RGPD Droits des personnes concernées & droit à l'information
D'après l'expérience d'un délégué à la protection des données, la demande d'information en vertu de l'article 15 du RGPD est le droit de la personne concernée le plus souvent utilisé dans le cadre du RGPD, avec le droit à l'effacement (article 17 du RGPD) ou le droit d'opposition à la publicité (article 21, paragraphes 2 et 3 du RGPD).
Le droit d'accès présente l'avantage pour le demandeur/la personne concernée de pouvoir obtenir, par une simple demande, la quasi-totalité des informations relatives au traitement des données à caractère personnel qu'une entreprise possède sur cette personne. La demande d'information crée pour la personne concernée la transparence en matière de traitement des données que la protection des données souhaite atteindre conformément au RGPD.
Il peut toutefois en résulter des difficultés organisationnelles considérables pour les entreprises. Le premier obstacle est la quantité et la diversité des informations qui doivent être fournies. Le RGPD prescrit précisément les informations que la personne concernée doit recevoir sur "ses" données :
- les finalités du traitement des données à caractère personnel ;
- les catégories de données traitées (par exemple, nom, date de naissance, hobbies, etc.) ;
- Destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, en particulier si les destinataires sont situés en dehors de l'UE ;
- si possible, la durée prévue de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères de détermination de la durée de conservation ;
- l'existence d'autres droits des personnes concernées, à savoir le droit de rectification ou d'effacement, le droit de limitation du traitement et le droit d'opposition ;
- le droit de déposer une plainte auprès de l'autorité de contrôle compétente ;
- si les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, toutes les informations disponibles sur l'origine des données ;
- l'existence d'une prise de décision automatisée, y compris le profilage et, dans ces cas, des informations pertinentes sur la logique impliquée derrière le profilage ainsi que sur la portée et les effets escomptés de cette mesure pour la personne concernée.
C'est cette combinaison d'exigences légales et de contraintes de temps qui peut faire de la demande d'informations un risque important pour les entreprises.
Une information non fournie à temps ou incomplète peut rapidement amener une personne concernée mécontente à se plaindre auprès de l'autorité de contrôle. Dans le pire des cas, cela peut conduire à une amende pour l'entreprise.
Pour ces raisons, une entreprise responsable doit se préparer à l'avance à une demande d'informations.
Dans un premier temps, il convient de créer un point de contact central. Les demandes d'information qui arrivent au mauvais endroit et qui circulent pendant des jours dans l'entreprise peuvent réduire considérablement le temps restant du délai d'un mois. Le délégué à la protection des données est naturellement le mieux placé pour cela. Si aucun délégué à la protection des données n'a été désigné, une autre personne doit s'en charger. Il est bien sûr également important d'informer tous les collègues de l'existence de ce point de contact. Ce point de contact central a également pour mission de vérifier l'identité du demandeur. S'il n'est pas certain que le demandeur est bien celui qu'il prétend être, l'entreprise peut demander des informations supplémentaires. Ce n'est que lorsqu'il est certain qu'il s'agit de la bonne personne qu'il convient de poursuivre.
L'étape suivante consiste à créer un processus qui permette de rassembler toutes les informations nécessaires le plus rapidement possible. Cela peut se faire avec l'aide de collaborateurs qui savent où trouver les informations nécessaires, comme les chefs de service ou les collaborateurs du service informatique. Cette approche mobilise bien entendu des collaborateurs. Selon la complexité de l'infrastructure d'où ces informations doivent être extraites, plusieurs collègues peuvent être occupés pendant des semaines à rassembler les informations nécessaires.
Demande de renseignements sur 2B Advice PrIME
Une autre possibilité est une solution basée sur un logiciel. Pour répondre rapidement à une demande de renseignements et la traiter au sein de l'entreprise, 2B Advice PrIME s'impose. Dans 2B Advice PrIME, les demandes peuvent être centralisées au moyen d'un système de tickets et être créées sous forme de tickets. Pour chaque type de demande de protection des données (information, suppression, rectification, révocation, etc.), il est possible de définir et d'enregistrer des workflows spécifiques. Les processus d'entreprise peuvent ainsi être représentés dans 2B Advice PrIME.
Un workflow attribue à chaque collaborateur de l'entreprise des mesures qui seront traitées par le collaborateur en question. L'entreprise garde toujours une vue d'ensemble sur l'état de traitement de la demande d'information et peut intervenir à tout moment si elle se trouve bloquée à un endroit.
Grâce à ce traitement assisté par logiciel, il est toujours possible de documenter toutes les étapes de la demande d'informations. Dans une mesure, il est possible de fixer un délai interne avant lequel les informations doivent être fournies. Grâce à ces délais, le point de contact central peut s'assurer que la demande d'information est également traitée dans le délai légal. Dans 2B Advice PrIME, il existe en outre des fonctions de reporting étendues qui permettent de surveiller les demandes de protection des données. La possibilité de documenter entièrement ce processus vous permet, en cas de litige avec la personne concernée, de prouver que vous avez fait tout ce que la loi exige de vous. Vous répondez ainsi à l'obligation de rendre des comptes que l'article 5, paragraphe 2 du RGPD impose aux entreprises en matière de protection des données.
Grâce aux fonctions de 2B Advice PrIME, les collaborateurs sont assistés de manière optimale dans le traitement des demandes. Ainsi, les demandes de renseignements sont toujours sous contrôle central et le risque de sanctions est minimisé.
Clôture de la demande de renseignements
En vertu de son droit d'accès, la personne concernée a également le droit d'obtenir une copie de ces informations. Toutefois, cela ne doit pas être compris d'une manière qui permette à la personne concernée de "récupérer" toutes les données la concernant. Par exemple, aucune donnée ne peut être communiquée si elle concerne d'autres personnes que le demandeur ou si elle porte sur des secrets commerciaux internes. Pour cette raison également, il doit exister un processus approfondi qui empêche également que des données non autorisées ne parviennent au demandeur.
Selon l'autorité de surveillance de la Rhénanie-du-Nord-Westphalie, une fois le processus terminé et toutes les informations nécessaires rassemblées, celles-ci ne devraient être envoyées au demandeur que par la poste. Un envoi par e-mail serait trop peu sûr. Toutefois, si vous avez mis en place des mesures garantissant un transfert électronique sécurisé des données, ce moyen peut également être autorisé.