Comme mentionné précédemment, le droit d’accès comprend plusieurs aspects, notamment le contenant et le contenu. (Voir droit d’accès partie 1/4) comment gérer et organiser de telles demandes ?
a) L'organisation du droit d'accès
Cette préparation se matérialise par une cartographie des ‘‘inputs’’ et des ‘‘outputs’’. D’une manière certaine il est question de schématiser et de documenter le cycle de vie des données à caractère personnel (d.à.c.p.) présentes dans votre système. La cartographie des entrées (inputs) consiste essentiellement à contrôler tout ce qui entre dans votre structure. Que ce soit par voie physique (formulaire contenant des données personnelles) ou par la voie immatérielle (via un site web, ou tout autres moyens). Cela implique, de modéliser les entrées de toutes les d.à.c.p (objectives, subjectives, matérielles, immatérielles) entrantes, les moyens d’entrés dans votre structure. Il est question par ailleurs de répertorier les flux de partage de ces données (points de sorties ou de partage avec d’autres entités). Le but étant d’élaborer une traçabilité des d.à.c.p. afin de pouvoir les centraliser en un point unique afin de répondre aux demandes de la manière la plus prompte et effective possible.
Cette étape nécessite une méthodologie rigoureuse nécessitant de faire le tour de toutes les entrées, et donc de scruter le parcours de la donnée de ceux faisant l’objet de traitements.
b) La gestion du droit d'accès
Le droit d’accès nécessite un processus clair, de sorte que certains points clés devront manifestement être respectés (dans le respect du RGPD) :
- Réception et enregistrement de la demande d’accès ;
- Vérification de l’identité du demandeur ;
- La collecte et la préparation des données à fournir au demandeur ;
- Une réponse sécurisée devra être fournie au demandeur dans les délais circonscrits (1 mois ou plus en cas de demande complexe).
c) L’opportunité de déléguer la gestion du droit d’accès
La gestion du droit d’accès en cas de pluralités d’acteurs dans la gestion des données personnelles peut s’avérer être une question importante. En effet, elle fait partie du socle de répartition des obligations. Si l’on en suit la logique des textes relatifs à la protection des données personnelles, la gestion des droits d’accès incombe au(x) responsable(s) de traitement. Cependant, cette question devient d’autant plus complexe, lorsqu’il existe une pluralité d’acteurs, notamment des responsables conjoints ou des sous-traitants. Ainsi est-il opportun de confier la gestion des demandes de droit d’accès à son sous-traitant ?
La définition contractuelle de la gestion des demandes de droit d’accès: En agençant contractuellement le rôle et les responsabilités de chacun des acteurs, l’article 28(3)(e) du RGPD prévoit que le contrat entre responsable de traitement et le sous-traitant doit contenir des clauses précisant les modalités d’assistance du sous-traitant. Ces clauses stipulent les charges et modalités en cas de contrôle de la structure. En découle le fait que même si le sous-traitant est chargé de répondre aux demandes d’exercices des droits des personnes concernées, le responsable de traitement devra être en mesure de démontrer que cette obligation a été correctement respectée par son sous-traitant (voir considérant 74 du RGPD [1]). Ce qui remet en cause, l’opportunité de déléguer la gestion des demandes d’accès, à son sous-traitant, puisque fondamentalement, le responsable de traitement doit toujours être tenu au courant de ce type d’informations.
Cependant, ce système de délégation peut trouver un intérêt lorsque la totalité ou la quasi-totalité des traitements de données (stockage, exploitation des données etc…) sont gérés et exécutés par le sous-traitant, évitant ainsi les risques de sécurité liés aux transferts de données entre les deux entités. Le sous-traitant, en centralisant toutes ces données de son côté, n’aurait qu’à informer le responsable de traitement de la demande et de la réponse fournie au demandeur. Le responsable de traitement devra néanmoins s’assurer effectivement que le sous-traitant traite les demandes d’accès conformément aux exigences d’accountability, et aux obligations définies en amont du contrat afin de qu’il soit en mesure de démontrer cette conformité dans un cas de contrôle. L’opportunité de confier la gestion des demandes d’accès au sous-traitant devra être mesurée notamment en se basant sur différents facteurs (tels que la nature des traitements effectués, la capacité du ST à gérer efficacement ces demandes, et sa structure organisationnelle).
Une autre stratégie consisterait à déléguer le point de contact à un tiers un DPO externalisé afin qu’il informe les différents acteurs (RT et ST) et qu’il soit le point central, un chef d’orchestre dans la récupération de toutes ces d.à.c.p. Dans un contexte où de multiples traitements et entités sont impliqués, il est crucial d’organiser minutieusement cette démarche, en veillant notamment à ce que le DPO puisse démontrer la mise en place de mesures techniques et organisationnelles appropriées. Ainsi il sera nécessaire de veiller à ce que les voies de communications entre les différents acteurs soient sécurisées (DPO – RT – ST).
Encore une fois ces points se mesurent en opportunité selon la situation donnée.
**
PARTIE 2/4
**
1 Considérant 74 RGPD : « Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »