Qu'est-ce qu'une demande d'accès de la personne concernée (DSAR) ?

Une demande d'accès de la personne concernée (DSAR) est un moyen pour les personnes d'exercer leurs droits et de connaître les informations qu'une organisation détient à leur sujet et la manière dont l'organisation utilise ces informations. 

Le DSAR est la procédure d'exercice du droit d'accès,pierre angulaire de la protection des données en vertu du règlement général sur la protection des données (RGPD) et de nombreuses autres lois dans le monde.

Mais si les rapports d'audit constituent un élément fondamental de la conformité en matière de protection des données, ils peuvent également représenter un défi majeur pour les organisations de toutes tailles. Votre réponse aux DSAR peut avoir un impact sur la réputation de votre organisation, et une mauvaise gestion des DSAR peut entraîner d'importants problèmes juridiques.

Cet article explique le fonctionnement de la DSAR, donne des exemples de réponse à la DSAR et fournit des conseils pour traiter les DSAR de manière efficace et conforme à la loi.

Comment répondre à une demande d'accès d'une personne concernée

Supposons qu'une personne concernée ait pris contact avec vous et demandé l'accès à ses données, soit par le biais de votre formulaire DSAR sur votre portail de la protection de la vie privée, soit par tout autre moyen.

Quelles sont les étapes à suivre maintenant ?

Étape 1 : Accusé de réception

L'étape 1 consiste à répondre à l'e-mail pour accuser réception de la demande.

Bonjour [Nom],

Merci pour votre demande - ce message est juste pour confirmer que nous avons bien reçu votre demande. Nous avons identifié cette demande comme une demande d'accès du sujet des données et il est de notre obligation, en vertu du GDPR et de la loi sur la protection des données 2018, de nous y conformer.

Dans un souci de transparence, nous souhaitons vous informer de la manière dont nous traitons ces demandes afin que vous sachiez à quel stade nous nous trouvons :

1. Vérifier votre identité - nous devons nous assurer que vous êtes bien la personne à qui vous demandez des données.
2. Comprendre la portée de votre demande
3. Collecte des données personnelles
4. vous communiquer ces données (lorsque nous pouvons le faire en toute légalité)
5. Répondre à toute autre question que vous pourriez avoir

Nous nous efforçons de répondre à ces demandes dans un délai de 28 jours à compter de la vérification de votre identité.

Note : Si vous n'avez pas créé cette demande, veuillez nous en informer.

Étape 2 : Vérification de l'identité

Bonjour, Nous traitons votre demande d'accès aux données personnelles - nous sommes actuellement à l'étape 1.

Pour cette étape, nous devons vérifier votre identité :

- Nous avons besoin de vous demander si vous pourriez, s'il vous plaît, {moyen approprié d'identifier la personne}

Nous nous excusons si les étapes ci-dessus ne vous conviennent pas, mais nous nous engageons à protéger les données des personnes qui nous font confiance - par conséquent, avant de communiquer des informations, nous devons nous assurer que nous les communiquons à la bonne personne.

Exemple de vérification de l'identité d'une personne qui : (remplacer "moyen approprié d'identifier une personne" par "moyen approprié d'identifier une personne")

J'ai pris rendez-vous avec vous :

- Répondez à cet e-mail en confirmant que vous reconnaissez avoir créé une demande
à la "date" et à l'"heure"
‍
- Indiquez vos nom et prénom ainsi que l'adresse e-mail avec laquelle vous souhaitez
que la demande soit traitée
‍
- Vous avez mentionné que vous aviez enregistré une réunion - afin de vérifier
la demande, pourriez-vous me donner des détails sur la date,
l'heure et la méthode par laquelle vous avez réservé cette réunion ?

