22 Déc 2020 RGPD : Comment répondre à une demande d’exercice de droit
Le RGPD (Règlement général européen sur la protection des données personnelles) est applicable depuis le 25 mai 2018.
Depuis son entrée en vigueur, toute personne physique dont les données font l’objet d’un traitement de données personnelles par un organisme (entreprise, association, administration…), peut exercer six droits directement auprès de celui-ci : le droit d’accès, le droit de rectification, le droit à l’effacement (« droit à l’oubli »), le droit à la limitation du traitement, le droit à la portabilité des données et le droit d’opposition.
Que faire lorsque vous recevez ce type de demande ?
- Vous devez répondre à la personne souhaitant exercer son droit, afin d’accuser réception de sa demande, de faciliter vos échanges et de montrer votre bonne foi.
- Vous devez répondre à cette demande sous un mois. Si la demande concerne des données de santé, le délai est réduit à huit jour.
Nous vous conseillons de mettre en place des procédures internes pour faciliter les demandes et les faire parvenir rapidement jusqu’à l’interlocuteur dédié dans l’organisme.
Dans le délai d’un mois, vous devez préparer la réponse à la demande d’exercice du droit, ce qui soulève plusieurs questions : sous quel format répondre ? comment sécuriser la transmission d’informations ? que faire en cas de fichiers trop volumineux ?
Deux solutions sont possibles : l’envoi électronique et l’envoi postal.
Nous vous conseillons de demander directement à la personne concernée le format à privilégier.
L’envoi par courrier postal devra se faire par courrier recommandé avec avis de réception pour sécuriser l’envoi.
Si les fichiers transmis sont trop volumineux, l’envoi d’une clé USB est possible, sous réserve que cet envoi soit sécurisé, là aussi, par un courrier recommandé avec avis de réception.
Enfin, le délai d’un mois pour répondre aux demandes peut être rallongé de deux mois dans le cas où celles-ci sont complexes et trop nombreuses.
Là encore faites le savoir au demandeur.
En effet, dans le cas où le demandeur n’obtient pas de réponse dans le délai d’un mois, il est libre de saisir la CNIL et de déposer plainte.
Dans le cas où cette plainte aboutirait à une sanction, celle-ci peut s’élever jusqu’à 20 000 000 euros, ou jusqu’à 4% du chiffre d’affaire annuel mondial total de l’exercice précédent (article 83 du RGPD).
Vous pouvez également refuser de faire droit à une demande : si celle-ci est excessive, ou infondée (c’est le cas quand l’organisme ne détient plus aucune donnée sur la personne par exemple).
En synthèse : il est important de bien communiquer avec le demandeur, afin de faciliter la relation tout au long de la demande d’exercice du droit.
En cas de doute, appelez-nous le plus tôt possible, notamment lorsque le délai de réponse est de huit jours.