Le champ d'application des lois sur la protection de la vie privée s'élargit et il est temps de préparer votre entreprise à répondre aux demandes d'accès des personnes concernées (DSAR), c'est-à-dire lorsqu'une personne demande à exercer ses droits sur les informations personnelles que vous recueillez auprès d'elle.
La mise en place d'un flux de travail DSAR transparent pour votre entreprise afin de répondre aux demandes des consommateurs vous aide à respecter les lois applicables en matière de confidentialité des données et à renforcer la confiance de vos clients.
Utilisez mon guide étape par étape pour mettre en place une procédure DSAR fiable, juridiquement fondée et facile pour votre entreprise et vos utilisateurs.
Le processus de DSAR, étape par étape, que votre entreprise doit suivre
Voici les dix étapes que je vous recommande de suivre pour garantir le bon déroulement du processus de DSAR de votre entreprise et le respect de toutes les obligations légales.
Étape 1 : Réception et identification d'une DSAR
La première étape à franchir par les chefs d'entreprise lors de la mise en place d'un flux de travail DSAR consiste à choisir la manière dont les utilisateurs doivent soumettre leurs demandes.
Je recommande de choisir un système en fonction de la manière dont vos utilisateurs interagissent habituellement avec votre plateforme et de la nature des données personnelles que vous collectez, tout en gardant à l'esprit les lois applicables en matière de protection de la vie privée.
Il existe de nombreuses méthodes que vous pouvez mettre en œuvre sur votre site, notamment :
Pour simplifier ce processus, Termly fournit à tous les utilisateurs un formulaire DSAR que vous pouvez intégrer à votre site web - voir à quoi il ressemble dans la capture d'écran ci-dessous.
Certaines lois exigent que vous fournissiez aux consommateurs au moins deux moyens de soumettre leurs demandes.
Vous devez également répondre aux consommateurs même s'ils ne suivent pas les méthodes spécifiques que vous mettez en œuvre sur votre plateforme, car les lois sur la protection de la vie privée autorisent les personnes à soumettre des DSAR selon la méthode de leur choix.
Mais leur fournir un moyen clair de soumettre ces demandes est plus efficace, et la plupart des utilisateurs suivront volontiers la procédure établie.
Vérification de l'identité d'une personne concernée
Une fois que vous avez choisi les méthodes que vous utiliserez pour permettre aux consommateurs de faire valoir leurs droits, vous devez également mettre en place une procédure de vérification des demandes des consommateurs afin de vous assurer que vous ne communiquez jamais d'informations personnelles à une personne autorisée.
Lorsque vous vérifiez l'identité du consommateur, évitez de lui demander des informations personnelles supplémentaires, sauf si cela est nécessaire, et n'exigez pas qu'il crée un compte, car cela est interdit par certaines lois.
Vous pouvez par exemple envoyer un code à leur adresse électronique ou à leur numéro de téléphone, ou leur demander de sélectionner une question de sécurité et d'y répondre correctement.
Comprendre la portée de la demande
Vous devez également vous assurer que la personne ou l'équipe qui répond à vos DSAR comprend l'étendue de la demande du consommateur afin de pouvoir y répondre avec précision.
Les consommateurs ont différents droits et peuvent demander à ce qu'il soit donné suite à chacun d'entre eux. Veillez donc à connaître la nature de la demande spécifique et répondez à toutes ses facettes.
Étape 2 : Collecte des données demandées
L'étape suivante consiste à recueillir les données pertinentes demandées afin de pouvoir répondre de manière appropriée au consommateur.
Votre procédure interne doit préciser quels employés sont autorisés à localiser les informations, les réseaux sur lesquels vous stockez les données, si elles se trouvent à plusieurs endroits, et si vous stockez des informations physiquement.
Récupération des données personnelles
Selon votre secteur d'activité, différentes autorisations peuvent être requises pour que votre équipe puisse accéder aux informations au nom de la personne concernée.
Vérifiez donc si ces règles ont un impact sur votre entreprise et ajoutez les détails appropriés à vos procédures DSAR.
