Répondre à une demande de droit d’accès

Chaque personne dont les données personnelles font l’objet d’un traitement, peut obtenir une copie de ses données. Pour exercer son droit d’accès, la personne demanderesse doit justifier de son identité. Joindre un document officiel pour prouver son identité, n’est pas forcément obligatoire. En effet, l’identité de la personne peut éventuellement être établie par la présentation d’un numéro client ou tout autre élément permettant d’identifier l’abonné à un service. Ainsi, si la personne effectue sa demande depuis un espace sur lequel elle s’est préalablement authentifiée, elle n’aura pas à présenter une pièce justificative puisque il s’agit de son espace personnel. Si la présentation d’une pièce d’identité n’est pas systématique, en cas de doute « raisonnable », le responsable du traitement peut exiger « que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée ».

La réponse à un droit d’accès doit être effectuée « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande ». Si la demande est complexe ou si le nombre de demandes transmises au responsable du traitement est important, « ce délai peut être prolongé de deux mois ». Dans ce cas de figure, vous devez cependant respecter l’obligation d’informer la personne dans un délai d’un mois après réception de sa demande initiale. La gestion des réponses aux droits d’accès nécessite au préalable la mise en place d’une gestion interne afin de traiter les demandes dans les délais imposés par le RGPD. APM, notre logiciel de conformité RGPD est doté d’un gestionnaire de tâches qui permet la mise en place de telles procédures afin d’être alerté dans les délais impartis.

Dans le cadre d’une demande d’accès, la reproduction des informations transmises
sous format papier ne doit faire l’objet d’aucun paiement en contrepartie. En
effet, c’est le principe de gratuité qui s’applique. Cependant, si les demandes
sont infondées ou excessives (caractère répétitif), le responsable du
traitement peut exiger le « paiement de frais raisonnables basés sur
les coûts administratifs » ou refuser de donner suite aux requêtes. Dans ce
cas, le responsable de traitement doit être en mesure de prouver « le caractère manifestement infondé ou excessif de la
demande ».

Enfin, le destinataire doit pouvoir
comprendre aisément la teneur des informations qui lui sont transmises. Elles
doivent être compréhensibles et clairement lisibles.

Répondre à un droit d’accès implique donc l’installation d’un véritable processus qui s’intègre dans la politique de Gouvernance RGPD. Nos consultants juristes peuvent vous accompagner dans la mise en œuvre de dispositifs efficaces pour piloter la conformité de votre organisme, alors n’hésitez pas, contactez-nous !


Actualité du Groupe


10 mai 2019 : L’outil APM dévoile toutes ses fonctionnalités lors du Congrès : “Compliance & Technologie” de l’IRC
10 avril 2019 : La Minute RGPD : Le registre du traitement
10 avril 2019 : MEET’UP RGPD À TOULOUSE : ENCORE QUELQUES PLACES DISPONIBLES !
10 avril 2019 : NOUVELLE FORMATION E-LEARNING : LES BAILLEURS SOCIAUX ET LE RGPD
10 avril 2019 : LE 23 AVRIL : ACTECIL NOUVELLE-CALÉDONIE VOUS INVITE À UN PETIT DÉJEUNER RGPD GRATUIT
10 avril 2019 : RGPD & MARKETING : OPT-IN, OPT-OUT, DOUBLE OPT-IN : QUAND LES UTILISER ?
10 avril 2019 : Le danger des fichiers Excel dans la gestion des Ressources Humaines
13 mars 2019 : La Minute RGPD : La certification des compétences du DPO
13 mars 2019 : L’HÉBERGEMENT DES DONNÉES DE SANTE (HDS)
13 mars 2019 : PROFITER DU BREXIT POUR RAPPELER LES RÈGLES LIÉES AUX FLUX HORS UE
accueil Blog Actu-CIL