Le Legal Spot
Lorsque votre entreprise traite des données personnelles, les personnes concernées (clients, prospects, salariés, etc.) peuvent exercer les droits dont ils disposent au titre du RGPD : demande de droit d’accès, d’effacement, de rectification, d’opposition ou encore de portabilité. Ces demandes d’exercice de droits sont désormais fréquentes en pratique.
Répondre à ces demandes implique de respecter les délais et les obligations prévues par le RGPD en la matière, sans quoi votre entreprise est susceptible de faire l’objet d’une plainte devant la CNIL, qui pourra le cas échéant déboucher sur une mise en demeure voire une sanction. La CNIL indique à ce titre traiter chaque année de nombreuses plaintes en lien avec les réponses (ou l’absence de réponse) aux demandes d’exercice de droits.
Retour en pratique sur les demandes qui peuvent être adressées à votre entreprise et sur les modalités de réponse à celles-ci.
De manière générale, les personnes concernées par un traitement de données personnelles disposent de plusieurs droits sur celles-ci. Il ne s’agit cependant pas de droits absolus : dans certains cas, certains de ces droits ne seront pas applicables, et la réponse pourra parfois être négative.
En particulier, les droits des personnes concernées pourront varier en fonction de la base légale retenue pour les traitements de données mis en place par votre entreprise :
Voici les principaux droits qui pourront ainsi être exercés par vos clients, prospects ou salariés :
Les personnes exerçant leur droit d’accès pourront obtenir la confirmation que leurs données font ou non l’objet d’un traitement par votre entreprise. Elles pourront surtout obtenir une copie de ces données, ainsi que des informations sur les caractéristiques des traitements mis en œuvre (finalités, durées de conservation, identité des destinataires des données, etc.).
La communication de la copie des données ne devra pas porter atteinte aux droits des tiers (secret des affaires, propriété intellectuelle, secret des correspondances, etc.), ce qui explique certaines restrictions, notamment lorsque le droit d’accès est mis en œuvre par des anciens salariés.
Il faudra donc veiller à ne communiquer à la personne concernée que les données la concernant, collectées directement auprès d’elle ou auprès d’un tiers (par l’intermédiaire d’un partenaire de votre entreprise par exemple).
Le droit de rectification permet aux personnes concernées de corriger des données inexactes ou de compléter des données incomplètes.
Ce droit permet à la personne concernée de demander à votre entreprise d’effacer les données la concernant dans certains cas précis, notamment lorsque les données ne sont plus nécessaires à l’objectif poursuivi, lorsque leur traitement est illicite, lorsque leur effacement est une obligation légale, en cas de retrait du consentement ou d’opposition au traitement, ou encore lorsque les données sont traitées à des fins de prospection.
Cela étant, la réponse apportée à une demande d’effacement pourra parfois être négative, notamment si l’effacement des données concernées va à l’encontre de la liberté d’expression, empêche le respect d’une obligation légale, ou encore lorsque les données sont nécessaires à l’exercice ou à la défense de droits en justice (d’autres exceptions étant prévues, en lien avec la recherche ou la santé).
Lorsque le traitement est fondé sur l’intérêt légitime de votre entreprise, la personne concernée peut s’opposer à celui-ci pour des raisons tenant à sa situation particulière.
Dans ce cas, il convient de cesser de traiter les données de la personne concernée, sauf s'il existe des motifs légitimes et impérieux justifiant un refus ou que les données sont nécessaires à l’exercice ou à la défense de droits en justice. La suppression des données n’est pas systématique en cas d’opposition.
La personne concernée vous demandera ici de geler temporairement le traitement de ses données, notamment dans l’attente d’une rectification.
Lorsque les traitements de données mis en œuvre par votre entreprise reposent sur le consentement ou l'exécution d’un contrat, la personne concernée pourra vous demander de récupérer ses données dans un format réutilisable ou de les transférer vers un autre organisme, à condition toutefois que le traitement soit automatisé.
Lorsque les traitements de données mis en œuvre par votre entreprise reposent sur le consentement de la personne concernée, celle-ci pourra le retirer à tout moment. Il faudra alors cesser de traiter ces données.
Les personnes concernées peuvent définir des directives relatives à la conservation, à l’effacement ou à la communication de leurs données après leur décès.
En pratique, les demandes les plus fréquentes concernent les droits d’accès, à l’effacement et à l’opposition.
