Javascript is required
logo-dastralogo-dastra

4 étapes essentielles pour gérer les demandes d'exercice de droits

Mettre en place un processus efficace de gestion des demandes d'exercice de droit

4 étapes essentielles pour gérer les demandes d'exercice de droits
Antoine Bidault
Antoine Bidault
3 janvier 2024·17 minutes de lecture

Avant-propos

La demande d'exercice des droits est une procédure par laquelle les individus peuvent exercer les droits qui leur sont accordés en vertu du Règlement Général sur la Protection des Données (RGPD).

Ces droits incluent :

Les personnes concernées par le traitement des données peuvent faire une demande d'exercice de ces droits auprès du responsable de traitement, qui est tenu de répondre à leur demande dans un délai d'un mois. La demande d'exercice des droits est donc un outil important pour garantir la protection de la vie privée et des données personnelles des individus. Cela nécessite donc aux organisations de se structurer afin de collecter et traiter efficacement ces demandes.

Après avoir mis en œuvre ce processus de nombreuses fois dans les organisations, nous nous sommes aperçu que c'était beaucoup plus complexe à mettre en œuvre qu'il n'y parait. En effet, si vous ne mettez pas en place une bonne gouvernance et les bons outils, vous risquez très rapidement de vous noyer dans des problèmes de demandes incorrectement traitées, des aller-retours par mail et de très nombreux coûts cachés, voire des contentieux.

Au delà de ça, c'est un travail répétitif qui n'apporte pas ou peu de valeur à l'organisation, hormis peut être un gain de confiance avec les personnes concernées qu'il ne faut pas sous-estimer ! C'est pourquoi, il est important de bien traiter le sujet en minimisant ses coûts cachés.

La gestion efficace d'une demande nécessite la mise en place d'un processus bien clair, voici le schéma qui résume le processus en quatre étapes : Schéma de fonctionnement

1. La collecte 📩

Cette première étape consiste à collecter toutes les demandes d'exercice de droits des personnes concernées.

Les moyens de collecte

Cela peut être effectué via différents canaux tels que le courrier électronique, un formulaire en ligne, un chat, le courrier postal ou même oralement par téléphone Il est important de bien identifier chaque demande et de s'assurer que la personne qui a fait la demande est bien la personne concernée. En effet, il est important de remédier à tous les risques d'usurpation d'identité, de demandes effectuées par erreur...etc...

Quel moyen choisir ?

Moyens Avantages Inconvénients
Adresse mail de collecte (type dpo@dastra.eu) - Facile à mettre en place
- Efficace si volume de demandes faible
- L'identité du demandeur est prévalidée par le biais de l'adresse mail
- Simplicité
- Beaucoup de coûts cachés
- Répartition des tâches plus complexe
- Qualification des demandes souvent insuffisante
- Nécessite souvent de contacter la personne concernée
- Beaucoup de spamming qui vont créer du bruit
- Le transfert des preuves se fait par e-mail, il revient donc à la charge du client d'assurer la sécurité (et l'hébergement, si le volume est important) des données.
Formulaire de collecte combiné à un portail privacy (Dastra) - Moins de coûts cachés
- Processus bien clair
- Automatisations possibles
- Qualification automatisée
- Validation de l'identité automatisée
- Elimination du spamming
- Le transfert des preuves est sécurisé
- Archivage automatique
- Un peu plus complexe à mettre en place (nécessite de l'intégration)
Téléphone - Plus direct
- Efficace pour traiter les demandes d'accès à des données basiques en direct
- Risque d'usurpation d'identité (nécessite de combiner à d'autres moyens de vérification)
- Qualification de la demande plus complexe à gérer
- Nécessite un outillage particulier pour suivre les demandes des utilisateurs
- Spamming
- Impossibilité de transférer des données trop importantes ou complexes
Courrier - Fiable
- Fonctionne sans avoir l'adresse électronique du demandeur
- Plus rassurant
- Permet d'envoyer des données physiquement (disques, clé USB...)
- Beaucoup de coûts cachés
- Nécessite un outillage afin d'assurer la traçabilité et l'archivage des demandes
- Ne permet pas de transmettre des données complexes (json, excel...)