A été contacté par l'un de vos courriels de vente/marketing

- Répondez à cet e-mail en confirmant que vous reconnaissez avoir créé une demande
à la "date" et à l'"heure"
‍
- Indiquez vos nom et prénom ainsi que l'adresse e-mail avec laquelle vous souhaitez
que la demande soit traitée
‍
- Vous avez indiqué avoir reçu un e-mail de notre part - afin de vérifier
la demande, pourriez-vous nous transmettre l'e-mail auquel vous faites
référence ?

Étape 3 : Vérifier le champ d'application

Une fois que vous savez que la personne est bien celle qu'elle prétend être, l'étape suivante consiste à comprendre qui elle est par rapport à votre entreprise et quelles sont les données qu'elle recherche.

Vous n'êtes pas autorisé à leur demander de restreindre le champ de leur demande, car toute personne est autorisée à demander "toutes ses données", mais vous pouvez leur demander de fournir des détails supplémentaires qui vous aideront à localiser les données qu'ils recherchent.

Par exemple, les dates auxquelles ils se sont engagés avec votre entreprise, les noms des employés avec lesquels ils se sont engagés, s'ils ont assisté à l'un de vos événements, aimé l'un de vos messages, répondu à l'un de vos courriels précédents.

Ces questions ne prolongent pas le délai de 28 jours pour répondre à la demande, donc s'ils ne répondent pas ou si vous manquez de temps, vous devrez répondre à la demande en effectuant des recherches raisonnables pour obtenir les informations couvertes par la demande.

Pour vous aider dans cette démarche, il peut être utile de réfléchir :

• Quel est le type de personne décrit dans ma politique de protection de la vie privée ?
• Par exemple, s'agit-il d'un client ? d'un visiteur ? d'un ancien employé temporaire ? Vous pouvez leur demander si vous n'êtes pas sûr de vous.
• S'il s'agit d'un tiers ou de l'un de vos partenaires ou fournisseurs, il peut être judicieux de prendre contact avec lui et de lui demander des informations sur l'origine des données. Les ont-ils obtenues de vous ? Dans l'affirmative, d'où proviennent-elles ?
• S'ils mentionnent l'un de vos employés, il peut être judicieux de leur poser des questions sur l'engagement.

Une fois que vous avez identifié le type de personne, vous pouvez consulter votre inventaire de données dans votre plateforme Privasee pour identifier les actifs ou les tiers où vous stockez leurs données et l'usage qui en est fait.

Étape 4 : Collecte d'informations

La dernière étape consiste à passer en revue les actifs pour lesquels vous avez identifié que vous détenez des données et à collecter les informations que vous détenez à leur sujet.

Par exemple, vous pouvez avoir leur adresse électronique, leur nom et une liste d'événements auxquels ils ont participé dans votre CRM. S'il s'agit d'un de vos clients, vous disposez peut-être d'informations de paiement dans votre logiciel de comptabilité...

En fonction de leur demande, ils peuvent demander une confirmation/explication des types de données que vous détenez à leur sujet, de la manière dont vous avez collecté ces informations et de l'usage qui en est fait ; ou ils peuvent demander une copie réelle de leurs informations.

💡 Lorsque vous fournissez une copie de leurs informations, en particulier lorsqu'il s'agit de textes libres tels que des courriels ou des documents. Il est important d'expurger toute information qui pourrait permettre d'identifier une autre personne afin de ne pas partager les informations personnelles de quelqu'un d'autre.

Étape 5 : Divulguer les données dans un format sécurisé

Il est de bonne pratique d'inclure une lettre d'accompagnement ou des documents explicatifs dans votre réponse au DSAR. Il ne faut pas oublier que le droit d'accès ne couvre pas seulement la fourniture d'informations, mais aussi la confirmation des détails et de la nature du traitement, qui peut être incluse dans votre lettre d'accompagnement.

