Le RGPD est-il un cauchemar pour votre organisation?

Toute personne est en droit de demander à une organisation (entreprise commerciale, organisme public ou même club sportif) si celle-ci dispose de données la concernant. ©Antonin Weber / Hanslucas

Certes, le titre est volontairement provocateur mais, pour certains aspects, cela pourrait bien devenir une réalité si on ne s’y prépare pas en temps et en heure. Jugez plutôt.

Xavier Darmstaedter et Nicolas Roland
Respectivement partner GeDaPRe et partner Younity

Un des objectifs du Réglement général européen pour la protection des données (RGPD) est en effet de (re)donner aux personnes physiques concernées la maîtrise de leurs données à caractère personnel. Pour ce faire, le RGPD expose clairement les conditions en vertu desquelles le traitement de ces données peut avoir lieu. Il consacre également un certain nombre de (nouveaux) droits qu’ont ces personnes sur leurs données, à l’instar du droit d’accès.

Ainsi, toute personne est, en général, en droit de demander à une organisation (entreprise commerciale, organisme public ou même club sportif) si celle-ci dispose de données la concernant, et, dans l’affirmative, de lui donner accès à ces données, voire une copie de celles-ci, complétée par une série d’informations complémentaires.

Si une personne introduit sa demande sous format électronique, la réponse doit lui parvenir de la même manière... sauf si la personne concernée a demandé qu'il en soit autrement. Dans cette hypothèse, le travail et le coût que peuvent représenter l’impression et l’envoi de ces données par la poste peuvent vite devenir problématiques.
Xavier Darmstaedter et Nicolas Roland

Le délai pour y répondre est d’un mois à compter de la réception de cette demande. Toutefois, lorsque les demandes sont nombreuses et complexes, ce délai peut être prolongé de deux mois, mais il faudra alors (dans ce même délai initial d’un mois) informer la personne concernée que le délai sera prolongé, ou que l’organisation n’y donnera pas suite. Dans ce cas, il faudra aussi en indiquer les motifs et informer de la possibilité d'introduire une réclamation auprès de la Commission de la protection de la vie privée (CPVP).

Mais ce n’est pas tout! Si cette personne introduit sa demande sous format électronique, la réponse doit lui parvenir de la même manière... sauf si la personne concernée a demandé qu'il en soit autrement. Dans cette hypothèse, le travail et le coût que peuvent représenter l’impression et l’envoi de ces données par la poste peuvent vite devenir problématiques et faire exploser votre budget postal!

Pour autant, il n’est pas question de paniquer mais plutôt de (bien) s’y préparer.

80%
des demandes
Une étude récente indique qu’environ 80% des demandes proviendront de personnes dont vous ne traitez pas les données.

Oui, mais comment faire ? Tout d’abord, on attribuera par exemple une adresse mail générique au traitement de ces demandes, et on y attachera un suivi par "workflow". On veillera à ce que les personnes traitant ces demandes soient averties des enjeux. De plus, on réfléchira aux différentes étapes à mettre en place pour répondre à l’exercice de ces droits dans les délais impartis.

Pour ce faire, il faudra d’abord vérifier si votre organisation possède effectivement des données sur ces personnes, et dans quel délai elle peut les communiquer. Sachant qu’une étude récente indique qu’environ 80% des demandes proviendront de personnes dont vous ne traitez pas les données, cet exercice peut se révéler fastidieux. Il faudra choisir un processus et/ou un outil qui parvienne(nt), rapidement et à faible coût, à distinguer les demandes qui n’entraînent qu’une réponse négative ("Nous ne traitons pas de données vous concernant") de celles qui nécessitent davantage d’informations.

Le risque existe que certaines organisations ne consacreront pas suffisamment de temps et de ressources à cette gestion des demandes et dépasseront le délai précité d’un mois, avec, à la clé, la probabilité d’une plainte auprès de la CPVP, et donc d’une sanction.
Xavier Darmstaedter et Nicolas Roland

Dans ce cas, il faudra en effet donner accès aux données concernées, voire en réserver gratuitement une copie, ainsi que rassembler toute une série d’informations complémentaires telles que les finalités poursuivies, les destinataires, les durées de conservation, etc., le tout dans le mois de la demande. À nouveau, l’adoption d’un bon processus et/ou outil se révélera précieuse.

En pratique, le risque existe que certaines organisations ne consacreront pas suffisamment de temps et de ressources à cette gestion des demandes et, partant, dépasseront le délai précité d’un mois, avec, à la clé, la probabilité (réelle) d’une plainte auprès de la CPVP, et donc d’une sanction. Ce risque n’est en effet pas théorique puisqu’il apparaît aujourd’hui que les personnes sont de plus en plus sensibles au traitement de leurs données et à l’utilisation intempestive qui en est faite, à l’instar d’appels et de publicités non-sollicités. Il y a, dès lors, lieu de penser que l’on fera davantage usage du droit offert par le RGPD que ce ne fut le cas jusqu'à présent ("82 européens sur 100 demanderont à voir, limiter ou effacer leurs données").

Publicité
Publicité
Publicité
Publicité

Contenu sponsorisé

Partner content