Vous pouvez également envisager de mettre en œuvre des techniques de cartographie des données pour faciliter la collecte de ces informations par votre équipe.
Données provenant de tiers
Lors de la collecte des informations, n'oubliez pas d'inclure les données collectées par des tiers avec lesquels vous travaillez, en particulier si vous faites appel à un tiers chargé du traitement des données.
La demande du consommateur s'applique à toutes les données collectées.
La plupart des lois sur la protection des données obligent contractuellement les tiers à vous aider à donner suite aux demandes des consommateurs ; veillez donc à ce que vos contrats commerciaux reflètent ces exigences.
Étape 3 : Examen des données et examen des dérogations
Une fois que vous avez recueilli les données demandées par le consommateur, vérifiez qu'elles sont confidentielles et sensibles et qu'elles répondent à vos exigences internes en matière d'acceptation ou de rejet des rapports d'activité.
Identification des informations exemptées
Certaines données à caractère personnel peuvent ne pas être communiquées à la personne concernée et vous devez expliquer comment votre équipe l'a déterminé.
Par exemple, vous ne pouvez pas partager des informations avec quelqu'un si cela porte atteinte aux droits d'une autre personne en matière de confidentialité des données.
Vous devez rejeter les demandes qui portent atteinte à la vie privée d'une autre personne et l'expliquer clairement à la personne concernée.
Équilibrer la transparence et la protection des données
Lorsqu'elle répond à une demande d'un consommateur, votre équipe doit consigner les mesures qu'elle prend, tout en protégeant les données.
Demandez à vos employés de noter les éléments suivants en cas d'audit réglementaire :
- La date et l'heure de chaque tâche accomplie
- L'autorisation des demandes
- La localisation potentielle des données auxquelles ils ont accédé
Vous êtes également responsable de la protection de ces données contre les violations de données ou les accès non autorisés, c'est pourquoi vous devez mettre en place des mesures de sécurité pour éviter cela.
Étape 4 : Communication avec la personne concernée
Informez le consommateur que vous avez reçu sa demande et que vous travaillez sur une réponse en lui envoyant un avis de vérification.
Fournir des mises à jour sur les progrès réalisés
En fonction des lois applicables, vous pouvez être soumis à un délai de 30 ou 45 jours pour répondre aux DSAR, aussi envisagez-vous d'envoyer à l'utilisateur des mises à jour sur vos progrès.
En informant la personne concernée de la durée de la procédure, vous la rassurez et vous tenez votre DPD ou votre équipe chargée de la protection de la vie privée responsable de l'avancement rapide du processus de DSAR.
Demander des éclaircissements, si nécessaire
Vous pouvez demander des éclaircissements à la personne concernée si cela est nécessaire pour répondre à une demande ou à des obligations légales.
Par exemple, vous pourriez avoir besoin de vérifier quels droits ils respectent ou de clarifier s'ils agissent au nom de leur enfant.
Mais votre processus de DSAR doit respecter toutes les lois applicables, et il y a des limites à ce que vous pouvez ou ne pouvez pas demander à une personne concernée, en fonction de la législation qui s'applique à votre entreprise.
Étape 5 : Traitement et compilation de la réponse
Veillez à être bien organisé lorsque vous traitez et compilez votre réponse à une DSAR.
De nombreuses lois donnent aux consommateurs le droit d'obtenir une copie portable de leurs informations, ce qui signifie qu'elles doivent leur être présentées d'une manière facile à partager avec un autre responsable du traitement des données.
L'objectif de ce droit est d'empêcher que les données des utilisateurs soient stockées sur des plateformes fermées, ce qui rend le changement de compte ou de service très difficile.
Je recommande de mettre en œuvre les éléments suivants, dans la mesure du possible :
- Fournir les données à l'aide d'un type de fichier commun et accessible
- fournir au consommateur un accès à distance à l'aide d'un système sécurisé
- Présenter le document de manière à ce qu'il soit facile à lire et à comprendre
Expurgation d'informations provenant de tiers
Lorsque vous remplissez des DSAR, il se peut que vous deviez expurger des informations relatives à des tiers ; il convient donc de mettre en place un processus d'identification et de suppression de ce type d'informations.
