L’un des objectifs phares du Règlement Européen sur la protection des données (RGPD) consiste à s’assurer que les personnes conservent toujours une maîtrise parfaite de leurs données personnelles. Pour cela, le RGPD consacre un chapitre entier aux droits des personnes.
Il faut garder à l’esprit que les personnes concernées restent propriétaires de leurs données personnelles. A certaines conditions, il est possible de les collecter et d’en faire usage. Cependant, les personnes ne cèdent aucunement leurs droits sur ces informations personnelles.
A ce titre, elles doivent pouvoir demander, à tout instant, à faire valoir leurs droits sur ces données, comme :
- y accéder : droit d’accès article 15 RGPD),
- les modifier : droit rectification (article 16 RGPD),
- les effacer : droit à l’effacement article 17 RGPD),
- ou encore s’opposer à leur traitement : droit d’opposition au traitement (article 21 RGPD).
Les droits de la personne concernée sont listés au chapitre 3, dans les articles 15 à 22.
De plus, le RGPD encadre l’exercice des droits afin de garantir aux personnes que leurs demandes seront bien traitées. Nous verrons dans cet article :
- Les conditions d’exercice des droits RGPD;
- Les personnes concernées par l’exercice des droits ;
- Les bonnes pratiques pour faciliter les demandes d’exercices de droit;
- Les sanctions en cas de non-respect.
1- Les conditions de l’exercice des droits RGPD
L’article 12 du RGPD édicte les règles en ce qui concerne l’exercice des droits : responsabilité du traitement de la demande, possibilité de refuser une demande d’exercice des droits, délais de traitement des demandes etc.
Principes de l’exercice des droits
La réponse à une demande d’exercice de droits consiste à :
- Prendre des mesures appropriées pour fournir les informations demandées (article 13 et article 14 RGPD);
- Procéder à des communications et prendre toute mesure au titre :
- des articles 15 à 22 (relatifs aux droits RGPD) ;
- et de l'article 34 (relatif à la violation des données personnelles).
La réponse doit être :
- Concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples;
- Transmise par écrit ou par d'autres moyens y compris par voie électronique : il est possible de répondre oralement si la personne en fait la demande, à condition qu’il soit possible de prouver l'identité de la personne concernée.
Peut-on refuser une demande d’exercice des droits ?
En principe, le responsable du traitement doit faciliter l'exercice des droits conférés à la personne concernée. Il ne peut pas refuser de donner suite à la demande de la personne concernée d'exercer ses droits.
Par exception, le responsable de traitement peut refuser d’accéder à une demande d’exercice des droits s’il démontre qu'il n'est pas en mesure d'identifier la personne concernée. Cela permet d’éviter à un tiers d’accéder à des informations personnelles qui ne seraient pas les siennes.
👉 Si le responsable de traitement refuse d’accéder à la demande, celui-ci doit :
- En informer la personne concernée au plus tôt et dans un délai de 30 jours maximum suivant la demande ;
- Lui indiquer les motifs du refus ;
- L’informer de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
⚠️ Attention, le responsable de traitement doit refuser une demande d’effacement des données lorsque celle-ci n’est pas légitime. C’est notamment le cas lorsque les données sont nécessaires à l’exécution d’un contrat.Par exemple, si un client demande une suppression de ses données alors que le contrat commercial est toujours en cours, l’exercice des droits ne peut pas être détourné afin de se soustraire d’une relation contractuelle. Il en vas de même pour un collaborateur encore sous contrat.
La demande doit donc être analysée au cas par cas.
Quel délai de réponse à une demande d’exercice des droits ?
En principe, le responsable du traitement doit informer la personne concernée des mesures prises à la suite de sa demande dans un délai d'un mois à compter de la réception de la demande.
💡 Si la personne a formulé sa demande par voie électronique (mail, via un site web etc), vous devez lui fournir les informations de la même manière sauf si la personne fait le choix de recevoir la réponse sous une autre forme (courrier, téléphone etc).
Par exception : ce délai peut être prolongé de deux mois (soit un délai total de 3 mois), compte tenu de la complexité et/ou du nombre de demandes.
👉 Dans ce cas, le responsable de traitement doit informer la personne concernée dans un délai d'un mois à compter de la réception de la demande :
- qu’une prolongation de délai sera nécessaire pour accéder à la demande;
- des raisons pour lesquelles le responsable de traitement a besoin de plus de temps pour accéder à la demande.
Exercice des droits : peut-on faire payer la procédure ?
En principe, le responsable de traitement ne peut demander aucun paiement pour accéder à une demande d’exercice des droits de la part de la personne concernée.
Par exception si la demande est excessive ou infondée, le responsable de traitement peut :
- Réclamer le paiement de frais raisonnables compte tenu des coûts administratifs supportés par l’organisme pour répondre à la demande (fournir les informations demandées, procéder aux communications ou prendre les mesures demandées);
- ou même refuser de donner suite à ces demandes.
⚠️ Le caractère excessif ou infondé de la demande doit être démontré par le responsable de traitement. L’article 12 du RGPD indique seulement que la demande pourrait être considérée comme excessive et infondée en raison de son caractère répétitif.
2- Qui est concerné par l’exercice des droits RGPD ?