Toute personne concernée par un traitement de données mis en œuvre par votre entreprise pourra vous adresser une demande. Il peut donc s’agir aussi bien de vos clients, des utilisateurs de votre solution ou de votre plateforme par exemple, mais aussi de vos salariés ou anciens salariés, voire de vos prospects, ou même de certains de vos partenaires lorsqu’il s’agit de personnes physiques.
La demande peut être formulée par email, via un formulaire de contact, ou encore par voie postale. Vous ne pouvez pas imposer de canal spécifique, mais vous devez informer les personnes concernées des modalités d’exercice de leurs droits, notamment par le biais de votre politique de confidentialité ou des mentions d’information intégrées sur votre site internet, sur vos documents commerciaux ou à destination de vos salariés (notice de protection des données, etc.).
Avant toute chose, il faut vous assurer que la demande provient bien de la personne concernée, la justification de son identité pouvant intervenir par tout moyen. Il ne s’agit donc pas de demander un justificatif d’identité officiel de manière systématique : un tel justificatif ne peut être demandé qu’en cas de doute raisonnable sur l’identité de la personne.
L’étendue de la vérification dépendra notamment de la nature de la demande (accès, etc.), du contexte (en cas de litige par exemple) ou de la sensibilité des données concernées.
La demande ne pourra pas concerner les données d’un tiers : les personnes concernées ne peuvent en principe avoir accès qu’aux seules données les concernant, et non pas aux données de tiers (données d’un collègue ou d’un proche par exemple).
Il est impératif de répondre dans les délais prévus par le RGPD, qui sont relativement restreints : vous avez en effet un mois à compter de la réception de la demande pour apporter une réponse.
Ce délai peut être prolongé de deux mois supplémentaires lorsque la demande est complexe, mais il faudra alors en informer la personne concernée dans le délai d’un mois à compter de la réception de sa demande, et lui indiquer les motifs du report.
Ne pas répondre à la demande dans ces délais peut entraîner une sanction de la part de la CNIL.
L’objet de votre réponse à la demande de la personne concernée dépendra évidemment de la nature de celle-ci : droit d’accès, effacement, opposition, etc.
Cela étant, de manière générale, votre réponse devra être présentée par écrit (par voie électronique si la demande a été formulée ainsi, sauf si la personne a fait une demande contraire), et devra être claire et compréhensible. Les informations transmises, notamment dans le cadre du droit d'accès, doivent l’être de manière sécurisée.
Dans certains cas, vous pourrez demander à la personne concernée de préciser sa demande, notamment si une demande de droit d’accès porte sur une grande quantité de données.
Si vous refusez de donner suite à une demande (demande infondée ou application d’une exception), vous devez :
Lorsque vous avez recours à des sous-traitants pour réaliser des traitements de données, ces derniers sont tenus de vous aider à respecter vos obligations quant aux droits des personnes concernées.
Par exemple, vous pourrez demander à votre sous-traitant de vous assister afin de transmettre des données sous un format accessible pour répondre à une demande de droit d’accès.
Lorsque vous n’avez pas directement accès aux données concernées, vous pourrez également demander à votre sous-traitant de vous les fournir.
Il faudra enfin parfois relayer certaines demandes auprès de vos sous-traitants, notamment en cas d’effacement de données ou de limitation d’un traitement.
Il est parfois possible de ne pas donner suite à une demande, en tout ou partie. Ce refus devra cependant être justifié et motivé auprès de la personne concernée.
Un refus peut notamment intervenir dans les cas suivants :
La CNIL est notamment amenée à sanctionner des entreprises en cas d’absence de réponse, ou de réponse tardive. Il est donc essentiel de bien identifier les demandes et d’y répondre dans les meilleurs délais.
Pour cela, vous pouvez désigner une personne chargée du traitement des demandes (en particulier le DPO si votre entreprise en a désigné un). La formation de vos équipes à la détection et au traitement des demandes est aussi un point important (service RH, service client, etc.).
Vous pouvez également assurer la traçabilité des demandes reçues (date, nature de la demande, etc.) et mettre en place des procédures internes détaillées, en prévoyant éventuellement des modèles de réponse à compléter.
Répondre efficacement aux demandes d’exercice de droit, en conformité avec le RGPD
La réponse aux demandes d’exercice de droits par les personnes concernées est une obligation pour votre entreprise, qui implique notamment de mettre en place des procédures claires et de respecter des délais restreints. Certaines demandes peuvent également être adressées dans un contexte de tension (litige client ou litige avec un ancien salarié par exemple), ce qui implique de répondre avec soin aux demandes, pour éviter d’éventuels griefs.
Legal Spot Avocats vous accompagne dans la mise en conformité RGPD de votre entreprise. Contactez-nous.
