Un jour, cela arrive : un client, un candidat ou un collègue demande quelles données vous détenez sur lui, ou veut les faire modifier ou supprimer. C'est une demande d'exercice de droits, et le RGPD donne aux personnes le droit de la formuler. Tu n'as pas à la régler juridiquement toi-même, mais tu dois la reconnaître et la transmettre correctement. Cet article explique ces droits et ce que tu fais quand une telle demande t'arrive.
Les droits des personnes, en bref
Le RGPD donne aux personnes plusieurs droits sur leurs propres données. Les principaux rencontrés en pratique :
- Accès : une personne peut demander quelles données tu détiens sur elle et à quelles fins tu les utilises.
- Rectification : si des données sont inexactes, une personne peut demander de les corriger.
- Effacement : dans certains cas, une personne peut demander la suppression de ses données (le "droit à l'oubli").
- Opposition : une personne peut s'opposer à certains usages de ses données.
- Portabilité : dans certains cas, une personne peut récupérer ses données dans un format réutilisable.
Comment reconnaître une telle demande ?
Une demande relative à la vie privée arrive rarement bien étiquetée "demande RGPD". Ce peut être un e-mail ordinaire ("pouvez-vous supprimer mes données ?"), une remarque au téléphone, ou une question via un formulaire de contact ou les réseaux sociaux.
C'est précisément pourquoi la reconnaissance compte. Dès qu'une personne demande quelque chose sur ses propres données, ce que tu détiens, si elles peuvent disparaître, si elles sont exactes, c'est une demande d'exercice de droits, même si elle n'emploie jamais le mot.
Que fais-tu quand elle t'arrive ?
Le plus important : n'essaie pas de la traiter toi-même, mais transmets-la aussitôt à la bonne personne. Dans la plupart des organisations, c'est le délégué à la protection des données ou un point de contact central. Ils connaissent les étapes et les délais applicables.
Pourquoi transmettre plutôt que faire soi-même ? Parce qu'une telle demande s'accompagne d'exigences légales et de délais. Une organisation doit en principe répondre dans un délai d'un mois, et doit d'abord vérifier l'identité du demandeur. Ne divulgue donc jamais de données toi-même, aussi aimable que paraisse la demande.
Le piège : divulguer des données à la mauvaise personne
Une demande d'exercice de droits peut aussi être une méthode d'attaque. Un escroc se fait passer pour un client et réclame "toutes mes données", en espérant qu'un collaborateur serviable les envoie sans vérifier. Le droit d'accès est ainsi détourné pour s'emparer de données.
C'est pourquoi la vérification d'identité accompagne chaque demande, et transmettre à la bonne équipe n'est pas de la bureaucratie mais de la protection. Traite une demande avec sérieux et prudence : avec sérieux car c'est un droit, avec prudence car tu ne confies pas des données à un inconnu.
Un plan d'action simple
Quand tu reçois une demande relative à la vie privée, suis ces étapes :
- Reconnais-la : la question porte-t-elle sur les propres données d'une personne ? Alors c'est une demande.
- Ne divulgue aucune donnée toi-même et ne confirme aucun détail.
- Transmets-la aussitôt au délégué à la protection des données ou au point de contact central.
- Note la date et le contenu, pour que le délai parte du bon moment.
- Tu doutes que ce soit une demande ? Par précaution, traite-la comme telle et renseigne-toi.
Comment ancrer cela dans ton programme de sensibilisation
Beaucoup de collaborateurs ignorent qu'une question ordinaire peut être une demande relative à la vie privée. Dans ton programme, montre concrètement à quoi ressemble une telle demande, et surtout que la transmettre est le bon réflexe, pas la régler soi-même.
Associe cela à une seule voie de transmission connue. Plus il est clair où une demande doit aller, plus le risque qu'on confie des données à la mauvaise personne par serviabilité diminue.
Articles connexes
- Qu'est-ce que le RGPD et ce qu'il signifie pour toi ?
- Reconnaître les données personnelles dans ton travail quotidien
FAQ
Dois-je traiter moi-même une demande relative à la vie privée ?
Non. Transmets-la aussitôt au délégué à la protection des données ou au point de contact central. Une demande comporte des délais légaux et une vérification d'identité qu'ils gèrent correctement.
Dans quel délai une organisation doit-elle répondre ?
En principe dans un délai d'un mois après réception. Pour des demandes complexes ou nombreuses, ce délai peut être prolongé, mais le demandeur doit en être informé. C'est pourquoi le moment de réception compte ; note-le.
Et si je doute que la personne soit bien celle qu'elle prétend ?
Alors ne divulgue aucune donnée. La vérification d'identité accompagne chaque demande ; les escrocs détournent justement le droit d'accès pour obtenir des données. Transmets la demande, la bonne équipe se chargera de la vérification.
Une demande par réseaux sociaux ou téléphone compte-t-elle aussi ?
Oui. Une demande relative à la vie privée n'a pas de forme imposée ; elle peut arriver par e-mail, téléphone, formulaire ou réseaux sociaux. Dès qu'une personne interroge sur ses propres données, traite-la comme une demande et transmets-la.
Une personne peut-elle toujours exiger l'effacement de ses données ?
Pas toujours. Le droit à l'effacement s'applique dans certains cas, mais parfois une organisation doit ou peut conserver des données, par exemple en raison d'une obligation légale de conservation. Le délégué à la protection des données l'apprécie au cas par cas.