Le dossier d'accountability

Q: Un responsable de traitement peut-il refuser une demande d’accès ou d’effacement ?

Oui, dans certains cas précis, par exemple si : - La demande est manifestement infondée ou excessive. - Les données doivent être conservées pour respecter une obligation légale. - Les données sont nécessaires à l’exercice ou à la défense de droits en justice. - Dans ce cas, le refus doit être justifié et notifié à la personne concernée.

Q: Quelles sont les obligations d’une entreprise lorsqu’elle reçoit une demande d’exercice de droits ?

- Vérifier l’identité du demandeur (pour éviter toute divulgation non autorisée). - Répondre dans les délais prévus par le RGPD. - Conserver une trace de la demande et de la réponse (accountability). - Adapter, supprimer ou transférer les données selon la demande et le droit exercé.

Comprendre les droits garantis par le RGPD

Le RGPD accorde aux personnes concernées un ensemble de droits fondamentaux leur permettant de garder la maîtrise sur leurs données personnelles. Toute organisation qui collecte ou traite des données à caractère personnel est tenue d’en garantir l’exercice effectif et sans entrave.

Ces droits sont essentiels pour instaurer une relation de confiance entre une organisation et ses parties prenantes (clients, usagers, salariés, partenaires, etc.).

Quels sont les droits reconnus par le RGPD ?

Chaque personne dispose des droits suivants vis-à-vis de ses données personnelles :

Le droit à l’information (articles 13 et 14 RGPD)

Les personnes doivent être informées de manière claire, complète et accessible sur la manière dont leurs données sont collectées et utilisées.

Cela inclut notamment :

Les finalités du traitement

Les bases légales

Les catégories de données traitées

La durée de conservation

Les destinataires éventuels

L’existence de transferts de données hors UE, le cas échéant

Les droits dont elles disposent

Le droit d’accès (article 15 RGPD)

Toute personne peut obtenir une copie des données la concernant, ainsi que des informations sur leur origine, leur usage et leur destinataire.

Le droit de rectification (article 16 RGPD)

Permet à la personne concernée de faire corriger des données inexactes ou incomplètes.

Le droit à l’effacement ou « droit à l’oubli » (article 17 RGPD)

Dans certains cas, les personnes concernées peuvent demander la suppression de leurs données, notamment :

Lorsque les données ne sont plus nécessaires aux finalités poursuivies

En cas de retrait du consentement

En cas de traitement illicite

Le droit à la limitation du traitement (article 18 RGPD)

L’utilisation des données (en tout ou partie) peut être suspendue temporairement, notamment en cas de contestation sur l’exactitude des données ou en attendant qu’une décision soit prise concernant une demande d’opposition.

Le droit à la portabilité (article 20 RGPD)

Les personnes peuvent demander à recevoir leurs données dans un format structuré et couramment utilisé, ou à ce qu’elles soient directement transmises à un autre responsable de traitement.

Le droit d’opposition (article 21 RGPD)

Une personne peut s’opposer à tout moment au traitement de ses données pour des raisons tenant à sa situation particulière. Ce droit est particulièrement effectif pour ce qui concerne la prospection commerciale.

Le droit de ne pas faire l’objet d’une décision automatisée (article 22 RGPD)

Ce droit s’applique aux décisions fondées exclusivement sur un traitement automatisé (sans aucune intervention humaine), y compris le profilage, produisant des effets juridiques ou significatifs.

Comment assurer l’effectivité des droits ?

Pour garantir ces droits, le responsable du traitement doit :

Être en mesure de recevoir les demandes (quel qu’en soit le canal d’introduction)

Mettre en place des procédures et processus internes pour la gestion et de traitement des demandes

Tenir un registre des demandes (obligation d’accountability)

Répondre dans un délai d’un mois (prolongeable jusqu’à deux mois)

Justifier tout refus et informer les personnes concernées des recours possibles

Sécuriser les communications avec la personne concernée

Pourquoi la bonne gestion de ces droits est stratégique ?

La bonne gestion de ces droits se traduit par des bénéfices concrets pour votre organisation, par exemple :

Renforcer la confiance des utilisateurs, clients et partenaires

Réduire les risques de friction, de litige ou de sanction

Améliorer la transparence et la gouvernance des données

Déployer un socle fondamental de gouvernance et de conformité

PRIVALORA vous accompagne dans la gestion des droits des personnes concernées

Formaliser vos réponses aux demandes

Structurer des processus complets et efficaces

Mettre en place des procédures efficaces

Tenir à jour le registre des demandes

Former vos équipes à la gestion des droits

Questions fréquentes – Les obligations RGPD

Quels sont les droits prévus par le RGPD pour les personnes concernées ?

Le RGPD accorde huit droits principaux : accès, rectification, effacement (« droit à l’oubli »), limitation du traitement, opposition, portabilité, droit lié à la prise de décision automatisée et droit d’être informé.

Chaque droit répond à des finalités précises et s’exerce selon des conditions encadrées par le règlement.

Comment les personnes concernées peuvent-elles exercer leurs droits ?

Une personne peut exercer ses droits par email, courrier, formulaire en ligne ou en main propre. L’organisation doit traiter toutes les demandes, quel que soit le canal par lequel elles ont été introduites, dans un délai maximum d’un mois (prolongeable de deux mois si la demande est complexe) et fournir une réponse claire, même en cas de refus motivé.

Un responsable de traitement peut-il refuser une demande d’accès ou d’effacement ?

Oui, dans certains cas précis, par exemple si :

La demande est manifestement infondée ou excessive.

Les données doivent être conservées pour respecter une obligation légale.

Les données sont nécessaires à l’exercice ou à la défense de droits en justice.
Dans ce cas, le refus doit être justifié et notifié à la personne concernée.

Le RGPD s’applique-t-il aux données professionnelles comme l’email de travail ?

Oui, dès lors qu’il s’agit de données identifiant une personne physique (par exemple : prenom.nom@entreprise.fr). Les droits RGPD s’appliquent même si les données sont utilisées dans un contexte professionnel.

Quelles sont les obligations d’une entreprise lorsqu’elle reçoit une demande d’exercice de droits ?

Vérifier l’identité du demandeur (pour éviter toute divulgation non autorisée).

Répondre dans les délais prévus par le RGPD.

Conserver une trace de la demande et de la réponse (accountability).

Adapter, supprimer ou transférer les données selon la demande et le droit exercé.

Quels sont les délais légaux pour répondre à une demande RGPD ?

Le délai est d’un mois maximum à compter de la réception de la demande. Il peut être prolongé à trois mois si la demande est complexe ou si l’organisation reçoit un grand nombre de demandes simultanément.

L’exercice des droits RGPD est-il toujours gratuit ?

Oui, en principe. Une organisation ne peut demander de frais que si la demande est manifestement infondée, répétitive ou excessive, et elle doit alors justifier cette décision.

Qu’est-ce que le droit à la portabilité des données ?

Ce droit permet à la personne concernée de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine, afin de les transférer à un autre responsable de traitement.

Il ne s’applique qu’aux données fournies directement par la personne et traitées sur la base de son consentement ou d’un contrat.

Comment gérer les droits des personnes dans un contexte de données partagées avec des sous-traitants ?

Le responsable de traitement reste l’interlocuteur principal. Il doit transmettre la demande au sous-traitant si nécessaire et s’assurer de la bonne exécution du droit, conformément aux clauses contractuelles RGPD.

Quelles sanctions en cas de non-respect des droits des personnes concernées ?

Le non-respect de ces droits peut entraîner des sanctions financières allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, ainsi qu’un risque de perte de confiance et de réputation.