Le cout des erreurs
Les demandes de personnes concernees sont le point ou la conformite au RGPD rencontre la realite. Vous pouvez avoir la meilleure politique de confidentialite au monde, mais si vous traitez mal une demande d’une personne reelle, c’est la que les plaintes sont deposees et les amendes prononcees.
Les autorites de controle a travers l’Europe appliquent systematiquement les droits des personnes concernees. Pour les PME, les amendes ne sont pas les millions dont parlent les gros titres, mais elles sont suffisamment douloureuses : 5 000 EUR ici, 15 000 EUR la, plus les frais juridiques et les dommages a la reputation.
Voici six erreurs qui reviennent constamment dans les decisions de sanctions, et comment eviter chacune d’entre elles.
Erreur 1 : Ignorer completement les demandes
Ce qui s’est passe : Une entreprise allemande a recu une demande d’acces par e-mail. Elle n’a pas repondu du tout. Le demandeur a depose une plainte aupres de l’autorite de protection des donnees du Land. L’entreprise a ete sanctionnee de 10 000 EUR.
Ce n’est pas un cas isole. L’AEPD espagnole prononce regulierement des amendes pour des demandes sans reponse, souvent dans une fourchette de 2 000 a 10 000 EUR. Le schema est toujours le meme : quelqu’un demande ses donnees, l’entreprise ne fait rien, la personne depose plainte.
Ce qu’ils auraient du faire : Repondre a chaque demande, meme si vous la jugez non fondee. Si vous ne pouvez pas y donner suite, expliquez pourquoi par ecrit.
Lecon : L’absence de reponse est toujours la mauvaise reponse.
Erreur 2 : Depasser le delai de 30 jours
Ce qui s’est passe : Une entreprise belge a recu une demande d’effacement. Elle l’a accusee de reception, a commence a y travailler, mais n’a finalise la suppression qu’apres 47 jours. L’APD belge a constate que la reponse tardive violait le RGPD, independamment du fait que la suppression avait finalement ete effectuee.
Le piege du delai est courant : les entreprises recoivent une demande, commencent la verification d’identite, puis seulement entament le travail reel. Le temps qu’elles repondent, le mois est depasse.
Ce qu’ils auraient du faire : Enregistrer la demande le jour meme et demarrer le compteur immediatement. Programmer un rappel a deux semaines et a trois semaines. Si la demande est complexe, informer le demandeur d’une prolongation de deux mois dans le premier mois.
Lecon : Le compteur demarre a la reception de la demande, pas quand vous commencez a y travailler.
Erreur 3 : Facturer des frais quand ce n’est pas autorise
Ce qui s’est passe : Un cabinet dentaire a facture 25 EUR a un patient pour lui fournir une copie de son dossier medical en reponse a une demande d’acces. Le patient a depose plainte. L’autorite de controle a juge que la premiere demande d’acces doit etre fournie gratuitement, et le cabinet a du rembourser les frais et a recu un avertissement.
Sous le RGPD, la premiere demande est gratuite. Vous ne pouvez facturer des “frais raisonnables” que pour les demandes “manifestement non fondees ou excessives” - par exemple, si la meme personne soumet la meme demande d’acces chaque semaine. En pratique, ce seuil n’est presque jamais atteint.
Ce qu’ils auraient du faire : Fournir les donnees gratuitement. N’envisager de facturer que si la demande est clairement repetitive et excessive, et documenter le raisonnement.
Lecon : Ne facturez presque jamais. En cas de doute, c’est gratuit.
Erreur 4 : Exiger une identification excessive
Ce qui s’est passe : Une entreprise a demande a un client de fournir une copie de passeport complete et non masquee avant de traiter sa demande d’acces. Le client avait un compte et envoyait son e-mail depuis l’adresse enregistree. L’AP neerlandaise a critique l’entreprise pour ses exigences d’identification disproportionnees, notant que le client aurait pu etre verifie via son compte existant.