Par exemple, vous pouvez caviarder :
- Informations sur les organisations privées
- Informations n'entrant pas dans le champ des données à caractère personnel
- Données concernant une autre personne qui ne fait pas la demande
Étape 6 : Rédaction de la réponse
Lorsque vous rédigez une réponse à un rapport d'activité, utilisez un langage simple et facile à comprendre, soyez exhaustif et vérifiez que vous fournissez bien tout ce que le consommateur a demandé.
Explication des activités de traitement des données
Soyez transparent sur vos activités de traitement et veillez à ce que toute personne travaillant sur votre DSAR comprenne ces protocoles afin qu'elle puisse rédiger des réponses précises.
Pensez à préparer des modèles que votre équipe pourra adapter au type de demande reçue.
Traitement des exemptions et des limitations
Vous devez expliquer clairement au demandeur si les données qu'il recherche sont exemptées, si elles ne peuvent être partagées qu'en quantités limitées ou si elles doivent être totalement refusées.
Le refus d'une DSAR est autorisé dans des cas très spécifiques - en vertu du GDPR, vous pouvez refuser une DSAR si elle n'est pas fondée ou si elle est excessive.
Expliquez les raisons pour lesquelles les DSAR peuvent être refusés dans vos protocoles DSAR basés sur les lois applicables en matière de confidentialité des données, afin que votre équipe sache quand cela est approprié ou non.
Étape 7 : Examen et assurance de la qualité
Une fois que vous avez rédigé votre réponse, relisez-la en interne pour vous assurer de son exactitude et de sa qualité.
La réalisation d'un examen interne dans le cadre de votre flux de travail global vous permet de détecter et de corriger les erreurs ou les fautes juridiques avant qu'elles ne se produisent.
Garantir l'exactitude et la conformité
Avant d'envoyer une réponse officielle à la personne concernée, vérifiez que toutes les données et informations personnelles sont exactes et que vous avez respecté les lois applicables.
Les personnes concernées de différentes régions ont des droits différents. Il convient donc d'indiquer les détails de leurs droits dans vos protocoles DSAR afin de s'assurer que tous les membres de votre équipe les comprennent.
Si vous commettez une erreur, les lois sur la protection de la vie privée tiendront votre entreprise pour responsable.
Approbation des services juridiques et du DPD
Si nécessaire, demandez à votre DPD ou à votre équipe juridique d'examiner les réponses au RMDA avant de les envoyer à la personne concernée, afin qu'ils puissent vérifier que tout est fait correctement et dans le respect des règles.
Étape 8 : Envoi de la réponse de la DSAR
Avant d'envoyer votre réponse au DSAR, vérifiez les lois applicables afin de déterminer le formatage et les méthodes de livraison appropriés.
Par exemple, en vertu du GDPR, toute demande d'une personne concernée faite par voie électronique doit être traitée de la même manière.
Intégrez les méthodes de réponse nécessaires dans votre flux de travail DSAR, afin que votre équipe comprenne la manière légalement appropriée d'envoyer une réponse aux consommateurs.
Livraison et communication en temps utile
La plupart des lois sur la protection de la vie privée exigent que vous répondiez aux demandes des personnes concernées sans délai excessif ou dans les 30 à 45 jours suivant leur réception.
En vertu du GDPR, vous disposez de 30 jours pour répondre aux DSAR, alors qu'en vertu du CCPA, vous disposez de 45 jours.
Il est toujours préférable de répondre plus tôt que de répondre trop tard, auquel cas la loi pourrait vous tenir légalement responsable.
Étape 9 : Traitement des recours et autres étapes
Après avoir répondu à un DSAR, vous devez fournir aux personnes concernées une méthode simple pour faire appel de vos décisions concernant leurs demandes.
