Les statistiques publiées par les différentes autorités de protection des données des Etats membres de l’UE illustrent clairement l’appropriation par les personnes concernées de leurs droits.
Des sanctions pour réponse tardive
L’examen de leur jurisprudence témoigne en revanche de difficultés persistantes, à l’autre bout de la ligne. En effet, de plus en plus de réponses tardives, imputées par les responsables de traitement à un adressage erroné de la demande, sont sanctionnées (GPDP, 7 mars 2024, Banca popolari di Bari S.p.a., n° 10009296 ; Délibération de la formation restreinte n°SAN-2021-021 du 28 décembre 2021 ; AP, 30 juillet 2020, n° z2019-28837 ; BlnBDI, 9 février 2023, n° 631.457.4 521.14765.10).
A la lecture des lignes directrices n° 01/2022 du CEPD, la messe semble pourtant dite. Dès lors qu’elle est adressée à un acteur du traitement, le délai posé par l’article 12 du RGPD court. La solution est logique, au regard du principe de responsabilité, de l’obligation de sensibilisation des personnels et de coopération des sous-traitants.
Elle reste pour autant sévère, dans des cas – marginaux, mais réels – où les saisines sont reçues sur les adresses mails de personnels en congés, malades, etc.
Alors comment réduire ce risque juridique?
Plusieurs moyens, souvent cumulatifs existent:
0️⃣ Etablir et diffuser une politique de gestion des demandes : le document doit indiquer comment reconnaître et traiter une demande RGPD
1️⃣ Sensibiliser le personnel : toute l’organisation doit savoir reconnaître une demande RGPD et à qui l’adresser
2️⃣ Faciliter l’exercice des droits par les personnes : trop de responsables de traitement n’affichent pas clairement les coordonnées de la personne en charge de traiter les demandes. Plus elles sont délicates à trouver, plus le niveau de risque croît
3️⃣ Gérer les adresses « inutilisées » : toute boîte mail pouvant recevoir des messages doit être relevée. Désactivez ou détruisez celles ne pouvant être relevées
4️⃣ Créer des alias / renvois pour des adresses « génériques » RGPD : peu importe l’identité et l’adresse mail de la personne en charge des demandes RGPD, in fine. Tous les messages circulant vers des adresses du type « rgpd@ », « dpd@ » ou leur version anglaise devrait être réorientée vers cette personne. Pourquoi? parce que souvent, il existe un « catch all » qui oriente les mails adressés à des boîtes inexistantes vers une adresse « poubelle ».
❌ Ce qu’il ne faut pas faire ❌
🚫 Cacher les coordonnées du DPD, en espérant ainsi réduire le nombre de demandes
🚫 Déléguer à un tiers le soin de répondre, en considérant que cela vaut « transfert du risque » (transfert qui a – à juste titre – été « rebaptisé », dans l’ISO27005 « partage »)
🚫 Se dédouaner en considérant que le responsable de traitement est seul responsable : tout sous-traitant doit apporter son assistance à son mandant, ce qui implique de coopérer avec lui sur ces points
🚫 Ne pas réclamer – sauf doute raisonnable sur l’identité du requérant – de justificatifs d’identité
Avez-vous eu à gérer de telles situations? Des RETEX, des solutions différentes? Partagez-les en commentaires.
Des demandes délicates à gérer ? Des interrogations sur vos politiques de gestion des demandes ? Vous vous posez des questions sur la conformité de vos traitements? Vous souhaitez vous préparer à un éventuel contrôle? Des interrogations sur la conformité de votre activité ? N’hésitez pas à me contacter.