En vertu du règlement général sur la protection des donnéesRGPD, les personnes protégées sont autorisées à soumettre des demandes pour faire respecter leurs droits en matière de protection de la vie privée, qui comprennent le droit d'accès, de rectification, de suppression ou de transfert de leurs données à caractère personnel.
Ils peuvent le faire en soumettant ce qu'on appelle une demande d'accès de la personne concernée (DSAR).
Dans ce guide, je décris ce qu'est un DSAR et comment le RGPD et d'autres lois influencent le processus, et j'explique comment les entreprises doivent répondre lorsque les utilisateurs soumettent l'une de ces demandes.
DSAR Défini
Une demande d'accès de la personne concernée (DSAR) fait référence au moment où les individus soumettent des demandes pour donner suite aux droits à la vie privée qui leur sont accordés par le règlement général sur la protection des données (RGPD), la loi sur la protection de la vie privée qui protège les personnes en Europe.
Il peut également s'agir d'une demande d'accès à l'information ou SAR (subject access request).
Même si le "A" de DSAR se réfère spécifiquement à la demande d'un utilisateur d'accéder aux informations personnelles qu'une organisation a collectées à son sujet, les DSAR peuvent être soumis pour donner suite à tout droit à la vie privée décrit par le RGPD.
Avantages des DSAR
La particularité des DSAR est leur polyvalence : ils permettent de simplifier le respect du RGPD et des lois sur la protection de la vie privée en général, ce qui en fait des outils idéaux pour les entreprises.
Si les lois des autres régions utilisent des termes et des règles différents, les personnes protégées peuvent techniquement soumettre un rapport d'activité pour faire valoir leurs droits légaux.
Votre entreprise doit disposer d'un processus de DSAR adaptable, de sorte que lorsqu'un utilisateur fait une demande de droit à la vie privée, votre équipe sache comment y répondre en temps voulu et dans le respect des règles.
Quelles sont les lois qui régissent les RAA ?
La loi initiale sur la protection des données qui régit les RMDA est le RGPD, qui s'applique à toute entreprise en Europe et à toute personne qui collecte des données auprès de personnes concernées de l'UE, quel que soit le lieu où elle se trouve.
Cependant, plusieurs autres lois exigent également que les entreprises accordent aux utilisateurs des droits d'accès aux données et d'autres droits, et la mise en œuvre d'un processus DSAR unique peut aider votre entreprise à respecter ces directives légales de manière efficace et directe.
Ces lois supplémentaires sur la protection de la vie privée sont notamment les suivantes :
- Loi générale sur la protection des données (LGPD) du Brésil
- Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
- Loi du Colorado sur la protection de la vie privée (CPA)
- Loi du Connecticut sur la protection des données (CTDPA)
- Loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA)
- Loi sud-africaine sur la protection des informations personnelles (POPIA)
- Loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA)
- Loi sur la protection des données des consommateurs de Virginie (VCDPA)
Bien que certains détails diffèrent entre les lois, comme le délai de réponse, la plupart d'entre elles permettent aux consommateurs d'accéder, de corriger ou de supprimer des informations personnelles et imposent des amendes ou des pénalités si les entreprises ne répondent pas aux demandes.
Les exigences de la DSAR en vertu de toutes les lois sur la protection de la vie privée sont largement similaires.
Vous pouvez donc utiliser un seul formulaire DSAR et l'ajouter à votre site pour aider les utilisateurs relevant de toutes les lois sur la protection de la vie privée à soumettre des demandes d'action concernant les droits qui leur sont conférés.
Pour quels droits les utilisateurs peuvent-ils soumettre des rapports d'activité ?
Les utilisateurs peuvent s'adresser à un DSAR pour faire valoir leurs droits en matière de protection de la vie privée :
- Accès
- Corriger ou modifier
- Effacer/droit à l'oubli
- Transfert
- Refuser le profilage
- Refuser la vente ou le partage des données
- Refuser la publicité ciblée
Ils sont également autorisés à demander le suivi de plusieurs droits dans le cadre d'un seul rapport d'activité.
Qui peut présenter une DSAR ?
