>
Comment répondre correctement à une demande de droit ?

Comment répondre correctement à une demande de droit ?

Quels droits ?

D’après la loi Informatique et Libertés et le RGPD, chaque personne – et ça compte
pour vous aussi ! – dispose des droits suivants pour protéger et maîtriser leurs
données personnelles :

  • Le droit d’accéder à vos données : demander à un organisme de vous communiquer les données qu’il détient vous concernant
  • Le droit de rectification de vos données : exiger la correction des informations qui seraient fausses ou incomplètes à votre propos
  • Le droit à l’effacement de vos données : demander à un organisme d’effacer et de supprimer les données personnelles qu’il possède
  • Le droit à la portabilité de vos données : récupérer une partie de vos données pour les stocker ou les transmettre à un autre système
  • Le droit de vous opposer à l’utilisation de vos données : vous opposer à tout moment à l’utilisation de vos données
  • Le droit à la limitation du traitement de vos données : demander un gel temporaire de l’utilisation de vos données
  • Le droit de ne pas faire l’objet de décision fondée uniquement sur un traitement automatisé et produisant des effets juridiques : souhaiter ne pas faire l’objet d’une décision purement automatisée
  • Le droit à une intervention humaine en cas de décision automatisée : réclamer une intervention humaine dans une situation de prise de décision automatique
  • Le droit de retirer son consentement lorsque le traitement est basé sur le consentement : de plus consentir au traitement de vos données personnelles
    par un organisme
  • Le droit de donner des directives post-mortem : exiger l’effacement des données d’une personne décédée, pour une « mort numérique »

Ainsi, vous pouvez exercer ces différents droits auprès des organismes qui traitent
vos données personnelles dès que vous le souhaitez.

Focus sur le droit d’accès

Une personne a donc par exemple le droit d’accéder aux données qui la concernent. Le droit d’accès, comme défini par la CNIL, autorise à demander à un organisme de partager les données qu’il détient sur vous, pour « savoir si vos données personnelles sont traitées ». L’exercice de ce droit permet d’obtenir une communication dans un format compréhensible, de façon à s’assurer de l’exactitude des données qui vous concernent, puis si nécessaire de les rectifier ou de les effacer.

Pourquoi exercer ce droit ?

Une personne peut décider d’exercer son droit d’accès pour plusieurs raisons :
-> Auprès d’un organisme qui traite des données personnelles la concernant
-> Auprès de son employeur
-> Auprès d’un professionnel de santé

Quelles conditions ?

Tout d’abord, il faut savoir que le droit d’accès n’est pas conditionné. Autrement dit, il n’y a aucunement besoin de motiver une telle demande. Si une personne souhaite accéder à ses données, elle peut le faire à n’importe quel moment. L’exercice de ce droit est même possible en parallèle d’une procédure contentieuse ou administrative en cours – tant qu’elle ne porte pas atteinte aux droits d’autres personnes, bien entendu.

Et pour les organismes ?

Le droit d’accès impose donc à tous les organismes une règle très simple : indiquer à son public comment le contacter pour pouvoir exercer ce droit. Une prise de contact est envisageable à travers une adresse électronique dédiée ou via un formulaire en ligne, par exemple. À partir de là, il suffit de savoir comment procéder pour répondre à une demande de droit en bonne et due forme !

Une fois une demande reçue, vous avez exactement un mois pour y répondre. Une temporalité très courte si vous n’êtes pas préparé… Il est donc primordial de mettre en place un processus clair en interne. Ce dernier doit vous permettre de :

  • Vérifier l’identité de la personne qui vous fait cette demande de droit ;
  • Si nécessaire, demander sur quelles données porte la demande – des
    données spécifiques ou l’ensemble des données traitées par votre organisme.
  • Déterminer si vous devez ou non faire droit à cette demande ;
  • Pouvoir répondre à la personne concernée pour donner suite à sa demande.

À quoi doit ressembler cette réponse ?

À un document complet, contenant toutes les données personnelles de la personne concernée. Vous devez y indiquer le type de données que vous collectez, comment vous les utilisez, leur durée de conservation ou encore si vous comptez exporter ces données au-delà de l’Union européenne. Toutes les informations partagées doivent être claires et véridiques.

Peut-on refuser de répondre à une demande d’exercice de droit ?

Si la législation en vigueur indique qu’il est nécessaire de répondre à une demande d’exercice de droit, il est possible de refuser une telle demande à condition de le justifier ! Il est possible de ne pas faire droit à une demande si :

  • Une demande de droit d’accès est infondée ou considérée comme étant excessive – notamment si vous faîtes face à des demandes multiples et rapprochées dans le temps pour une même requête ou un même document ;
  • Les données concernant la personne ne sont pas accessibles – par exemple parce qu’elles ne sont plus traitées ou parce qu’elles ont été effacées ;
  • En cas de demande d’effacement, si les données doivent être conservées –notamment en raison d’obligations légales.

Notez que si vous décidez de ne pas donner suite à une demande, il est impératif d’expliquer à la personne les raisons qui motivent ce refus. De la même manière, vous devez informer le demandeur des voies et délais de recours si ce dernier souhaite contester votre décision.

Les étapes à suivre pour répondre à une demande de droit :

Maintenant que tout est clair, voici comment procéder !

Procédure interne :

  1. Nommer une personne ou une équipe en charge du traitement des demandes d’exercice de droit
  2. Définir un moyen de contact dédié à la réception des demandes
  3. Définir une procédure interne précis dans un document obligatoire pour les collaborateurs concernés :
    • Qui traite les demandes ?
    • Quels sont les référents auxquels peuvent s’adresser les collaborateurs en charge du traitement des demandes, soit pour obtenir des informations sur les données traitées, soit pour faire appliquer la demande ?
    • Sous quels délais les référents doivent répondre à une demande des collaborateurs en charge ?
    • Le process relatif au traitement d’une demande (voir ci-dessous)
    • Le process relatif au renseignement du registre des demandes d’exercice de droit

Traitement d’une demande :

  1. Réception de la demande d’exercice de droit par les moyens de contact dédiés : à savoir que ces moyens doivent être indiqués sur votre site internet et dans la documentation de vote organisme
  2. Analyse de la demande par l’équipe en charge des demandes d’exercice de droit :
    • Sur quoi porte la demande ?
    • En cas de demande d’accès :
      • La demande porte-telle sur l’accès à l’information sur le traitement éventuel de données la concernant (« Avez-vous des données me concernant ? Pour quoi faire ? Combien de temps les conservez- vous ? À qui les transmettez-vous ? » etc.)
      • Et/ou sur l’obtention d’une copie de ces données ?
    • Dois-je et puis-je faire droit à la demande ?
      • Si les données ont été effacées, je ne peux pas faire droit à une demande de droit d’accès.
  3. Vérification de l’identité du demandeur (par exemple via un n° de client ou adhérent) : si besoin, il est possible de demander une pièce d’identité
  4. Vérifier que la personne qui a fait la demande est bien la personne concernée : un salarié ne peut pas faire une demande de droit concernant un collègue, par exemple
  5. Traiter la demande et répondre à la personne concernée dans un délai de 1 mois (ou 3 mois en cas de demande complexe) en joignant les élément requis le cas échéant.
  6. Consigner le traitement de la demande avec la réponse, et autres preuves le cas échéant, dans le registre des demandes d’exercice de droit. Ce registre peut prendre la forme d’un tableur Excel, notamment.