Comprendre les demandes d'accès des personnes concernées (DSAR)

Une demande d'accès de la personne concernée (DSAR) est un moyen pour les personnes d'exercer leurs droits et de connaître les informations qu'une organisation détient à leur sujet et la manière dont l'organisation utilise ces informations. 

Le DSAR est la procédure d'exercice du droit d'accès,pierre angulaire de la protection des données en vertu du règlement général sur la protection des données (RGPD) et de nombreuses autres lois dans le monde.

Mais si les rapports d'audit constituent un élément fondamental de la conformité en matière de protection des données, ils peuvent également représenter un défi majeur pour les organisations de toutes tailles. Votre réponse aux DSAR peut avoir un impact sur la réputation de votre organisation, et une mauvaise gestion des DSAR peut entraîner d'importants problèmes juridiques.

Cet article explique le fonctionnement de la DSAR, donne des exemples de réponse à la DSAR et fournit des conseils pour traiter les DSAR de manière efficace et conforme à la loi.

Qu'est-ce qu'une demande d'accès de la personne concernée (DSAR) ?

Un rapport d'activité permet aux personnes de savoir quelles données à caractère personnel une organisation détient à leur sujet, pourquoi l'organisation détient ces données, où elle les a obtenues et avec qui elle les partage, entre autres choses. Les RMDA contribuent à faire respecter les droits des personnes en matière de protection des données et de la vie privée en renforçant la transparence et la responsabilité.

Si vous envisagez de collecter ou d'utiliser des données à caractère personnel, vous devez toujours garder à l'esprit que les personnes ont le droit de savoir exactement quelles données vous avez collectées et à quelles fins vous les utilisez.

Un DSAR mal géré peut entraîner de graves problèmes. Les DSAR mal gérés figurent systématiquement parmi les sujets les plus fréquents de plaintes relatives au GDPR et peuvent entraîner une atteinte à la réputation, des amendes, voire des poursuites judiciaires.

Cependant, une bonne gestion des rapports d'activité peut aider votre organisation à établir une relation de confiance avec ses clients. Si vous avez mis en place de bonnes pratiques en matière de protection des données, un rapport d'évaluation est l'occasion de montrer à vos clients que vous respectez leurs droits et que vous prenez bien soin de leurs données.

Principaux éléments d'une demande d'accès d'une personne concernée

D'une manière générale, le rapport d'activité donne à la personne concernée deux droits :

1. une copie de leurs données personnelles, et
2. Des informations sur la manière dont le responsable du traitement traite leurs données à caractère personnel.

Au cas où vous ne seriez pas familier avec certains de ces termes :

• On entend par "données à caractère personnel" toute information relative à une personne physique identifiable.
• "Traiter" des données à caractère personnel signifie les collecter, les partager ou les utiliser de quelque manière que ce soit,
• La "personne concernée" est la personne à laquelle se rapportent les données à caractère personnel.
• Le "responsable du traitement" est l'organisation qui a décidé de traiter les données à caractère personnel.

L'article 15 du GDPR définit le type d'informations qu'une organisation doit fournir en réponse à un DSAR :

• Une copie des données personnelles que vous traitez à leur sujet. Il peut s'agir de nombreux types d'informations, notamment : du texte
  • Identifiants directs, tels que le nom de la personne concernée ou ses coordonnées
  • Identifiants uniques, comme un numéro de client, un nom d'utilisateur ou un numéro d'identification délivré par l'État
  • Informations sur les caractéristiques ou le comportement de la personne, telles que les données de santé, les données démographiques ou l'historique de navigation.
  • Informations techniques, telles que les données des cookies, les segments d'audience ou les identifiants des appareils et des publicités

• Informations sur la manière dont vous traitez leurs données à caractère personnel:du texte
  • Les raisons pour lesquelles vous traitez les données
  • Les types de données à caractère personnel que vous traitez
  • Tous les destinataires avec lesquels vous avez partagé les données
  • Durée de conservation des données
  • Les droits de la personne concernée en vertu du GDPR
  • Le droit de la personne concernée de se plaindre auprès d'une autorité de protection des données
  • Où avez-vous obtenu les données ?
  • Informations sur la "prise de décision automatisée" en vertu de l'article 22 du GDPR (le cas échéant)
  • Informations sur les "transferts internationaux de données" (le cas échéant)

Il n'est pas nécessaire de fournir toutes ces informations à chaque fois, mais si la personne concernée demande une information figurant sur cette liste, vous devez la fournir , sauf exception.