En vertu du RGPD - et de la plupart des lois existantes en matière de protection de la vie privée - toute personne ou tout tiers agissant au nom d'une personne peut, par exemple, soumettre un DSAR :
- Un parent ou un tuteur peut soumettre une demande au nom d'un enfant
- Un parent, un proche ou un ami proche peut soumettre une demande au nom d'une personne.
- Les services tiers peuvent soumettre une demande au nom d'un individu
- Les entreprises peuvent envoyer des DSAR automatisés au nom de leurs clients.
- les paramètres du navigateur de l'utilisateur, tels que les contrôles globaux de la vie privée ou les mécanismes universels d'exclusion
Les soumissions peuvent également provenir d'utilisateurs, d'employés, de clients ou d'autres personnes dont les données personnelles ont été collectées.
Dans tous les cas, vous devez vérifier l'identité du demandeur et vous assurer que la demande est valide.
Comment une personne peut-elle soumettre un rapport d'activité ?
Les consommateurs peuvent soumettre une DSAR par n'importe quel canal de communication, y compris par courrier électronique, par les médias sociaux et même par courrier postal.
En vertu de nombreuses lois sur la protection de la vie privée, les consommateurs peuvent soumettre des demandes d'accès aux données à titre informel.
La demande peut contenir des informations détaillées ou simplement dire : "Je souhaite que vous supprimiez les informations personnelles que vous détenez à mon sujet".
Pour éviter que votre entreprise ne reçoive des DSAR au hasard et dans des formats imprévisibles, je vous recommande de créer sur votre site web un formulaire DSAR et/ou un courriel spécifique pour la réception de ces demandes.
Vous pouvez facilement accéder au logiciel DSAR en vous inscrivant sur le site Termly, qui vous aide à recueillir et à suivre les informations nécessaires pour traiter correctement les demandes des consommateurs.
Il comprend également un formulaire DSAR tel que celui illustré ci-dessous, que vous pouvez intégrer à votre site.
Je vous suggère de continuer à surveiller tous les canaux de communication afin de vous assurer qu'aucune demande n'est négligée et d'éviter les amendes pour non-respect de la législation.
Que contient un rapport d'activité ?
Techniquement, une demande d'accès d'une personne concernée n'est pas tenue d'être formatée d'une certaine manière ou de contenir des informations spécifiques.
Une personne peut soumettre un rapport d'activité en envoyant simplement un courriel disant : "Je voudrais connaître toutes les informations personnelles que vous avez stockées à mon sujet".
Toutefois, il est plus facile pour votre entreprise et pour les consommateurs de présenter sur votre site web un formulaire DSAR comportant des questions spécifiques afin qu'ils puissent vous fournir les informations suivantes :
- Le site web ou l'application auquel le demandeur fait référence
- Le nom du demandeur
- Une adresse électronique ou un autre moyen d'envoyer une réponse au demandeur
- Si le demandeur soumet la demande pour lui-même ou pour un tiers
- Loi à laquelle la demande s'applique
- Quel(s) droit(s) le demandeur soumet-il pour y donner suite ?
- Un espace pour que le demandeur puisse laisser des informations et des détails supplémentaires
Lorsque vous recevez une DSAR, votre entreprise doit alors vérifier l'identité du demandeur et clarifier la demande si nécessaire.
Comment répondre à une DSAR
Pour de nombreuses organisations, la procédure ci-dessous constitue un bon point de départ pour répondre aux demandes d'accès des personnes concernées :
- Déterminez la loi applicable : Les exigences en matière de délais de réponse varient en fonction de la loi, et il se peut que vous ne soyez pas légalement obligé de répondre à la demande si la personne n'est pas protégée par une législation telle que le RGPD ou la CCPA - vous pouvez néanmoins souhaiter répondre à ces demandes afin de promouvoir de bonnes relations avec vos clients.
- Vérifier l'identité du demandeur: Légalement, vous devez vérifier l'identité du demandeur à l'aide des informations personnelles dont vous disposez déjà, car certaines lois vous interdisent de demander des informations supplémentaires. Pensez à demander à l'auteur de la demande de vérifier ses informations de connexion ou demandez-lui de vous contacter en utilisant la méthode d'inscription initiale.
- Clarifiez la demande: Demandez à l'auteur de la demande de préciser la nature exacte de sa requête, car il peut soumettre des DSAR pour l'accès, la suppression, le transfert, la modification, l'arrêt de la vente de ses données, et bien d'autres choses encore.