Les “personnes concernées” citées par l‘article 12 du RGPD sont toutes les personnes physiques qui voient leurs données personnelles collectées et traitées. Or, l’article 4 du RGPD donne une définition large de la donnée à caractère personnel puisqu’il s’agit de toutes les données relatives à une personne physique identifiée ou identifiable.
Les organismes concernés par l’obligation de répondre aux demandes d’exercice des droits sont :
- Critère d’établissement : toutes les entités (entreprises privées et acteurs publics) établies en Union Européenne, traitant des données personnelles, peu important le lieu de traitement des données des personnes ;
- Critère de ciblage : toutes les entités établies en dehors de l’Union Européenne traitant les données personnelles de citoyens de l’UE.
Ainsi, tous les organismes, dès lors qu’ils traitent de données à caractère personnel, ont l’obligation de faciliter l’exercice des droits des personnes.
3 - Répondre aux demandes d’exercice des droits : les bonnes pratiques
Comment donner la possibilité aux personnes concernées d’exercer leurs droits ? Concrètement, pour répondre à ses obligations, le responsable de traitement doit :
Informer les personnes sur leurs droits
Les personnes concernées doivent recevoir une information concernant l’existence de leurs droits au moment où les données sont collectées. Il s’agit généralement de transmettre la liste des droits (article 15 à 22 du RGPD). Ces informations sont transmises à la personne concernée en même temps que les autres informations listées à l’article 13.
🔎 Par exemple : si vous transmettez une enquête de satisfaction par mail, l’information relative à l’exercice des droits est généralement précisée directement sur le questionnaire (au début ou à la fin), ou bien dans le corps du mail d’envoi du questionnaire.
Indiquer la procédure d’exercice de droit
De même que les personnes doivent être informées de leurs droits, il s’agit de les informer sur la manière de les exercer. Cette information doit être bien visible. De plus, les modalités pratiques pour transmettre une demande doivent être simples et facilement activables.
Différentes modalités de contact sont envisageables.
🔎 Par exemple :
- Une adresse mail spécifique pour recueillir les demandes d’exercice des droits ;
- Un numéro de téléphone dédié ;
- Un formulaire en ligne ;
- Un portail dédié sur un site web ou une application ;
L’information concernant la procédure d’exercice des droits peut être indiquée avec les autres informations obligatoires, du moment que celle-ci est bien visible. La personne ne doit pas rencontrer de difficulté pour trouver où et comment faire sa demande.
Mettre en place une procédure de traitement des demandes
De plus, le responsable de traitement doit mettre en place un processus interne permettant de traiter rapidement les demandes des personnes concernées.
Pour traiter les demandes dans le délai légal, assurez-vous que les moyens indiqués pour faire la demande sont bien actifs :
- Boite mail vérifiée régulièrement,
- Numéro de téléphone actif,
- Ressources allouées à la prise en charge des demandes etc.
Le responsable de traitement prévoit des procédures pour remonter les demandes d’exercice des droits aux bons interlocuteurs. Il s’assure que les demandes ne restent pas lettre morte et que les réponses soient transmises dans les temps.
Prévoir les modalités de réponse
L’article 12 du RGPD exige que la réponse à une demande de droits soit :
- concise,
- transparente,
- compréhensible,
- aisément accessible, en des termes clairs et simples.
La réponse à une demande d’exercice des droits doit être faite par écrit y compris par voie électronique. Une réponse orale n’est possible que si :
- la personne concernée en a fait la demande;
- l'identité de la personne concernée peut-être prouvée par d'autres moyens.
👉 Le responsable de traitement veille à ce que la demande soit exécutée lorsque c’est possible. Ensuite, il s’assure qu’une réponse transparente et compréhensible soit faite à la personne pour l’informer des mesures prises. Le tout dans le délai d’un mois imparti.
⚠️Si vous avez des doutes sur l'identité de la personne à l’origine de la demande d’exercice des droits, vous pouvez demander des informations supplémentaires pour confirmer l'identité de la personne concernée. Aucun doute raisonnable ne doit subsister avant d’accéder à la demande. Dans le cas contraire, cela pourrait constituer une violation des données personnelles.
4 - Non respect de l’exercice des droits : les sanctions
Un manquement aux obligations relatives de l’exercice des droits peut-être caractérisé par :
- Un refus sans fondement d’une demande d’exercice de droit;
- Un refus d’une demande d’exercice de droit sans information de la personne concernée et/ou sans lui indiquer les motifs;
- L’absence de réponse à une demande d'exercice de droit dans les délais impartis,
- Le non-respect de l’obligation d’information des personnes concernées;
- Etc …
Dans le cas du non-respect de ces obligations, les personnes concernées sont fondées à introduire une réclamation auprès de la CNIL et à former un recours juridictionnel.
Ainsi, l’organisme s’expose :
- à un contrôle de la CNIL;
- ainsi qu’à une sanction.
Le montant des sanctions financières peut s'élever jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.
💡 Les demandes d’exercice de droits arrivent de partout ? Par mail ? Via un formulaire sur votre site ? Par téléphone ? Ne vous perdez plus dans vos demandes d’exercice de droits ! Centralisez vos demandes pour les traiter facilement.
Avec le logiciel RGPD Leto, vous pouvez mettre en place un portail dédié à l’exercice des droits RGPD : pratique, ludique et efficace !
Quelques ressources pour aller plus loin :