Exemple : DSAR soumis à une startup d'applications mobiles

MuscleTrack, une start-up spécialisée dans les applications de fitness, reçoit un courriel d'Anna, l'une des utilisatrices de l'application.

L'e-mail arrive au service commercial de MuscleTrack et se lit comme suit : "Bonjour, j'ai lu un article sur les trackers de fitness qui vendent les données de santé des gens. S'il vous plaît fournir une copie de toutes les données collectées par FitTrack et dites-moi à qui vous les avez avec qui vous avez partagé ces données". Anna fournit également son nom d'utilisateur.

Bien que le courriel ne mentionne pas le GDPR, le représentant commercial de MuscleTrack le reconnaît comme un DSAR et le transmet au service juridique de l'entreprise. Bien que MuscleTrack dispose d'un portail de demande de DSAR dédié dans l'application, l'équipe juridique accepte le DSAR par courrier électronique.

Le DSAR provient d'une adresse électronique associée au compte d'Anna et comporte son nom d'utilisateur, de sorte que le service juridique est convaincu que la demande n'est pas frauduleuse. 

Le service juridique répond à Anna en reconnaissant l'étendue de sa demande et en lui fixant un délai pour répondre à son DSAR.

Le service juridique ouvre un nouveau dossier dans un système interne de suivi du DSAR pour aider à suivre la demande d'Anna. Il contacte des collègues d'autres services concernés pour recueillir les données personnelles. Une fois les données rassemblées, le service juridique les examine et supprime toute référence à d'autres personnes concernées.

Les données personnelles sont téléchargées sur une plateforme sécurisée de partage de fichiers. Le service juridique envoie à Anna un lien restreint vers la plateforme afin qu'elle puisse accéder à ses données personnelles. Ils mettent à jour le système interne de suivi du DSAR de MuscleTrack et clôturent le dossier un mois après le dernier contact avec la personne concernée.

Quand et pourquoi soumettre une DSAR ?

Le considérant 63 du GDPR indique que les DSAR permettent à la personne concernée "d'être informée de la licéité du traitement et de la vérifier". En d'autres termes, l'objectif d'un rapport d'évaluation est de permettre à la personne concernée de vérifier si le responsable du traitement ne fait rien d'illégal avec ses données à caractère personnel.

Mais la "vérification de la licéité du traitement" est-elle la seule raison valable pour soumettre un rapport d'activité ? Cette question a été tranchée par la Cour de justice de l'Union européenne (CJUE) en octobre 2023 dans l'affaire FT v DW.

Le demandeur, FT, a soumis un rapport d'activité à son dentiste, DW, car il soupçonnait qu'une mauvaise intervention dentaire avait endommagé ses dents. DW a déclaré que cette déclaration n'était pas valable parce qu'il pensait que FT rassemblait des preuves en vue d'une action en justice et ne vérifiait pas la licéité du traitement des données, comme le précise le considérant 63.

Le tribunal a donné raison au patient. Le jugement explique que le GDPR ne limite pas les raisons de soumettre un DSAR. En effet, le GDPR "n'exige pas de la personne concernée qu'elle motive sa demande". 

Une personne peut soumettre un rapport d'activité à tout moment, et il existe de nombreuses raisons de le faire, notamment

• Connaître les données à caractère personnel qu'un responsable du traitement a collectées à leur sujet
• S'assurer que les données personnelles sont exactes
• Déterminer où le responsable du traitement a obtenu les données à caractère personnel

Toutefois, il existe également des raisons valables pour qu'un responsable du traitement refuse de se conformer à une DSAR, comme nous l'expliquons ci-dessous.