Des lois telles que la VCDPA stipulent que la procédure d'appel doit être aussi simple et similaire au système que vous avez initialement utilisé pour permettre aux consommateurs de soumettre des demandes.
Vous disposez alors d'un délai déterminé pour répondre à un recours, en fonction de la législation qui s'applique à votre entreprise.
L'escalade des cas complexes
Après avoir répondu à un consommateur, vous pouvez être confronté à des demandes complexes ou à des recours compliqués.
Par exemple, un tuteur légal peut vous contacter pour vous faire part de ses inquiétudes concernant la collecte d'informations sur son enfant par votre site web ou votre application, bien que votre entreprise ne cible pas les mineurs.
Pour préparer votre entreprise, mettez en place un processus de remontée de ces demandes vers les canaux appropriés afin de pouvoir les résoudre efficacement.
Amélioration continue du processus de DSAR
Au fur et à mesure que vous recevez des DSAR et que vous testez votre flux de travail, ajustez-le continuellement si nécessaire.
Si vous découvrez des lacunes dans votre politique ou des points problématiques, vous pouvez y remédier, car le processus global de réponse au DSAR dépend entièrement de vous.
Vous devez également prêter attention aux nouvelles lois sur la confidentialité des données qui peuvent avoir un impact sur certaines parties de votre processus de DSAR.
Étape 10 : Tenue de registres et documentation
Il est essentiel de conserver des archives sûres de vos DSAR et de vos réponses à des fins d'organisation interne et en cas d'audit sur la protection de la vie privée.
En vertu du GDPR, vous devez tenir un registre détaillé de vos activités de traitement et le mettre à disposition à la demande des autorités réglementaires, y compris les réponses et les appels du DSAR.
Conformément à l'article 31 du GDPR, il s'agit d'un registre des activités de traitement ou RoPA.
Indépendamment des obligations légales, il s'agit d'une bonne pratique qui peut vous aider à prouver que vous êtes en conformité avec la loi en cas de problème.
Piste d'audit et responsabilité
Le fait de documenter vos communications avec les personnes concernées qui soumettent des DSAR crée une piste d'audit qui peut vous aider à prouver que vous avez respecté les lois applicables si les autorités réglementaires vous posent des questions.
Enregistrez donc toutes vos démarches et conservez ces données dans un environnement sécurisé.
En outre, si le même consommateur soumet une autre demande de DSAR à l'avenir, votre équipe peut répondre à sa demande plus rapidement et plus facilement.
Aperçu des demandes d'accès des personnes concernées
Maintenant que j'ai expliqué comment votre entreprise peut mettre en place un processus de DSAR, examinons les droits à la vie privée des utilisateurs tels qu'ils sont garantis par les différentes lois sur la protection des données.
Bien que les droits spécifiques varient, les personnes protégées par ces textes législatifs ont généralement le droit de demander à être informées :
- Accéder aux données personnelles que vous avez collectées à leur sujet et savoir à quelles fins vous les utilisez
- Corriger ou modifier leurs données personnelles
- Supprimer les données que vous avez collectées à leur sujet
- Obtenir une copie portable des données que vous avez collectées à leur sujet
- refuser certains types d'activités de traitement des données, comme le profilage, la vente de leurs données ou la publicité ciblée
Les demandes d'accès des personnes concernées sont de plus en plus fréquentes depuis l'introduction du règlement général sur la protection des données (GDPR), la loi influente sur la confidentialité des données qui protège les personnes au sein de l'Union européenne (UE) et de l'Espace économique européen (EEE).