Vous pouvez bien sûr diversifier les moyens de collecte au sein de la même organisation. Par exemple, mettre à disposition une adresse mail de collecte à destination des salariés et un formulaire de collecte pour vos prospects et clients sur votre site web. L'important est de centraliser les demandes dans un seul et même système.

Quelles informations demander ?

Pour chaque demande d'exercice de droit, il est important de s'assurer d'avoir les bonnes informations permettant de répondre correctement dans le respect des règles imposées par la règlementation.

Le type de demande : Cette information est essentielle pour une bonne qualification de la demande. Il est important de savoir si il s'agit d'une demande de suppression, opposition, accès, information ou portabilité.

Nom et prénom : Ces données sont nécessaires pour identifier la personne qui fait la demande et pour s'assurer qu'elle correspond bien à la personne dont les données sont enregistrées dans le système. Selon le type de demande, cette information ne sera pas nécessaire. Par exemple, dans le droit d'opposition à recevoir de la prospection par mail.

L'adresse e-mail: L'adresse e-mail est une donnée personnelle qui permet de communiquer avec la personne qui fait la demande et de lui fournir les informations demandées. Il est important de s'assurer que l'adresse e-mail fournie est valide. Cette adresse mail sera le moyen privilégié pour communiquer avec la personne. Il est possible de le faire également par voie postale dans certains cas... Mais cela risque d'augmenter vos coûts.

Numéro de client ou identifiant interne : Cette donnée peut être demandée pour vous aider à identifier rapidement la personne concernée si elle est déjà cliente de votre l'entreprise ou si elle possède un identifiant dans votre organisation (numéro d'adhérent par exemple). Attention, il ne faut pas se baser uniquement sur cette information pour identifier la personne. Notamment, si vous collectez l'information dans un environnement non authentifié, cette information sera uniquement déclarative.

La catégorie de personne concernée : Il s'agit du type de personne qui effectue la demande, cela peut-être un client, un prospect, un salarié... La nécessité de ce champ dépendra bien sûr du périmètre de votre service. Cette information est intéressante afin d'identifier le périmètre des données concernées par la demande.

Informations complémentaires : Tout dépend du contexte, mais cela peut être utile de laisser un champ libre où l'utilisateur donnera des précisions sur sa demande. Peut-être que la demande du client concerne un service particulier. Peut-être qu'il n'a besoin d'accéder qu'à une partie spécifique de ses informations et non l'intégralité.

Dans certains cas, si la demande nécessite un volume important de données à collecter (sortie d'archive...), celle-ci peut être considérée comme complexe. cela a pour conséquence de rallonger les délais de réponse à 3 mois.

En résumé, il est essentiel de collecter les données personnelles de manière légale, transparente et en respectant les principes du RGPD. Les données collectées doivent être utilisées uniquement dans le but spécifié et les personnes concernées doivent également être informées de leurs droits en matière de protection des données. En effet, la gestion des demandes constitue un traitement de données en tant que tel.

2. Vérification de l'identité et de l'éligibilité de la demande 🔍

Avant de vous lancer tête baissée dans l'exécution de la demande, il est important de vérifier l'identité de l'individu qui a fait la demande.

Voici quelques raisons de cette vérification d'identité :

Protéger les données personnelles de l'individu : Le RGPD impose aux entreprises et organisations de protéger les données personnelles des individus. Si un tiers non autorisé accède aux données personnelles d'un individu, cela peut entraîner des conséquences néfastes pour sa vie privée, sa réputation et ses droits. La vérification de l'identité permet de s'assurer que la demande provient bien de la personne concernée, évitant ainsi tout risque d'accès non autorisé aux données personnelles.

Éviter les fraudes : La vérification de l'identité permet de s'assurer que la personne qui effectue la demande est bien la personne qu'elle prétend être. Cela permet de réduire les risques de fraude, d'usurpation d'identité et d'autres activités criminelles.