Guide étape par étape pour la soumission d'une DSAR

Examinons maintenant le processus de DSAR du point de vue de la personne concernée. 

Le GDPR exige très peu de la personne concernée au cours du processus de DSAR. 

• Il n'y a pas de délai pour introduire une demande.
• Pratiquement toutes les données à caractère personnel sont concernées. Le responsable du traitement doit fournir toutes les données demandées qu'il détient, à quelques exceptions près.
• La personne concernée peut soumettre un formulaire DSAR par pratiquement n'importe quel moyen, que ce soit en face à face ou par courriel, média social, courrier postal ou téléphone. Le responsable du traitement peut fournir un formulaire de DSAR mais ne peut pas obliger les personnes concernées à l'utiliser.

Voici quelques moyens par lesquels les personnes concernées peuvent aider les responsables du traitement à fournir avec succès les données à caractère personnel demandées :

• Soyez aussi précis que possible. Un responsable du traitement aura beaucoup plus de facilité à traiter une demande du type "Veuillez fournir une copie des messages directs envoyés à partir de mon compte le 18 janvier 2025" que "Veuillez fournir toutes mes données à caractère personnel". Bien que cette dernière demande soit probablement valable, elle pourrait prendre beaucoup plus de temps à satisfaire.
• Être prêt à fournir une pièce d'identité. Les responsables du traitement doivent être certains qu'ils fournissent des données à caractère personnel à la bonne personne. Bien que le responsable du traitement doive s'efforcer de vérifier la personne concernée sur la base des données à caractère personnel dont il dispose déjà, une vérification supplémentaire de l'identité est parfois nécessaire.
• Soyez poli. Le traitement d'une DSAR peut être difficile. Les contrôleurs peuvent refuser des demandes sous certaines conditions. Le fait d'être courtois et coopératif peut contribuer à l'aboutissement de la demande.

Comment les organisations doivent-elles répondre à une DSAR ?

Examinons maintenant chaque étape du processus DSAR du point de vue du contrôleur.

Reconnaître une DSAR

Peu de gens savent ce qu'est un DSAR ou comprennent leurs droits en vertu du GDPR. Par conséquent, la personne concernée n'a pas besoin d'utiliser des termes tels que "DSAR", "accès" ou même "données à caractère personnel" lorsqu'elle fait une demande de DSAR.

Comme nous l'avons indiqué, les DSAR peuvent arriver par n'importe quel moyen de communication, de sorte que n'importe lequel de vos employés peut en recevoir un. C'est l'une des raisons pour lesquelles la sensibilisation et la formation à la protection des données sont importantes pour toutes les organisations.

Si vous comprenez que la personne concernée souhaite accéder à ses données à caractère personnel, vous devez traiter la demande comme un DSAR. Si la demande n'est pas claire, vous pouvez demander à la personne concernée de la clarifier. Mais ne négligez pas une demande parce que la personne concernée n'utilise pas la "bonne" langue.

Vérification de l'identité de la personne concernée

Le GDPR stipule que si vous avez des "doutes raisonnables", vous pouvez demander des informations supplémentaires pour vérifier l'identité de la personne concernée. Cette partie du processus de DSAR peut s'avérer étonnamment délicate.

Si vous ne vérifiez pas l'identité de la personne concernée, vous risquez de l'exposer à une usurpation d'identité. Mais la collecte de données inutiles à des fins de vérification est contraire au principe de "minimisation des données" du GDPR et peut dissuader les personnes d'exercer leurs droits.

En 2022, une entreprise néerlandaise a été condamnée à une amende de 525 000 euros pour avoir demandé aux personnes concernées de fournir des documents d'identité délivrés par le gouvernement afin d'accéder à des données relativement peu risquées, telles que des noms et des adresses électroniques.

D'autre part, l'autorité de régulation espagnole a condamné une banque à une amende de 25 000 euros pour avoir commis l'erreur inverse : avoirtransmis des données personnelles à la mauvaise personne après avoir omis de vérifier l'identité de la personne concernée.