Toutefois, la procédure de DSAR peut s'appliquer aux utilisateurs qui soumettent des demandes de suivi des droits qui leur sont accordés par ces lois et d'autres lois sur la protection de la vie privée :
- Loi générale sur la protection des données au Brésil
- Loi californienne sur la protection des consommateurs(CCPA)
- Loi du Colorado sur la protection de la vie privée(CPA)
- Loi du Connecticut sur la protection des données(CTDPA)
- Loi néo-zélandaise sur la protection de la vie privée
- Loi de l'Oregon sur la protection des données(ODPA)
- Suisse Loi fédérale révisée sur la protection des données(LPD)
- Loi de l'Utah sur la protection de la vie privée des consommateurs(UCPA)
- Loi sur la protection des données des consommateurs de Virginie(VCDPA)
L'importance d'un processus de DSAR pour les entreprises
Il est important pour les entreprises de mettre en place un processus de DSAR adéquat, car il s'agit souvent d'une entreprise en plusieurs étapes, et certaines lois, comme le GDPR et le CCPA, définissent des délais spécifiques pour répondre aux demandes des consommateurs et y donner suite.
En outre, vous n'êtes généralement pas autorisé à facturer des frais pour l'ensemble de la procédure DSAR. Il est donc essentiel que votre entreprise puisse répondre à ces exigences de manière abordable.
Autres moyens de se préparer à une DSAR
Ensuite, j'expliquerai comment vous pouvez vous préparer à recevoir des DSAR de la part des consommateurs.
Désignation d'un délégué à la protection des données (DPD)
Pour certaines entreprises, la désignation d'un délégué à la protection des données (DPD) peut s'avérer nécessaire.
Votre DPD aide votre entreprise à collecter et à traiter les données dans le respect de la loi et peut répondre aux DSAR ou superviser et aider à gérer le processus, en fonction de la taille et de l'étendue de votre entreprise.
Par exemple, les petites entreprises n'ont généralement besoin que d'un seul DPD pour remplir leurs obligations légales, tandis que les entreprises qui traitent de grandes quantités de données ou des informations très sensibles peuvent avoir besoin d'une équipe d'employés pour assister le DPD.
Lorsque vous choisissez un DPD, assurez-vous qu'il est familiarisé avec la législation sur la protection des données et qu'il connaît parfaitement les activités de votre entreprise.
Évitez de choisir une personne pour un contrat à court terme et assurez-vous qu'il n'y a pas de conflits d'intérêts.
Formation et sensibilisation des employés
Formez votre personnel à la confidentialité des données afin de le sensibiliser aux meilleures pratiques et au processus DSAR mis en œuvre par votre entreprise.
En veillant à ce que l'ensemble de votre équipe ait une bonne connaissance de la protection de la vie privée, vous rendrez votre processus de DSAR plus efficace et plus efficient.
Au minimum, tous les employés doivent être formés à reconnaître un DSAR et à le faire remonter le cas échéant.
Vos employés ont également des droits en matière de confidentialité des données concernant la manière dont vous collectez, utilisez et traitez leurs données, que vous devez également prendre en compte lors de la création d'un flux de travail DSAR.
Résumé
En fin de compte, la création d'un flux de travail DSAR met toute votre équipe sur la même longueur d'onde et vous aide à respecter les réglementations en matière de protection des données définies par les lois pertinentes.
Si vous enfreignez l'une de ces lois, même par accident, vous risquez de vous attirer les foudres GDPR public et de devoir payer des amendes importantes qui s'accumulent rapidement.
Un processus de DSAR efficace prouve également à vos consommateurs que votre entreprise s'engage en permanence à protéger la confidentialité de leurs données.
Les statistiques actuelles sur la confidentialité des données suggèrent que les consommateurs se soucient plus que jamais de ce qu'il advient de leurs informations personnelles en ligne.
Prouvez-leur que vous vous souciez tout autant de la protection de l'intégrité de leurs informations en mettant en œuvre un processus de DSAR cohérent et bien structuré.
En savoir plus sur l'auteur
Écrit par James Ó Nuanáin, CIPP/E, CIPM, CIPT
James est un professionnel de la protection de la vie privée qui a plus de sept ans d'expérience dans l'assistance aux grandes organisations pour qu'elles se conforment à leurs obligations au titre du GPDR et d'autres réglementations locales en matière de protection de la vie privée. Il est passionné par la confidentialité des données et l'intersection entre le droit et la technologie. En savoir plus sur l'auteur