Modèle de réponse à une demande d'accès d'une personne concernée

Cher [Nom],

Nous traitons votre demande d'accès aux données par le sujet - nous sommes actuellement à l'étape 5.Votre demande a été examinée conformément à la loi sur la protection des données de 2018 et au règlement général sur la protection des données, et les données personnelles auxquelles vous avez droit ont été incluses dans cette lettre. En plus de la fourniture de vos données personnelles, je peux confirmer que [Entreprise] traite vos données personnelles et pour plus de détails entourant les objectifs et la portée de ceci peut être trouvé dans notre avis de confidentialité [FOURNIR LE LIEN OU LA COPIE DE L'AVIS DE CONFIDENTIALITÉ].

Informations relatives à des tiers : en vertu du droit d'accès, les personnes concernées n'ont droit qu'à leurs propres données à caractère personnel et pas nécessairement à celles relatives à des tiers.

Dans le cadre de la fourniture d'informations, nous avons dû prendre en considération votre droit d'accès et le mettre en balance avec les autres droits d'autres personnes, tels que la protection de leurs propres données ou de leurs droits à la vie privée. Informations fournies à titre confidentiel : il arrive souvent que des informations soient fournies à titre confidentiel à l'entreprise et que leur divulgation porte atteinte à ce devoir de confidentialité, ce qui pourrait avoir des conséquences juridiques pour l'entreprise. En outre, il est important que ces confidences soient respectées et que les personnes puissent partager des informations avec l'entreprise en toute confiance sans craindre que cette confiance soit violée. Soyez assurés que ce que nous pouvons partager dans ces circonstances l'aura été ou aura été rendu anonyme de manière appropriée.

I hope that you find the enclosed information useful. [COMPANY] now consider your request fulfilled and the matter to be closed. Should you feel this is not the case, in the first instance please let me know. If you remain dissatisfied following this, please note that you have the right to raise the issue with the Information Commissioner’s Office (ICO), who can be contacted by the following methods - <https://ico.org.uk/global/contact-us/>. You also may wish to seek to enforce your rights through the Courts.If your concerns related to procedural matters rather than the provision of information, please can I politely suggest that such matters are taken up with the relevant departments or via our complaints processes.

Vous pouvez joindre à la lettre de motivation un fichier contenant toutes les données à caractère personnel de la personne concernée. Il peut s'agir d'un fichier Excel ou similaire, d'un fichier JSON ou d'un fichier PDF contenant des documents, des courriers électroniques ou d'autres fichiers potentiellement expurgés.

Principaux éléments d'une demande d'accès d'une personne concernée

D'une manière générale, le rapport d'activité donne à la personne concernée deux droits :

1. une copie de leurs données personnelles, et
2. Des informations sur la manière dont le responsable du traitement traite leurs données à caractère personnel.

Au cas où vous ne seriez pas familier avec certains de ces termes :

• On entend par "données à caractère personnel" toute information relative à une personne physique identifiable.
• "Traiter" des données à caractère personnel signifie les collecter, les partager ou les utiliser de quelque manière que ce soit,
• La "personne concernée" est la personne à laquelle se rapportent les données à caractère personnel.
• Le "responsable du traitement" est l'organisation qui a décidé de traiter les données à caractère personnel.

L'article 15 du GDPR définit le type d'informations qu'une organisation doit fournir en réponse à un DSAR :

• Une copie des données personnelles que vous traitez à leur sujet. Il peut s'agir de nombreux types d'informations, notamment : du texte
  • Identifiants directs, tels que le nom de la personne concernée ou ses coordonnées
  • Identifiants uniques, comme un numéro de client, un nom d'utilisateur ou un numéro d'identification délivré par l'État
  • Informations sur les caractéristiques ou le comportement de la personne, telles que les données de santé, les données démographiques ou l'historique de navigation.
  • Informations techniques, telles que les données des cookies, les segments d'audience ou les identifiants des appareils et des publicités

• Informations sur la manière dont vous traitez leurs données à caractère personnel:du texte
  • Les raisons pour lesquelles vous traitez les données
  • Les types de données à caractère personnel que vous traitez
  • Tous les destinataires avec lesquels vous avez partagé les données
  • Durée de conservation des données
  • Les droits de la personne concernée en vertu du GDPR
  • Le droit de la personne concernée de se plaindre auprès d'une autorité de protection des données
  • Où avez-vous obtenu les données ?
  • Informations sur la "prise de décision automatisée" en vertu de l'article 22 du GDPR (le cas échéant)
  • Informations sur les "transferts internationaux de données" (le cas échéant)

Il n'est pas nécessaire de fournir toutes ces informations à chaque fois, mais si la personne concernée demande un élément de cette liste, vous devez le fournir , sauf exception.