Voici quelques conseils de vérification du RMDA pour vous aider à trouver le bon équilibre :

• Considérez les risques potentiels liés à la communication des données personnelles pertinentes à la mauvaise personne. Plus les données personnelles demandées sont sensibles, plus votre processus de vérification doit être rigoureux.
• Rappelez-vous que vous ne devez demander des données personnelles supplémentaires pour la vérification que si elles sont "nécessaires" et si vous avez des "doutes raisonnables" quant à l'identité de la personne concernée.
• Vous pourriez être en mesure de vérifier l'identité de la personne concernée en utilisant les moyens suivants les données personnelles dont dispose déjà votre entreprise. Dans le cadre de la procédure de vérification, vous pouvez demander à la personne concernée de fournir : un texte
  • Utiliser un formulaire web ou un portail qui n'est accessible qu'à partir de leur compte,
  • Soumettre leur DSAR par l'intermédiaire d'une adresse électronique associée à leur compte, ou
  • Confirmez les détails de leurs achats récents auprès de votre entreprise ou toute autre activité sur leur compte.

Examen de la demande

Une fois que vous avez reçu un rapport d'activité et vérifié l'identité de la personne concernée (si nécessaire), vous devez vous assurer que vous comprenez quelles sont les données à caractère personnel recherchées par la personne concernée.

Si la demande n'est pas claire, vous pouvez demander à la personne concernée de la clarifier. Si la demande aboutit à un volume très important de données à caractère personnel, vous pouvez demander à la personne concernée de restreindre sa demande, par exemple en limitant le rapport d'activité à une période ou à un type de données à caractère personnel particulier.

Toutefois, comme l'indique le bureau du commissaire à l'information du Royaume-Uni (ICO) : 

"...vous ne pouvez pas obliger une personne à restreindre le champ de sa demandecar elle a toujours le droit de demander "toutes les informations que vous détenez" à son sujet. Si une personne vous répond et réitère sa demande ou refuse de fournir des informations supplémentaires, vous devez quand même vous conformer à sa demande en effectuant des recherches raisonnables pour obtenir les informations".

En tant que tel, vous ne devez pas faire pression sur la personne concernée pour qu'elle limite sa demande. Le droit d'accès est complet et, en théorie, il permet à la personne concernée d'avoir accès à toutes les données à caractère personnel que vous traitez à son sujet.

Collecte des données personnelles

La collecte des données personnelles nécessaires pour répondre à une DSAR peut prendre quelques minutes ou quelques mois, en fonction de la complexité de la demande et de la quantité de données personnelles.

Voici quelques exemples de rapports d'activité difficiles qui sont probablement valables, maisdont la réalisation pourrait nécessiter beaucoup de ressources :

• Un ancien employé demande des copies de tous les courriels, messages de chat et documents mentionnant son nom.
• Une personne vulnérable demande toutes les informations enregistrées à son sujet auprès de plusieurs services publics, dont certaines sont archivées dans des dossiers papier.
• Un demandeur de prêt débouté demande toutes les données personnelles qui ont contribué à la décision de prêt, ainsi que des informations sur la logique impliquée dans l'algorithme d'évaluation du crédit.

Lorsque vous recueillez des données à caractère personnel pour un rapport d'activité, n'oubliez pas que la définition des "données à caractère personnel" est très large. Elle inclut tout ce qui vous permet d'identifier la personne concernée (y compris lorsqu'elles sont combinées à d'autres données à caractère personnel accessibles à votre organisation).

De solides pratiques de gouvernance des données constituent une base solide pour faciliter les DSAR. La récupération des données personnelles est beaucoup plus facile si les données de votre organisation sont bien organisées et accessibles, si vous limitez le nombre d'applications logicielles utilisées par vos employés et si vous découragez l'utilisation d'appareils personnels.

Une DSAR peut impliquer de nombreuses équipes et de nombreux services au sein de votre organisation. Si votre organisation reçoit régulièrement des DSAR, vous devez mettre en place un processus de communication entre les services et de coopération.