L’identification excessive est un double probleme : elle viole le principe de minimisation des donnees (vous collectez plus de donnees que necessaire) et elle cree une barriere qui decourage les personnes d’exercer leurs droits.
Ce qu’ils auraient du faire : Verifier l’identite via le compte existant. Si le client envoie un e-mail depuis son adresse enregistree, c’est generalement suffisant. Ne demander des documents d’identite qu’aux personnes inconnues, et toujours permettre le masquage des champs inutiles.
Lecon : Verification proportionnee uniquement. Utilisez ce que vous avez deja.
Erreur 5 : Fournir des reponses incompletes
Ce qui s’est passe : Une entreprise autrichienne a repondu a une demande d’acces en fournissant les donnees de son systeme CRM. Cependant, elle a omis la correspondance par e-mail, les dossiers papier et les donnees detenues par un sous-traitant en son nom. La DSB autrichienne a juge la reponse incomplete et a prononce une amende.
Cette erreur n’est souvent pas intentionnelle. Les entreprises consultent leur base de donnees principale et oublient les e-mails, le stockage cloud, les archives papier, les systemes de sauvegarde et les donnees detenues par les sous-traitants.
Ce qu’ils auraient du faire : Consulter tous les systemes ou des donnees personnelles peuvent etre stockees. Creer une liste de verification :
- CRM et bases de donnees clients
- Systemes de messagerie (recherche par nom et adresse e-mail)
- Logiciels de comptabilite et de facturation
- Systemes RH (pour les demandes d’employes)
- Stockage cloud (Google Drive, Dropbox, OneDrive)
- Dossiers et archives papier
- Donnees detenues par les sous-traitants (hebergeurs, outils de marketing par e-mail, analytics)
- Systemes de sauvegarde
Lecon : Cherchez partout. Une reponse incomplete est presque aussi grave que l’absence de reponse.
Erreur 6 : Supprimer des donnees que vous auriez du conserver
Ce qui s’est passe : Une entreprise a recu une demande d’effacement et, prise de panique, a tout supprime - y compris des factures qu’elle etait legalement tenue de conserver pendant sept ans, de la correspondance relative a un litige en cours et des documents necessaires a des fins fiscales. Quand l’administration fiscale a demande ces documents plus tard, l’entreprise ne pouvait pas les produire.
Le droit a l’effacement n’est pas absolu. Vous devez evaluer chaque categorie de donnees avant de supprimer :
| Type de donnees | Supprimer? |
|---|---|
| Preferences marketing, abonnements newsletters | Oui, supprimer |
| Notes CRM sans base juridique | Oui, supprimer |
| Factures dans la periode de conservation | Non, obligation legale de conservation |
| Donnees liees a des litiges en cours | Non, interet legitime a conserver |
| Dossiers du personnel dans la duree de conservation obligatoire | Non, obligation legale de conservation |
| Donnees contractuelles dans la duree de conservation legale | Non, obligation legale de conservation |
Ce qu’ils auraient du faire : Evaluer chaque jeu de donnees individuellement. Supprimer ce qui doit l’etre, conserver ce que vous etes legalement tenu de garder, et expliquer au demandeur exactement ce qui a ete supprime et ce qui a ete conserve (et pourquoi).
Lecon : Ne supprimez pas dans la panique. Evaluez d’abord, agissez ensuite.
Comment bien faire
Chacune de ces erreurs est evitable avec un processus clair. Si vous n’en avez pas encore mis un en place, commencez par notre guide etape par etape pour mettre en place un processus de traitement des demandes. Il couvre tout, de la designation d’un point de contact a la documentation de votre reponse.
Le schema commun aux six erreurs est le meme : elles se produisent quand il n’y a pas de processus, pas de registre et pas de modeles. Resolvez ces trois choses et vous resolvez le probleme.
GDPRWise analyse votre configuration actuelle et identifie les lacunes dans votre processus de traitement des demandes avant qu'elles ne deviennent des plaintes.