Respecter les obligations légales : Le RGPD impose aux entreprises et organisations de répondre aux demandes d'exercice de droit des individus dans les plus brefs délais avec un délai maximal d'un mois. Toutefois, ce délai peut être prolongé si la vérification de l'identité de l'individu est nécessaire. Si l'identité de l'individu n'est pas vérifiée, les entreprises et organisations risquent de ne pas respecter leurs obligations légales en matière de protection des données.

En somme, la vérification de l'identité est essentielle pour garantir la sécurité des données personnelles des individus et pour respecter les obligations légales imposées par le RGPD.

Par quels moyens pouvons-nous vous aider à vérifier l'identité d'un individu ?

  • Envoyer un mail avec un lien de validation
  • Envoyer un code par sms
  • Demander la pièce d'identité
  • Vérifier que l'adresse e-mail existe bien dans la base de données de l'entreprise

Cette vérification et les moyens mis en oeuvre dépendront fortement de la demande et des données dont il est question. En effet, la simple opposition à recevoir de la prospection par mail n'a pas la même sensibilité que la demande d'accès à un dossier médical.

Les moyens doivent donc être adaptés à la sensibilité des données demandées, dans une approche par les risques pour les droits et libertés des personnes.

3. Le traitement de la demande ⚙️

Une fois la demande collectée et qualifiée, il est temps de la traiter. Il s'agit de l'étape la plus importante et la plus complexe du processus. Il peut être nécessaire de demander des informations supplémentaires au demandeur pour clarifier la demande.

Le traitement de la demande doit être effectué dans les meilleurs délais et en conformité avec les exigences légales en matière de protection des données personnelles.

Cartographiez les données

Pour traiter une demande efficacement, si votre système d'information est complexe et que vous avez de nombreux outils, bases de données ou données physiques, il est vivement recommandé d'effectuer une cartographie des données : personnelles. Celle-ci vous permettra de savoir facilement où se trouve les données personnelles dans le système, qui est responsable de l'actif (support des données) en question et comment exécuter la demande. Des outils comme Dastra vous permettent de tenir facilement votre cartographie de données avec un ensemble de modèles prédéfinis pour les logiciels les plus couramment utilisés !

Le registre des activités de traitements devient ici très utile pour comprendre comment sont traitées les données au sein de son organisation et ne pas faire l'impasse sur des données et des usages.

Responsabilisez les équipes

Mettez en place une bonne gouvernance pour la gestion de vos demandes. Organisez par exemple votre collecte par pôle avec un responsable en charge des demandes entrantes. Ces responsables se chargeront ensuite de répartir des tâches d'exécution aux différentes parties prenantes de la demande (par exemple, les gestionnaires de base de données (DBA), Chief Data Officer, développeurs, opérationnels métiers...). Une solution afin de bien déléguer aux opérationnels est d'effectuer une matrice RACI lors d'une réunion ou un atelier qui réunira toutes les parties prenantes du projet.

Une gouvernance efficace est la clé du succès pour traiter efficacement les demandes.

Collectez des preuves

Au cours de cette phase d'exécution, vous allez devoir collecter et centraliser un ensemble de preuves de réponse à cette demande.

Dans le cadre des demandes d'accès, le format des données doit être le plus clair possible, privilégier les formats ouverts et faciles d'accès : Excel, CSV, Document texte, images,...

Dans le cas des demandes de suppression, dans certains cas, vous pouvez envoyer des copies d'écran ou des justificatifs prouvant la bonne suppression des données du compte du service.

Pour les demandes de portabilité, des formats techniques un peu plus avancés tels que le JSON ou XML peuvent être privilégiés notamment si les données doivent être transférés vers une autre organisation qui aura besoin de consommer ces données.

Par essence, ces preuves contiennent des données personnelles. Il est essentiel que le stockage de ces preuves doit se faire de la manière la plus sécurisée possible.

4. Communication avec la personne concernée📨

Les réponses doivent être fournies dans les meilleurs délais et sous une forme claire et compréhensible pour la personne concernée. Il est également important de répondre de manière précise et complète à la demande, en fournissant toutes les informations demandées par la personne concernée. Le canal privilégié sera la boîte mail pour ce type de demande.