Les logiciels d'entreprise spécialisés peuvent aider à suivre et à gérer le processus de DSAR en s'intégrant aux applications de messagerie électronique, de messagerie instantanée et de stockage en nuage les plus répandues, afin de faciliter la récupération des données personnelles.

Suppression des données concernant d'autres personnes

L'un des aspects les plus fastidieux de la réponse à une DSAR est la suppression des données à caractère personnel concernant des personnes autres que l'auteur de la demande.

L'article 15, paragraphe 4, dispose que les responsables du traitement ne doivent pas "porter atteinte aux droits et libertés d'autrui" lorsqu'ils répondent à une DSAR. Cela signifie qu'en général, la réponse ne doit pas contenir de données à caractère personnel concernant d'autres personnes.

Par exemple, si la personne concernée a demandé des copies de courriels contenant des noms ou des données à caractère personnel d 'autres personnes , vous devez expurger les courriels afin qu'ils ne contiennent que des données à caractère personnel concernant l'auteur de la demande.

Cette question est également abordée dans les lois nationales de certains pays. Par exemple, la loi britannique sur la protection des données (Data Protection Act 2018) stipule que vous ne pouvez divulguer des données personnelles concernant une autre personne en réponse à un DSAR que si :

• L'autre personne a consenti à la divulgation; ou
• Il est raisonnable de donner suite à la demande sans le consentement de cette personne.

L'approche la plus sûre consiste généralement à expurger les données personnelles des tiers à l'aide d'une méthode d'expurgation sécurisée et non réversible.

Fournir les données personnelles

Le GDPR ne fournit pas beaucoup de règles fermes sur la manière de fournir des données personnelles lors de l'établissement d'un DSAR.

L'article 12, paragraphe 1, stipule que les responsables du traitement doivent fournir les données à caractère personnel demandées : 

• "Par écrit", 
• par "moyens électroniques", le cas échéant, ou 
• "oralement", à la demande de la personne concernée, si elle a vérifié son identité "par d'autres moyens".

Le considérant 63 précise que "dans la mesure du possible", le responsable du traitement doit transmettre les données à caractère personnel en donnant à la personne concernée "un accès à distance à un système sécurisé". Envisagez donc de transmettre des données à caractère personnel par l'intermédiaire d'une plateforme de partage de fichiers cryptée.

Si vous devez fournir les données à caractère personnel demandées par courrier électronique, pensez à utiliser des pièces jointes protégées par un mot de passe et à envoyer le mot de passe par un courrier électronique distinct.

Respecter ou prolonger le délai

Voici les principes généraux concernant les délais pour remplir une DSAR :

• Vous devez remplir un formulaire DSAR "sans retard injustifié et, en tout état de cause, dans un délai d'un mois à compter de sa réception".
• Vous pouvez prolonger le délai de deux mois supplémentaires si nécessaire, en fonction de "la complexité et du nombre des demandes".
• Si vous avez décidé de prolonger le délai, vous devez en informer la personne concernée dans le délai initial d'un mois.

Il est conseillé d'accuser réception de la DSAR dès que vous la recevez.

Si vous devez clarifier la demande ou vérifier l'identité de la personne concernée, certains régulateurs indiquent que vous pouvez "arrêter l'horloge" jusqu'à ce que ce processus soit terminé. Toutefois, ces conseils varient d'un pays à l'autre et il est donc préférable de vérifier auprès de l'autorité de protection des données de votre pays.

Le fait de ne pas remplir les DSAR à temps peut avoir des conséquences. En décembre 2022, une société suédoise de recouvrement de créances, Alektum Oy, a été condamnée à une amende de 750 000 euros pour avoir à plusieurs reprises remis des DSAR en retard ou les avoir complètement ignorés.

Refuser une DSAR ou exiger une redevance

Si un rapport d'activité est "manifestement infondé ou excessif", vous pouvez le faire :

• Refuser de s'en occuper, ou
• Prélever une redevance pour couvrir les frais administratifs.

Le GDPR ne fournit pas beaucoup de détails sur ce qui constitue un "DSAR manifestement infondé ou excessif", si ce n'est qu'il indique que cela inclut les demandes "répétitives". 

