RGPD : vous avez le droit à la PAAROLE!

Entre les droits que j'ai pu exercer récemment à titre personnel et qui ont reçu des réponses catastrophiques trahissant une profonde incompréhension des textes et les questions qui me sont régulièrement posées sur les réseaux pro, un rappel des droits des personnes sous l'empire du RGPD me paraît intéressant.

Le non-respect des dispositions relatives aux droits des personnes concernées peut fortement ternir votre image et, si votre malchance défie les statistiques, être sanctionné jusqu’à 20 000 000€ ou 4% du chiffre d’affaires. 

Donc, si vous l'aviez manqué, du fait de la réglementation chaque personne concernée par un traitement de données à caractère personnel dispose de plusieurs droits en lien avec les utilisations faites de ses données.

Par soucis mnémotechnique, je les mentionne dans mes formations par l’expression « droits à la PAAROLE ». L'expression consacrée auparavant était « DARO » pour Droits d’Accès, Rectification, Opposition (attention, je ne prétends pas que "droit à la PAAROLE" est l'expression consacrée aujourd'hui, attendez-vous à recevoir des regards interloqués si vous l'utilisez).

[N'est pas mentionné ci-avant un dernier droit (car très peu usité en pratique), spécificité française (pour le moment) issue de la Loi pour une République Numérique : droit de définir le sort de ses données après la mort. Merci Brian G.]

Si les demandeurs peuvent se permettre de mixer leurs revendications, de manquer de clarté, d'exercer les droits auprès du mauvais service, etc., VOUS, responsables de traitements, NE POUVEZ PAS!

Top 4 des conseils pour répondre à peu près correctement et ne pas jeter de l'huile sur le feu (la plupart du temps celui qui exerce un droit en a après vous d'une façon ou d'une autre) :

1. Répondez. Dans les délais. Ça paraît évident dit comme ça, et pourtant... Je précise que le demandeur peut formuler sa demande auprès de n'importe qui dans votre entreprise, surtout si vos consignes sur le sujet ne sont pas claires (voir ce billet de la CNIL). Donc pour répondre il faut déjà que toute personne en lien direct avec un demandeur potentiel puisse identifier la demande et la transmettre à la personne en charge de traiter ;
2. Ne demandez pas systématiquement une pièce d'identité. Vous devez vérifiez l'identité, mais pas de façon excessive. Si j'exerce un droit parce que vous m'envoyez de la publicité par SMS alors que nous ne nous connaissons pas (vous avez acheté mon numéro dans une base quelconque), ne me demandez pas ma carte d'identité : vous vous mettriez à collecter inutilement bien plus que mon numéro de téléphone qui est la seule donnée que vous avez pour le moment. Vous répondez à la demande par un canal chiffré, vous envoyez la clé de déchiffrement sur le numéro de téléphone que je prétends posséder, et hop ;
3. Répondez à la demande, rien que la demande. Ni plus, ni moins. Par le "moins", je vise soit les réponses clairement partielles (ne prenez pas les demandeurs pour des ânes), soit les réponses trop obscures ou techniques (vous avez une obligation de communiquer clairement, en communiquant un glossaire traduisant votre termes techniques internes en bon français par exemple). Par le "plus" je vise principalement ceux qui ont tendance à se tirer une balle dans le pied en répondant "Nous avons supprimé toutes vos données" à la question "Quelles données avez-vous me concernant"...
4. N'oubliez pas d'informer le demandeur du nouveau traitement que vous venez de mettre en œuvre. Si si, celui de gestion des demandes de droits à la PAAROLE, pour lequel vous allez faire traiter les données par quelqu'un qui ne les traitait probablement pas avant (DPO ou assimilé), pour une nouvelle finalité, pour une durée spécifique (5 ans à des fins de preuve que vous avez bien répondu, par exemple). Bon là je vais dans le détail, c'est manquant y compris chez certains professionnels du RGPD.

Vous en avez d'autres à partager ? Go dans les commentaires, je suis sûr que certains ont vécu des situations alambiquées leur ayant appris des petits tips utiles!