement à la personne)

C’est une demande manifestement excessive et nous exigeons le paiement de frais raisonnables

Je ne sais pas

Un homme demande à recevoir une copie des données personnelles relatives à son enfant mineur ; quelles précautions prendre avant de lui adresser les informations attendues ? *

Aucune, si sa demande respecte les conditions décrites par le RGPD

Il est prudent de lui demander s’il détient l’autorité parentale

Je ne sais pas

Vous avez des doutes sur l’identité réelle du demandeur ; vous pouvez alors … *

Lui demander la production d’informations supplémentaires vous permettant d’obtenir une assurance raisonnable, mais sans que ces informations excèdent celles que vous avez obtenues dans le cadre du traitement

Lui demander la production d’informations supplémentaires vous permettant d’obtenir une assurance raisonnable, et ceci en allant si besoin au-delà des informations que vous avez obtenues dans le cadre du traitement

Systématiquement, exiger la copie d’une pièce d’identité

Je ne sais pas

Pour prouver son identité, un demandeur nous produit la copie d’un document écrit en kanji (caractères d’origine chinoise utilisés dans l'écriture du japonais). *

Nous n’avons pas le droit de lui demander plus (ou un autre moyen d’authentification) : il nous reste à trouver un traducteur (qui soit également en mesure de nous assurer de la véracité et de la validité du document)

Il nous est possible de demander la production d’un autre document (plus facilement exploitable par nos soins) ou d’informations complémentaires afin d’obtenir l’assurance raisonnable de l’identité du demandeur

Je ne sais pas

Vous avez reçu une demande de droit d’accès le 1 du mois. Le 7 vous doutez de l’identité du demandeur et exigez de lui des informations supplémentaires qu’il fournit le 15. Combien de temps reste-t-il pour fournir les données et informations attendues ? *

Un mois à compter du 7 (le moment où nous lui avons demandé des précisions)

Un mois à compter du 15 (du moment où nous avons eu la certitude de sa bonne identité)

Je ne sais pas

Vous avez reçu une demande de droit d’accès le 1 du mois. Le 7 vous doutez de l’identité réelle du demandeur et exigez de lui des informations supplémentaires. Il ne revient jamais vers vous malgré vos relances. Que faisons-nous ? *

Rien, et au bout d’un mois à compter de notre dernière relance, nous archivons la demande

Nous commençons à regrouper les données et à préparer un projet de réponse, dans l’attente (enfin) d’un retour de la part du demandeur

Je ne sais pas

Un demandeur exige de recevoir ses données par simple email. Vous lui demandez de vous fournir son numéro de GSM afin de lui envoyer le mot de passe permettant de déchiffrer votre envoi. Il refuse ; que faire ? *

Nous envoyons toutes les données en clair, sans aucune sécurité et conservons précieusement trace de son refus : ainsi l’autorité de contrôle ne pourra rien nous reprocher

Nous revenons vers la personne pour insister sur la nécessité de protéger ses données et lui assurer que son numéro de téléphone sera supprimé après l’envoi. S’il donne une suite positive, nous envoyons les données de façon sécurisée (chiffrées)

Nous revenons vers la personne pour insister sur la nécessité de protéger ses données et lui assurer que son numéro de téléphone sera supprimé après l’envoi. S’il refuse à nouveau, nous préférons ne rien envoyer et attendre un éventuel reproche formulé par l’autorité de contrôle

Nous revenons vers la personne pour insister sur la nécessité de protéger ses données et lui assurer que son numéro de téléphone sera supprimé après l’envoi. S’il refuse à nouveau, nous lui envoyons toutes les données en clair

Je ne sais pas

Une personne vous a adressé une demande de droit d’accès par courrier postal. Vous lui adressez la réponse par courrier postal, en recommandé avec accusé de réception… mais il ne va jamais la retirer. *

C’est son problème, l’autorité ne pourra rien nous reprocher

La personne peut se plaindre auprès de l’autorité de contrôle qui nous saisira

Je ne sais pas

Un client est débiteur auprès de votre organisme. Il vous adresse une demande de droit à l’effacement au titre du RGPD et exige que vous l’oubliiez totalement ; que faire ? *