La Commission irlandaise de protection des données (DPC) donne l'interprétation suivante :

• "Manifestement infondée" signifie que "la demande ne concerne pas du tout des données à caractère personnel... ou, bien qu'elle concerne des données à caractère personnel, il est évident que ces données ne sont pas traitées par vous".
• Le terme "excessif" signifie que la demande est répétitive ou qu'elle va au-delà de ce qui est "raisonnable en termes de temps et d'argent, compte tenu des circonstances de l'affaire".

L'ICO britannique suggère que les responsables du traitement peuvent envisager de refuser un rapport d'activité si la personne concernée "déclare explicitement" que la demande est destinée à causer des perturbations ou si la personne concernée "vise un employé en particulier contre lequel elle a une rancune personnelle". Mais la charge de la preuve incombe au responsable du traitement.

Si vous décidez de refuser ou de facturer une demande, vous devez en informer la personne concernée dans le délai initial d'un mois. 

La barre de refus d'un DSAR est haute, et un refus peut amener la personne concernée à se plaindre auprès de son autorité de régulation. Il est donc souvent plus facile de répondre à la DSAR que de refuser d'y donner suite.

Questions fréquemment posées sur les rapports d'évaluation de la qualité des services (DSAR)

Quelles sont les sanctions en cas d'absence de réponse à une DSAR ?

Les violations impliquant des DSAR peuvent être sanctionnées par le niveau le plus élevé des pénalités du GDPR, à savoir :

• Jusqu'à 20 millions d'euros, ou
• Jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent

Les régulateurs disposent d'un éventail d'autres sanctions, allant de la réprimande à l'injonction au responsable du traitement de cesser de traiter des données à caractère personnel.

Quelles sont les règles concernant les autres types de demandes liées au GDPR ?

Outre la soumission d'un rapport d'activité en vertu du droit d'accès, les personnes peuvent exercer divers autres droits sur leurs données à caractère personnel en vertu du GDPR et d'autres lois sur la protection des données. Par exemple :

• Le droit à l'effacement: Les personnes peuvent vous demander de supprimer les données à caractère personnel les concernant sous certaines conditions, par exemple si vous n'avez plus besoin de ces données pour l'objectif initial ou si vous les avez traitées de manière illégale.
• Le droit de rectification: Les personnes peuvent vous demander de corriger des données personnelles inexactes les concernant, de mettre à jour des données personnelles obsolètes ou de compléter des données personnelles incomplètes.
• Le droit à la portabilité des données: Les personnes peuvent demander une copie portable, "lisible par machine", de leurs données à caractère personnel, et peuvent également demander à ce qu'elles soient transférées à un autre responsable du traitement.

La même approche de base, les mêmes délais et les mêmes exceptions s'appliquent au traitement des demandes au titre de ces autres droits : Vous aurez besoin d'une base solide de bonne gouvernance des données, de la sensibilisation des employés et d'une communication transparente.

Un DSAR peut-il être soumis par quelqu'un d'autre au nom d'une personne ?

Oui. Le GDPR n'interdit pas à la personne concernée de faire soumettre son DSAR par quelqu'un d'autre, tel qu'un parent, un soignant ou un avocat. Toutefois, le responsable du traitement doit avoir la certitude que la personne concernée en a fait la demande et doit documenter son évaluation de l'identité du tiers.

Pour prouver qu'il agit au nom de la personne concernée, le tiers peut présenter une lettre signée par la personne concernée, fournir la preuve qu'il a une procuration ou démontrer qu'il est le parent ou le tuteur de la personne concernée, selon les circonstances.

Que faut-il inclure dans une réponse à la DSAR ?

La réponse au rapport d'activité doit contenir les données à caractère personnel ou les autres informations demandées par la personne concernée. Une bonne pratique consiste à inclure une vue d'ensemble de la demande, y compris les dates auxquelles la personne concernée a contacté votre organisation et un résumé de toutes les communications avec la personne concernée.

À quelle fréquence les particuliers peuvent-ils soumettre des rapports d'activité ?