Quand et pourquoi soumettre une DSAR ?

Le considérant 63 du GDPR indique que les DSAR permettent à la personne concernée "d'être informée de la licéité du traitement et de la vérifier". En d'autres termes, l'objectif d'un rapport d'évaluation est de permettre à la personne concernée de vérifier si le responsable du traitement ne fait rien d'illégal avec ses données à caractère personnel.

Mais la "vérification de la licéité du traitement" est-elle la seule raison valable pour soumettre un rapport d'activité ? Cette question a été tranchée par la Cour de justice de l'Union européenne (CJUE) en octobre 2023 dans l'affaire FT v DW.

Le demandeur, FT, a soumis un rapport d'activité à son dentiste, DW, car il soupçonnait qu'une mauvaise intervention dentaire avait endommagé ses dents. DW a déclaré que cette déclaration n'était pas valable parce qu'il pensait que FT rassemblait des preuves en vue d'une action en justice et ne vérifiait pas la licéité du traitement des données, comme le précise le considérant 63.

Le tribunal a donné raison au patient. Le jugement explique que le GDPR ne limite pas les raisons de soumettre un DSAR. En effet, le GDPR "n'exige pas de la personne concernée qu'elle motive sa demande". 

Une personne peut soumettre un rapport d'activité à tout moment, et il existe de nombreuses raisons de le faire, notamment

• Connaître les données à caractère personnel qu'un responsable du traitement a collectées à leur sujet
• S'assurer que les données personnelles sont exactes
• Déterminer où le responsable du traitement a obtenu les données à caractère personnel

Toutefois, il existe également des raisons valables pour qu'un responsable du traitement refuse de se conformer à une DSAR, comme nous l'expliquons ci-dessous.

Bonnes pratiques pour une gestion efficace des rapports d'activité

Voici quelques conseils pour aider votre organisation à bien gérer les rapports d'activité :

• Mettre en œuvre des stratégies de gouvernance des données pour que les données personnelles soient bien organisées et accessibles.
• Fournir un formulaire standardisé ou un portail web pour l'envoi des DSAR (mais n'oubliez pas que vous ne pouvez pas forcer la personne concernée à l'utiliser).
• Organiser régulièrement des formations sur la protection des données afin d'aider les employés à reconnaître et à faciliter les rapports d'évaluation de la sécurité des données.
• Élaborer une politique claire et documentée de gestion des DSAR.
• Envisagez d'utiliser un logiciel spécialisé pour faciliter le suivi et l'exécution des demandes de DSAR.
• Vérifiez l'identité de la personne concernée si vous avez des doutes raisonnables sur son identité, mais ne demandez pas de données personnelles excessives à des fins de vérification.
• Tenir les personnes concernées informées tout au long de la procédure et répondre dans les délais obligatoires.
• Utiliser une plateforme sécurisée de partage de fichiers pour fournir les données personnelles demandées, le cas échéant.

Existe-t-il des exceptions à la DSAR ?

