L’enjeu du droit d’accès
Le RGPD est une opportunité pour les organisations avec la mise en place de stratégies spécifiques pour la gestion, la protection et l’utilisation des données personnelles de leurs clients / utilisateurs. L’article 15 (droit d’accès) permet à toute personne résidant dans l’Union Européenne et dont une organisation détient ses données personnelles de demander un accès à ces dernières.
L’objectif de cet article est de permettre aux individus de reprendre le contrôle sur leurs données personnelles, avec la possibilité de savoir lesquelles sont utilisées par les organisations et dans quelles finalités. Une entreprise qui refuserait ou faillirait à répondre au “droit d’accès” s’expose à de lourdes peines administratives, au moins 20 millions d’euros et au plus 4% du chiffre d’affaires annuel mondial de l’exercice précédent.
Vous voulez tout savoir sur le RGPD ?
Le droit d’accès aux données personnelles est stratégique pour les organisations, notamment au vu du risque financier, mais aussi parce qu’il peut améliorer la confiance et la relation client.
Dès que le RGPD entrera en application, le délai pour répondre à une demande d’accès aux données personnelles sera réduite à un mois. Les entreprises vont devoir s’organiser pour pouvoir répondre en temps et en heure aux demandes de leurs clients.
L’article 15 du RGPD “Droit d’accès de la personne concernée” permet à la personne concernée de demander au responsable du traitement la confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Dans le cas où elles le seraient, l’accès à ces données doit être assuré, ainsi qu’aux informations suivantes :
- les finalités du traitement de ces données
- de quelles catégories sont les données personnelles utilisées
- les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, notamment pour les destinataires situés dans des pays tiers ou organisations internationales
- dans la mesure du possible, le temps de conservation des données envisagé ou, si possible, les critères utilisés pour déterminer cette durée
- la possibilité de demander au responsable du traitement de rectifier ou de supprimer des données personnelles, ou une limitation de l’utilisation de celles-ci
- le droit d’entamer une procédure de réclamation auprès d’une autorité de contrôle
- toute information disponible quant à la source d’où proviennent des données personnelles qui ne sont pas collectées auprès de la personne concernée
- l’existence d’un moyen de profilage ou d’action automatisée, la logique de cette utilisation et les conséquences prévues de ce traitement pour la personne concernée.
Ce droit d’accès permet aux utilisateurs de retrouver confiance dans les organisations avec lesquelles ils partagent des données personnelles. En sachant qu’il pourront avoir accès aux données partagées, qu’ils pourront demander à les effacer (droit à l’oubli) ou de demander à les utiliser pour d’autres services (droit à la portabilité), les utilisateurs permettront plus facilement l’utilisation de leurs données personnelles, en toute sécurité.
Questions à se poser
- Mon organisation a-t-elle les moyens de répondre à une demande d’accès ?
- Le responsable des traitements connaît-il les informations à fournir en cas de demande ?