Nous donnons une suite positive à sa demande, supprimons l’intégralité des données le concernant et passons la somme qu’il nous devait en pertes

Nous lui répondons (avant un mois) que nous ne donnons pas une suite positive à sa demande en ajoutant une argumentation et en lui signalant qu’il peut se plaindre auprès de l’autorité de contrôle

Je ne sais pas

L’un de vos clients exerce auprès de vous son droit à l’effacement car elle considère que vous avez atteint votre finalité ; que faites-vous ? *

Nous avons en effet atteint notre finalité principale. Nous supprimons toutes les données relatives à ce client

Nous avons en effet atteint notre finalité principale. Nous supprimons les données de notre archive courante, mais pas encore de notre archive intermédiaire (pour pouvoir nous protéger si ce client nous attaque en justice)

Je ne sais pas

Une personne concernée ne souhaite plus recevoir vos emails publicitaires et exerce son droit d’opposition. Comment faites-vous pour éviter, dans le futur, de lui envoyer à nouveaux de tels envois ? *

Nous ajoutons son adresse email dans une liste repoussoir qui est interrogée avant chaque nouvelle diffusion

Nous ajoutons le hash de son adresse email dans une liste repoussoir qui est interrogée avant chaque nouvelle diffusion

Nous courrons ce risque et ne prenons aucune précaution particulière

Je ne sais pas

Une personne vient de recevoir l’un de vos emails publicitaires. La diffusion a été réalisée par un ST ayant lui-même obtenu des fichiers auprès d’autres acteurs de l’eMarketing. La personne vous demande de lui indiquer la « source » des données. *

Le RGPD ne lui donne pas ce droit. Nous lui répondrons donc dans le mois, en déclinant sa demande.

Nous lui indiquons l’identité de notre sous-traitant de premier niveau (auquel nous avons confié la réalisation globale de la campagne publicitaire). Il faut alors que la personne exprime à nouveau sa demande auprès de cet acteur.

Nous obtenons l’information auprès de notre sous-traitant de premier niveau (auquel nous avons confié la réalisation globale de la campagne publicitaire) et la fournissons à la personne.

Je ne sais pas

Même problématique et l’adresse de la personne figurait dans deux fichiers qui ont été sélectionnés pour cette campagne. La personne s’oppose à de nouveaux envois. Concrètement, qu’allez-vous faire ? *

Rien, et espérer que la personne ne figurera pas à nouveau dans un fichier qui sera utilisé lors de vos prochaines campagnes marketing

Lors de vos prochaines campagnes marketing, vous prenez soin de fournir à votre sous-traitant les informations lui permettant de « repousser » les personnes qui ne doivent surtout pas recevoir votre publicité

Je ne sais pas

Une personne exerce auprès de vous son droit d’opposition à figurer dans l’un de vos traitements fondé sur votre intérêt légitime, sans décrire sa « situation particulière » qui motive sa démarche. Que faire ? *

La demande étant infondée, il suffit de refuser formellement dans le mois, en indiquant que la personne peut se plaindre auprès de l’autorité de contrôle

Revenir vers la personne pour s’enquérir de sa « situation particulière » et, en fonction de la réponse apportée, décider (ou pas) de donner une suite positive

Le droit d’opposition étant absolu, même sans que la personne ait spécifié sa situation particulière, nous donnons droit à sa demande

Une personne convaincue de fraude envers votre organisme exerce son droit à la rectification et exige que soit remplacée dans vos traitements l’information selon laquelle il s’est rendu coupable de fraude par « Client sans problème ». Que faites-vous ? *

Le droit à la rectification est absolu. Nous procédons aux modifications demandées et le signalons de façon formelle au demandeur en moins d’un mois

La donnée n’étant pas inexacte, nous n’avons pas à donner une suite positive à cette demande, que nous rejetons formellement en moins d’un mois, avec un argumentaire et en indiquant à la personne qu’elle peut se plaindre auprès de l’autorité de contrôle

Je ne sais pas

Framaforms

Maîtrisez-vous la gestion des demandes de droits RGPD ?

Contacter l'auteur⋅rice de ce formulaire

Propulsé par Yakforms