Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et a complètement remanié la manière dont les entreprises traitent et manipulent les données. Les organisations ont dû s’adapter rapidement pour s’assurer qu’elles sont conformes à la nouvelle législation et qu’elles ne sont pas passibles des amendes importantes qui ont fait la une des journaux ces derniers mois.

Ce que de nombreuses organisations n’avaient pas vraiment anticipé, c’est l’afflux de personnes exerçant leurs droits en vertu de la nouvelle législation en soumettant des demandes d’accès en tant que sujet. Le GDPR a renforcé les droits existants des individus et leur a permis de savoir comment leurs données personnelles sont utilisées.  

Une demande d’accès du sujet (SAR) est un droit d’accès permettant à une personne de demander quelles informations une organisation détient à son sujet, pourquoi elle détient ces informations et avec qui elles sont partagées. Depuis la mise en œuvre du GDPR, le L‘ICO a constaté une « augmentation sans précédent de la demande » de déclarations de soupçon. Cette situation a mis à rude épreuve les services publics et les organisations qui sont tenus de répondre dans les délais impartis.

L’augmentation spectaculaire du nombre de déclarations de soupçon serait due à la multiplication des violations de données et à la méfiance générale du public à l’égard de l’utilisation de leurs données par les organisations.

Une partie importante de la mise en conformité avec le GDPR est de comprendre comment traiter efficacement un SAR. Si vous ne respectez pas le délai ou ne fournissez pas aux individus toutes les informations dont ils ont besoin, votre organisation s’exposera à des mesures réglementaires et à de lourdes amendes.

Comment traiter les demandes d’accès au sujet

1. Reconnaître la demande d’accès du sujet

Le GDPR n’énonce pas de termes spécifiques sur la manière dont une personne peut faire une demande d’information valide, qui peut donc être faite verbalement, par écrit ou même sur les médias sociaux. La demande n’a même pas besoin d’inclure l’expression « demande d’accès du sujet », tant que l’individu indique clairement qu’il demande ses informations personnelles. Les organisations doivent s’assurer qu’un personnel spécifique est formé à l’identification d’une demande d’accès et que les protocoles adéquats sont en place pour enregistrer les demandes.

2. Connaître vos obligations

Une personne n’a droit qu’à ses propres données personnelles, et non aux informations relatives à d’autres personnes. Vous devez donc déterminer si les informations demandées entrent dans la définition des données à caractère personnel.

L’UE définit les « données à caractère personnel » comme toute information pouvant être utilisée pour identifier directement ou indirectement une personne (personne concernée). Il peut s’agir d’un nom, d’une adresse électronique, d’une adresse IP ou d’une image. Cela inclut également les données personnelles sensibles telles que les données biométriques ou génétiques qui pourraient être traitées pour identifier une personne.

À moins que la personne n’ait précisé les informations exactes dont elle a besoin, vous devrez rechercher toutes les informations disponibles qui la concernent. Outre une copie de leurs données à caractère personnel, vous devez également fournir aux personnes les informations suivantes :

  • La finalité de votre traitement
  • Les types de données personnelles concernées
  • Informations sur la source des données
  • Avec qui les données ont été partagées
  • Durée de conservation des données
  • l’existence de leur droit de demander la rectification, l’effacement ou la limitation ou de s’opposer à un tel traitement
  • leur droit de déposer une plainte auprès de l’ICO ou d’une autre autorité de contrôle
  • L’existence d’une prise de décision automatisée, y compris le profilage
  • Les garanties que vous offrez si vous transférez des données à caractère personnel vers un pays situé en dehors de l’UE ou vers une organisation internationale.

3. Vérifier l’identité de la personne

Avant de répondre à une demande de renseignements, vous devez vous assurer que la personne qui demande ses données personnelles est bien celle qu’elle prétend être. Pour vérifier son identité, vous pouvez lui demander une pièce d’identité avec photo ou une facture d’électricité. Si la personne qui fait la demande est un employé de votre organisation, vous n’aurez besoin d’aucune autre preuve d’identité.

Une déclaration de soupçon peut également être faite par l’intermédiaire d’un tiers, tel qu’un avocat ou un membre de la famille proche. Dans ce cas, vous devrez obtenir la confirmation que le tiers a été chargé d’agir au nom de la personne concernée.

4. Répondre dans le délai imparti

En vertu du GDPR, les organisations sont tenues de répondre « sans retard injustifié » et dans un délai d’un mois à compter de la réception de la demande. Si l’identité de la personne doit être confirmée, le délai de réponse commence à courir à partir du moment où elle fournit les informations requises.

Si la demande est complexe ou si vous avez reçu plusieurs demandes de la même personne, le délai de réponse peut être prolongé de deux mois supplémentaires. Dans ce cas, vous devez informer la personne concernée de la raison pour laquelle la prolongation est nécessaire.

5. Dérogations aux demandes d’accès au sujet

Vous ne devez pas divulguer les données à caractère personnel d’une personne si cela risque de porter atteinte aux droits d’autres personnes. Les exceptions à cette règle sont les suivantes : lorsque l’autre personne a donné son consentement à la divulgation, ou s’il est raisonnable de répondre à la demande sans le consentement de la personne concernée.

Le GDPR et le Data Protection Act 2018 prévoient également des exemptions qui s’appliquent dans certaines circonstances. Par exemple, lorsque la divulgation porterait préjudice à des fonctions réglementaires définies ou pour des communications soumises au secret professionnel.

6. Redevances et demandes excessives

En vertu de l’ancienne législation, les organisations pouvaient facturer jusqu’à 10 livres sterling pour la réalisation d’une DAS, mais le GDPR a depuis supprimé cet obstacle et les informations doivent désormais être fournies gratuitement. Toutefois, l’ICO a déclaré que si vous recevez une demande d’accès par un sujet qui est « manifestement infondée ou excessive », vous pouvez facturer des frais raisonnables pour couvrir les coûts administratifs.

7. Divulguer les informations en toute sécurité

Si une personne fait une demande par voie électronique, vous devez répondre en fournissant les informations dans un format électronique, sauf indication contraire de la personne. Les informations doivent être divulguées de la manière la plus sûre possible.

8. Conservez une trace de la demande d’accès du sujet

Vous devez conserver une piste d’audit claire de la SAR au cas où une plainte serait déposée auprès de l’ICO à une date ultérieure. Cette piste doit comprendre les informations recueillies, le processus d’examen, les décisions clés prises, l’application éventuelle d’exemptions, la réponse fournie, ainsi que la correspondance échangée avec la personne concernée ou des tiers.

MetaPrivacy a été conçu pour fournir une approche des meilleures pratiques en matière de respect de la confidentialité des données. Contactez-nous pour plus d’informations sur la manière dont nous pouvons aider votre organisation à améliorer sa structure de conformité.

CLAUSE DE NON-RESPONSABILITÉ : Le contenu et les opinions de ce blog sont donnés à titre d’information uniquement. Ils n’ont pas vocation à constituer un avis juridique ou professionnel et ne doivent pas être considérés comme un substitut à un avis spécifique relatif à des circonstances particulières, à la loi sur la protection des données ou à toute autre législation actuelle ou future. MetaCompliance décline toute responsabilité en cas d’erreurs, d’omissions ou de déclarations trompeuses, ainsi que pour toute perte pouvant résulter de la confiance accordée aux informations contenues dans ce blog.