Pourquoi vous avez besoin d’un processus
La plupart des PME traitent leur premiere demande de personne concernee dans la panique. Quelqu’un envoie un e-mail demandant “quelles donnees avez-vous sur moi?” et personne ne sait qui doit repondre, quoi verifier, ni quand expire le delai. C’est ainsi que les erreurs surviennent, et les erreurs menent aux plaintes et aux amendes.
Un processus clair et ecrit previent cela. Il n’a pas besoin d’etre complique. Neuf etapes, un registre partage et quelques modeles suffisent.
Etape 1 : Designez un point de contact
Choisissez une personne ou une adresse e-mail qui recoit toutes les demandes des personnes concernees. Cela peut etre privacy@votreentreprise.com, votre responsable administratif, ou vous-meme si vous etes une petite equipe.
La regle essentielle : les demandes ne doivent pas arriver dans une boite de reception generale ou elles risquent de se perdre. Chaque membre de votre organisation doit savoir ou transmettre une demande des qu’elle arrive.
Prevoyez un remplacement. Si la personne de contact est en vacances, quelqu’un d’autre doit verifier les demandes entrantes.
Etape 2 : Reconnaitre une demande
Une demande de personne concernee ne se presente pas sur un formulaire special. Elle peut arriver par n’importe quel canal :
- E-mail - “Veuillez m’envoyer toutes les donnees que vous avez sur moi”
- Telephone - “Je veux que mon compte soit supprime”
- Reseaux sociaux - un message prive demandant d’arreter le traitement des donnees
- Lettre - une demande ecrite formelle
- Verbalement - lors d’une reunion ou a l’accueil
Toute variation de “quelles donnees avez-vous?”, “supprimez mes donnees”, “arretez de traiter mes informations” ou “corrigez mes coordonnees” constitue une demande formelle au titre du RGPD. Formez votre equipe a les reconnaitre et a les transmettre immediatement.
Etape 3 : Enregistrez immediatement
Des qu’une demande arrive, consignez-la dans votre registre des demandes. Notez :
- Qui fait la demande (nom, coordonnees)
- Quand vous l’avez recue (c’est le point de depart du delai)
- Par quel canal elle est arrivee
- Quel type de demande c’est (acces, effacement, rectification, limitation, portabilite, opposition)
- Delai (un mois a compter de la reception)
Modele : Registre des Demandes
Suivez chaque demande dans un registre central : qui, quand, quel type, delai et resultat.
Voir le modele arrow_forwardEtape 4 : Verifiez l’identite
Avant d’agir sur une demande, vous devez confirmer que vous communiquez avec la bonne personne. Fournir des donnees a la mauvaise personne constitue une violation de donnees.
Appliquez une verification proportionnee :
| Situation | Methode de verification |
|---|---|
| Client connu avec un compte | Demandez confirmation via le compte ou l’e-mail connu |
| Employe ou contact connu | Confirmation via l’adresse e-mail connue suffit |
| Personne inconnue | Demandez une copie de piece d’identite, photo et numero national masques |
Ne demandez jamais plus d’identification que necessaire. Exiger un passeport complet pour une desinscription a une newsletter est disproportionne.
Modele : Verification d'Identite
Une lettre type demandant au demandeur de confirmer son identite de maniere proportionnee.
Voir le modele arrow_forwardEtape 5 : Evaluez la demande
Determinez quel droit est invoque et si vous pouvez y donner suite :
- Quel droit? Acces, effacement, rectification, limitation, portabilite ou opposition?
- Pouvez-vous y repondre integralement? Dans la plupart des cas, oui.
- Existe-t-il des motifs de refus (partiel)? Obligations legales de conservation, droits d’autrui, demandes manifestement abusives?
- Reponse partielle? Vous devrez peut-etre effacer certaines donnees tout en conservant d’autres donnees que vous etes legalement tenu de garder.
Si vous devez refuser, vous devez expliquer pourquoi et informer le demandeur de son droit de deposer une plainte aupres de l’autorite de controle.
Etape 6 : Programmez des rappels de delai
Vous disposez d’un mois a compter de la date de reception. Pas a compter de la verification, pas a compter du moment ou vous avez commence a travailler sur la demande - a compter de la reception.
Programmez deux rappels :
- A deux semaines - verifiez l’avancement. L’identite est-elle verifiee? Avez-vous commence a collecter les donnees?
- A trois semaines - la reponse devrait etre presque prete. Si ce n’est pas le cas, envisagez une prolongation.
Si la demande est complexe, vous pouvez prolonger le delai de deux mois. Mais vous devez informer le demandeur de cette prolongation dans le premier mois, en expliquant pourquoi.
Etape 7 : Repondez
Repondez toujours par ecrit, meme si la demande est arrivee par telephone. Votre reponse doit clairement expliquer :
- Ce que vous avez fait - quelles donnees vous avez fournies, corrigees ou supprimees
- Pourquoi - la base juridique de vos actions (ou votre motif de refus)
- Leurs droits - le droit de deposer une plainte aupres de l’autorite de controle
Utilisez des modeles de reponse pour vous assurer de couvrir tous les elements obligatoires :
Modele : Confirmation de Demande d'Acces
Un modele de reponse pret a l’emploi pour les demandes d’acces contenant tous les elements d’information obligatoires.
Voir le modele arrow_forwardPour les autres types de demandes, utilisez le modele correspondant : confirmation de suppression, refus de suppression ou confirmation de rectification. Chaque modele garantit que vous incluez les informations legalement requises.
Etape 8 : Documentez tout
Votre dossier pour chaque demande doit contenir :
- La demande originale (ou un resume si elle etait verbale)
- Les documents de verification d’identite
- Vos notes internes sur les systemes consultes
- La reponse que vous avez envoyee
- Les dates de chaque etape
C’est votre preuve si la personne concernee depose une plainte aupres de l’autorite de controle. Sans documentation, c’est votre parole contre la sienne.
Etape 9 : Etablissez un circuit d’escalade
Toutes les demandes ne sont pas simples. Definissez a l’avance :
- Qui decide des refus? La personne de contact ne doit pas refuser seule des demandes.
- Quand consulter un avocat? Pour les questions complexes de conservation legale, les droits concurrents ou les litiges potentiels.
- Quand contacter votre DPO? Si vous avez un Delegue a la Protection des Donnees, il doit etre implique dans les cas non routiniers.
- Que faire si vous n’etes pas sur du type de demande? En cas de doute, traitez-la comme une demande valide et demandez conseil.
Mettez ce circuit d’escalade par ecrit. Quand une demande difficile arrive a 16h un vendredi, vous ne voulez pas resoudre cela sous pression.
Le processus complet
Votre processus tient sur une page :
- La demande arrive - transmettre au point de contact
- Enregistrer dans le registre des demandes
- Verifier l’identite
- Evaluer la demande
- Collecter les donnees ou prendre action
- Preparer la reponse avec un modele
- Envoyer la reponse dans un delai d’un mois
- Tout documenter
- Clore le dossier dans le registre
Imprimez-le, partagez-le avec votre equipe et parcourez-le une fois. La premiere vraie demande se deroulera sans accroc.
GDPRWise vous aide a mettre en place votre processus de traitement des demandes et genere les modeles necessaires pour repondre correctement.