- Vérifiez la validité de la demande: Lorsque vous recevez une DSAR, demandez-vous si la demande est valable. Pouvez-vous la compléter dans les délais ? N'oubliez pas que si vous refusez la demande, vous devez quand même contacter le demandeur et lui expliquer pourquoi.
- Effectuer une recherche de données : Vous devez trouver toutes les informations personnelles du demandeur, ce qui implique une recherche dans les copies papier, les fichiers numériques, les comptes d'utilisateur, les services de paiement, etc. Cette étape d'inventaire des données peut nécessiter de faire appel à plusieurs équipes au sein de votre organisation.
-
Répondre à la demande dans le bon format: Voici quelques-unes des informations que vous devez inclure dans votre réponse :
- Confirmation que la demande a été complétée
- Instructions si l'utilisateur doit compléter manuellement certaines parties de la demande
- à qui les données ont été divulguées, par exemple à des tiers
- Le calendrier des éventuelles étapes supplémentaires à franchir
- Une explication du droit de l'utilisateur à se plaindre auprès d'une autorité de régulation
- une explication du droit de l'utilisateur à demander la modification ou la suppression de ses données ou la restriction du traitement des données
-
Créer un journal d'audit : Conservez une trace de vos DSAR remplis en cas de plainte d'un utilisateur ou d'enquête réglementaire. Pensez à inclure les informations suivantes dans votre registre :
- Type et date de la demande
- État et données d'achèvement
- Catégorie de la personne concernée, telle que "utilisateur" ou "employé"
- Personne chargée de remplir la demande
La procédure exacte de réponse à une DSAR peut varier en fonction des circonstances propres à votre entreprise, mais n'oubliez pas de documenter votre processus de réponse afin de vous assurer que vous traitez les demandes de manière précise et équitable.
Vérifier l'identité d'une personne
Les entreprises sont légalement responsables de la vérification de l'identité des consommateurs qui demandent à faire valoir leurs droits en matière de protection de la vie privée.
Cela permet de s'assurer que les données personnelles ne sont jamais communiquées qu'aux personnes autorisées.
Le RGPD l'exige en vertu du considérant 64, qui stipule que les entreprises doivent prendre des "mesures raisonnables" pour vérifier l'identité de la personne concernée, mais qu'elles ne peuvent pas conserver les informations dans le seul but de réagir à d'éventuels DSAR.
Dans le cas contraire, il appartient à l'entreprise de mettre en œuvre une procédure de confirmation de l'identité des consommateurs qui soumettent des DSAR.
Les méthodes courantes de vérification de l'identité sont les suivantes :
- Courriel
- Photo d'identité
- Questions d'authentification basées sur les connaissances
- Identifiants de connexion de l'utilisateur (s'ils existent déjà)
- Authentification multifactorielle
Cela dit, vous ne pouvez pas demander plus d'informations personnelles que celles auxquelles vous avez déjà accès lorsque vous confirmez l'identité d'un utilisateur, à moins que cela ne soit absolument nécessaire.
Qui doit répondre aux DSAR ?
Les entreprises avec lesquelles j'ai travaillé ont répondu avec succès aux DSAR en désignant une seule personne au sein de leur équipe, chargée de superviser l'ensemble du processus.
Vous pouvez choisir un membre de votre équipe de protection des données ou votre délégué à la protection des données (DPD) si votre organisation en a un.
La personne que vous désignez doit comprendre les aspects juridiques de la réponse aux DSAR afin de s'assurer qu'elle y répond et qu'elle en assure le suivi dans le respect des règles.
Pouvez-vous facturer des frais pour une DSAR ?
En règle générale, les lois sur la protection de la vie privée stipulent que les entreprises ne peuvent pas facturer de frais pour répondre à une DSAR.
Toutefois, certaines lois prévoient des exceptions pour les demandes considérées comme excessives ou infondées - dans ces circonstances, une redevance raisonnable est autorisée.
Il incombe à votre entreprise de prouver que la demande est excessive.
Pouvez-vous refuser de répondre à une DSAR ?