Une entreprise peut restreindre l'accès aux droits des personnes concernées, y compris les DSAR, lorsque cela est nécessaire pour assurer la protection des données :

• Criminalité et fiscalité
• Évaluation des risques en matière de criminalité et de fiscalité
• Informations dont la divulgation est requise par la loi ou dans le cadre d'une procédure judiciaire
• Le secret professionnel
• Auto-incrimination
• Divulgation interdite ou restreinte par un texte législatif
• L'immigration
• Fonctions destinées à protéger le public
• Fonctions d'audit
• Fonctions de la Banque d'Angleterre
• Fonctions réglementaires relatives aux services juridiques, aux services de santé et aux services de l'enfance
• Autres fonctions réglementaires
• Le privilège parlementaire
• Nominations, indépendance et procédures judiciaires
• Distinctions honorifiques, dignités et nominations de la Couronne
• Journalisme, université, art et littérature
• Recherche et statistiques
• L'archivage dans l'intérêt public
• Données sur la santé
• Données sur le travail social
• Données sur l'éducation
• Données sur la maltraitance des enfants
• Finance d'entreprise
• Prévisions de gestion
• Négociations
• Références confidentielles
• Manuscrits d'examen et copies d'examen

Puis-je rejeter une DSAR ?

Vous pouvez refuser de répondre à une demande manifestement infondée ou excessive. La décision doit être prise au cas par cas et votre raisonnement doit être clairement documenté au cas où il devrait être démontré à l'ICO ou aux tribunaux. Voici quelques exemples de demandes manifestement infondées selon l'ICO :

• La personne n'a manifestement pas l'intention d'exercer son droit d'accès. Par exemple, une personne fait une demande, mais propose ensuite de la retirer en échange d'un avantage quelconque de la part de l'organisation.
• La personne a explicitement déclaré, dans la demande elle-même ou dans d'autres communications, qu'elle avait l'intention de causer des perturbations.
• La demande contient des accusations non fondées à votre encontre ou à l'encontre de certains employés.
• L'individu vise un employé en particulier contre lequel il a une rancune personnelle.
• L'individu vous envoie systématiquement différentes demandes dans le cadre d'une campagne, par exemple une fois par semaine, dans l'intention de vous perturber.

Principaux points à retenir et conclusion

Dans cet article, nous avons abordé les points clés suivants concernant les demandes d'accès des personnes concernées (DSAR) :

• Un rapport d'activité permet aux personnes d'accéder aux données à caractère personnel que votre organisation détient à leur sujet, ce qui favorise la transparence conformément au GDPR.
• Répondre à une DSAR implique cinq étapes clés : accuser réception, vérifier l'identité, comprendre le champ d'application, collecter les données et les divulguer en toute sécurité.
• Les organisations doivent répondre aux rapports d'activité dans un délai de 28 à 30 jours, en conciliant les droits de l'individu et les exemptions légales applicables.

Privasee peut vous aider à rationaliser la gestion de votre DSAR - réservez une démo dès aujourd'hui.

Demande d'accès de la personne concernée - FAQ

Qu'est-ce qu'une demande d'accès de la personne concernée (DSAR) ?

Un DSAR est une demande faite par une personne pour accéder aux données personnelles qu'une organisation détient à son sujet.

Combien de temps ai-je pour répondre à une DSAR ?

Les organisations disposent de 28 à 30 jours pour répondre une fois que l'identité de la personne a été vérifiée.

Puis-je refuser une DSAR ?

Oui, vous pouvez refuser une demande si elle est manifestement infondée, excessive ou si elle relève d'exemptions légales spécifiques. Dans ces cas, il est essentiel de disposer d'une documentation appropriée.

Quelles sont les étapes à suivre pour remplir une DSAR ?

Le processus consiste à accuser réception de la demande, à vérifier l'identité de la personne, à comprendre la portée de la demande, à collecter les données pertinentes et à fournir en toute sécurité les informations demandées.Une demande d'accès de la personne concernée (DSAR) est une demande faite par une personne pour accéder à ses données à caractère personnel détenues par une organisation. En vertu des lois sur la protection des données telles que le GDPR, les organisations doivent fournir ces informations dans un délai précis, généralement 30 jours. Les demandes d'accès des personnes concernées contribuent à garantir la transparence et le contrôle individuel des données à caractère personnel.