N'oubliez pas que dans la communication, il faut non seulement inclure la réponse à la demande mais également apporter des précisions sur le traitement des données concernées. En effet, pour chaque demande d'accès aux données, il faut apporter en complément des données les informations essentielles sur le traitement des données (finalités, catégories de données traitées, destinataires, durées de conservation, droits, transferts etc.). Ces informations figurent généralement dans votre politique de confidentialité ou dans l'information apportée lors de la collecte des données auprès des personnes.

Durées de conservation des demandes

Attention, si le responsable de traitement ne donne pas suite à une demande d'exercice de droit, les personnes concernées peuvent introduire une réclamation auprès de l’autorité de contrôle et former un recours juridictionnel. L’organisme s’expose, d’une part à un contrôle de l’autorité, et d’autre part à une sanction. D'où l'importance de bien tenir un registre de toutes les demandes traitées et documenter les processus.

Par ailleurs, le traitement des demandes constitue un traitement de données à caractère personnel qui nécessite que les données soient conservées pour le temps nécessaire à la réalisation des demandes.

Concernant les durées de conservation des demandes :

Les durées doivent être définies en responsabilité, selon les règles de prescription éventuelle. Ainsi, il peut être recommandé les durées suivantes :

  • 5 ans à compter de la fin de l’année civile de votre demande.
  • 1 an pour la copie de votre pièce d’identité si elle vous a été demandée. (Attention, dans une décision de 2020 sur ce point, la CNIL a considéré que les copies de pièces d'identité ne devaient pas être conservées une fois la vérification effectuée)
  • 6 ans, en cas d’exercice de votre droit d’opposition.

La conservation des éléments doit faire l'objet d'une analyse attentionnée. En effet, il est nécessaire de minimiser les données conservées uniquement dans un but de conservation de preuve.

Selon la sensibilité des données et du traitement, il pourra être nécessaire de conserver plus d'informations. En effet, la transmission de données d'un dossier médical ou de données extrêmement sensibles peut solliciter de conserver la preuve de plus d'éléments que la suppression d'un compte de fidélité d'une enseigne commerciale. Dans tous les cas cela doit être justifié.

Conclusion

Nous avons tiré les conclusions suivantes de la mise en place de cette analyse :

De nombreux coûts cachés

Si vous n'êtes pas équipé d'un outil d'automatisation des demandes, vous allez vous retrouver très rapidement submergé par un processus complexe avec un système d'adresse e-mail partagée.

La plupart des entreprises utilisent aujourd'hui des adresses e-mail partagées du type dpo@entreprise.com, privacy@...). C'est un système qui peut bien fonctionner avec une bonne gouvernance et une densité de données à gérer faible. Mais très vite, si le volume de demandes augmente, vous vous apercevrez que les coûts cachés d'une demande vont exploser : de nombreux aller-retours entre les parties prenantes, absence de traçabilité, centralisation des preuves dans un drive... Bien que ne se substituant pas à une bonne organisation interne, un outil vous aidera à mettre à l'échelle et structurer le processus en centralisant les demandes avec leurs preuves et en déléguant les responsabilités aux utilisateurs.

Voici un aperçu de l'interface de gestion d'une demande d'exercice de droit dans Dastra : image.png

Automatisez !

Avec Dastra, vous pouvez automatiser l'ensemble du processus de la collecte, la validation de l'identité, le traitement et même la communication. Sans aller dans la sur ingénierie, vous pouvez mettre en place un formulaire de collecte en no-code qui vous permettra de vérifier automatiquement l'identité du demandeur tout en qualifiant parfaitement la demande. Un système vous permettra également de répartir automatiquement les demandes aux différents responsables de base de données.

Vous pouvez ainsi passer en pilotage automatique la gestion des demandes d'exercice de droit. Tout cela vous fera gagner du temps afin de vous focaliser sur votre cœur de métier.

Envie d'aller plus loin ?

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.