Oui, en fonction de la loi, vous pouvez refuser de répondre à un DSAR dans certaines circonstances et dans des situations spécifiques, mais vous devez toujours faire ce qui suit :
- Informer la personne de votre choix
- Expliquez pourquoi vous refusez la demande
- Leur donner la possibilité de faire appel de votre décision
Par exemple, vous pouvez refuser d'honorer un rapport d'activité s'il est de nature malveillante, pour des raisons juridiques, pour exécuter un contrat ou si la demande porte atteinte à la vie privée d'une autre personne.
D'autres lois sur la protection des données, comme la VCDPA et la CPA, suivent des lignes directrices très similaires à celles du RGPD et de la CCPA lorsqu'il s'agit de refuser un DSAR à une personne.
De combien de temps disposez-vous pour répondre à une DSAR ?
Le délai de réponse aux DSAR varie en fonction de la législation applicable, mais vous disposez généralement de 30 à 45 jours pour y répondre.
En vertu du RGPD, vous devez répondre dans un délai d'un mois civil, mais vous pouvez prolonger ce délai jusqu'à deux mois, à condition d'informer l'intéressé de la nécessité et des raisons de cette prolongation.
En vertu des lois américaines sur la protection de la vie privée, notamment la CCPA, la CPA, la CTDPA et la VCDPA, vous devez répondre dans un délai de 45 jours et pouvez prolonger ce délai de 45 jours supplémentaires à condition d'en informer la personne à l'avance.
Sanctions en cas d'absence de réponse à une DSAR
Si vous ne répondez pas à un DSAR dans les délais, vous risquez des amendes, des poursuites judiciaires ou d'autres sanctions en fonction de la réglementation applicable en matière de protection de la vie privée.
J'ai dressé une liste des sanctions pour toutes les lois sur la protection de la vie privée mentionnées dans ce guide, que vous trouverez dans le tableau ci-dessous.
| Loi sur la protection des données | Sanctions en cas de non-respect des règles |
| RGPD |
|
| CCPA/CPRA |
|
| CPA |
|
| CTDPA |
|
| OCPA |
|
| UCPA |
|
| VCDPA |
|
| LGPD du Brésil |
|
| POPIA en Afrique du Sud |
|
FAQ DSAR
Je réponds ci-dessous à quelques-unes des questions les plus fréquentes que nous recevons au sujet des rapports d'activité.
Pouvez-vous expurger des informations d'une réponse DSAR ?
Oui, vous pouvez (et parfois devez) expurger les informations d'une réponse au DSAR si elles ne s'appliquent pas à la demande ou si elles risquent de révéler les informations d'une autre personne ou d'un tiers.
Quels sont les problèmes que vous pouvez rencontrer avec les DSAR ?
Vous pouvez rencontrer plusieurs problèmes avec les DSAR, notamment
- Difficulté à localiser toutes les informations personnelles si vous n'avez pas procédé à un audit de votre collecte de données.
- Vérifier l'identité du demandeur, ce qui constitue la première étape de la réponse à une DSAR, et ne devrait pas impliquer de collecter plus de données que vous n'en avez déjà.
- Documentation DSAR, tenue d'un registre d'audit en cas de plainte ou d'examen externe.
- Délais : vous pouvez constater que l'établissement des rapports d'activité prend plus de temps que prévu. Mettez en place un processus normalisé de DSAR afin de simplifier le processus de réponse.
Les salariés peuvent-ils soumettre un rapport d'activité à leur employeur ?
Oui, les employés actuels et anciens peuvent soumettre des rapports d'activité à leur employeur, mais s'il existe une raison légitime pour laquelle vous ne pouvez pas répondre à la demande, il est possible de la refuser.
Résumé
En fonction des lois sur la confidentialité des données qui s'appliquent à votre entreprise, certains utilisateurs ont le droit de soumettre des demandes concernant la manière dont leurs informations personnelles sont collectées, traitées et utilisées.
Il est essentiel d'établir une procédure de réponse aux DSAR, car elle permet de respecter la législation, de s'assurer que vous pouvez trouver toutes les données concernant le demandeur et de minimiser le temps de réponse aux DSAR.
Facilitez la tâche de votre entreprise en accédant à la suite de solutions de conformité deTermly et obtenez un formulaire DSAR complet que vous pouvez facilement intégrer à votre site web.
En savoir plus sur l'auteur
Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