Il n'y a pas de limite au nombre de DSAR qu'une personne peut soumettre. Toutefois, le responsable du traitement peut facturer des frais administratifs ou refuser de donner suite à une demande jugée "excessive", en particulier si la demande est répétitive.

Le GDPR autorise également le responsable du traitement à facturer des frais administratifs pour la fourniture de copies multiples des mêmes données à caractère personnel.

Chaque DASR doit être examinée au cas par cas, et une DASR ne doit pas être refusée au seul motif que la personne concernée a déjà présenté une DASR auparavant.

Quelles sont les exceptions à l'obligation de remplir une DSAR ?

Le responsable du traitement n'est pas tenu de donner suite à une DSAR qui est "manifestement infondée ou excessive". Par exemple, si la personne concernée tente délibérément de provoquer des perturbations, si elle en veut à un employé en particulier ou si elle a soumis de nombreux rapports d'activité dans un court laps de temps.

La législation nationale de chaque pays peut également prévoir des exceptions au "droit d'accès". Par exemple, l'annexe 2 de la loi britannique sur la protection des données de 2018 prévoit des exceptions limitées dans les domaines suivants :

• Criminalité et fiscalité
• L'immigration
• Sécurité publique

Dans chaque cas, l'exception ne s'applique que dans des circonstances spécifiques. Par exemple, lorsque le respect de la DSAR risque de compromettre l'issue d'une enquête criminelle.

Bonnes pratiques pour une gestion efficace des rapports d'activité

Voici quelques conseils pour aider votre organisation à bien gérer les rapports d'activité :

• Mettre en œuvre des stratégies de gouvernance des données pour que les données personnelles soient bien organisées et accessibles.
• Fournir un formulaire standardisé ou un portail web pour l'envoi des DSAR (mais n'oubliez pas que vous ne pouvez pas forcer la personne concernée à l'utiliser).
• Fournir une formation régulière sur la protection des données afin d'aider les employés à reconnaître et à faciliter les rapports d'évaluation de la sécurité des données (DSAR).
• Élaborer une politique claire et documentée de gestion des DSAR.
• Envisagez d'utiliser un logiciel spécialisé pour faciliter le suivi et l'exécution des demandes de DSAR.
• Vérifiez l'identité de la personne concernée si vous avez des doutes raisonnables sur son identité, mais ne demandez pas de données personnelles excessives à des fins de vérification.
• Tenir les personnes concernées informées tout au long de la procédure et répondre dans les délais obligatoires.
• Utiliser une plateforme sécurisée de partage de fichiers pour fournir les données personnelles demandées, le cas échéant.

De nombreux DSAR proviennent de clients mécontents ou d'anciens employés lésés. Gérer le processus de DSAR de manière utile et efficace peut contribuer à améliorer l'impression que la personne concernée a de votre organisation. Inversement, une mauvaise gestion d'un DSAR peut nuire à la réputation de l'entreprise et entraîner des problèmes juridiques.

Garantir la conformité et la transparence grâce à une gestion efficace du DSAR

Le "droit d'accès" est un moyen essentiel d'aider les individus à garder le contrôle de leurs données personnelles depuis les toutes premières lois sur la protection des données. 

Faciliter les DSAR est un élément majeur de la conformité au GDPR et l'une des obligations les plus importantes des responsables du traitement. Il est compréhensible que les gens s'énervent si un responsable du traitement ne respecte pas les délais, ne fournit pas les données à caractère personnel ou refuse un rapport d'évaluation sans raison valable.

Grâce à une bonne gouvernance des données, à des politiques claires en matière de protection des données et à des employés bien informés et responsive , votre organisation peut faire des rapports d'audit et d'évaluation une occasion de renforcer la confiance des clients tout en évitant les risques juridiques et les atteintes à la réputation.

Ressources complémentaires

• Bureau du commissaire à l'information (ICO) : Guide de l'accès aux documents
• Conseil européen de la protection des données (CEPD) : Lignes directrices 01/2022 sur les droits des personnes concernées - Droit d'accès
• Commission irlandaise de protection des données (DPC) : Subject Access Requests : Guide du contrôleur de données