Aller au contenu principal

RGPD : comment réagir face à une demande d’un client ?

Date de mise à jour : 27/02/2023 Date de vérification le : 27/02/2023 4 minutes

Un client ou un salarié demande à bénéficier du droit d’accès à ses données à caractère personnel que vous collectez, comme le lui permet le Règlement général sur la protection des données (RGPD). Comment devez-vous réagir ?

Rédigé par l'équipe WebLex.
RGPD : comment réagir face à une demande d’un client ?

RGPD et droit d’accès : pour qui ?

Un droit d’accès… à quoi ? Le droit d’accès, prévu dans le cadre du RGPD, est le droit d’une personne physique d’accéder au traitement de ses données à caractère personnel par un professionnel ou une administration.

Concrètement. La personne va recevoir une confirmation écrite que ses données sont traitées et peut obtenir, si elle le souhaite, la copie de ses données traitées.

Qui demande ? La demande peut être formulée par un client à une entreprise, par un salarié à son employeur, par un particulier à l’administration, par un patient à son médecin, etc.

Mandat. La personne qui souhaite accéder à ses données personnelles qui font l’objet d’un traitement peut confier à une autre personne la tâche d’exercer son droit par un mandat.

À noter. La CNIL a récemment publié une recommandation relative à l’encadrement de la mission et du rôle des mandataires chargés d’exercer les droits des personnes dont les données personnelles sont traitées. Pour plus de détail, cliquez ici.

Le saviez-vous ?

Pour les mineurs et les majeurs faisant l’objet de mesures de protection, c’est la personne détentrice de l’autorité parentale ou le tuteur qui s’occupe des démarches d’accès aux données à caractère personnel.

Droit d’accès à ses données. Le droit d’accès d’une personne ne donne le droit d’accéder qu’à ses propres données. Ainsi, une personne ne peut pas demander à accéder aux données à caractère personnel de son conjoint, en l’absence de mandat.


RGPD et droit d’accès : la procédure à suivre

Un délai à respecter. Lorsqu’une personne demande à accéder à ses données à caractère personnel que vous collectez, vous avez 1 mois pour lui répondre.

Un délai prolongeable. Le délai peut être prolongé de 3 mois « compte tenu de la complexité et du nombre de demandes ». Toutefois, il faut en informer la personne qui demande à bénéficier de son droit d’accès (ou son mandataire) dans le délai d’1 mois.

Le saviez-vous ?

En matière de santé, la communication des données de santé doit être effective au plus tard dans les 8 jours qui suivent la formulation de la demande et au plus tôt dans les 48 heures.

Toutefois, si les données collectées datent de plus de 5 ans, le délai est porté à 2 mois.

Un coût ? Par principe, une demande d’accès aux données personnelles est gratuite. Toutefois, il est possible de prévoir des frais, dès lors que ceux-ci sont « raisonnables et basés sur les coûts administratifs », et notamment :

  • pour toute copie supplémentaire demandée par le demandeur ;
  • si la demande est manifestement infondée ou excessive.

Bon à savoir (1). S’il arrive que le demandeur se déplace dans votre local et si vous n’êtes pas en mesure de lui fournir ses données à caractère personnel, il faut lui remettre un avis de réception daté et signé.

Bon à savoir (2). Si vous envoyez les informations demandées par courrier, il est conseillé de le faire par lettre recommandée avec avis de réception.

Sous-traitant. Le cas échéant, n’hésitez pas à demander de l’aide à votre sous-traitant pour répondre à la demande d’accès d’un client, d’un salarié, etc.

Refuser le droit d’accès ? Vous avez le droit de refuser une demande d’accès si :

  • les demandes sont manifestement infondées ou excessives notamment par leur caractère répétitif ;
  • les données ne sont plus conservées ou ont été effacées.

À noter. Un refus au droit d’accès doit toujours être motivé. En cas de refus, vous devez également informer le demandeur des voies et délais de recours dont il dispose.


Demande d’accès à vos données personnelles : pensez aux courriers types !

Le contexte. Pour accompagner les personnes désireuses d’interagir avec les organismes qui détiennent leurs données personnelles, la CNIL a mis en ligne divers courriers types aux fins de faciliter leur démarche.

Quels domaines ? Les courriers types proposés ont trait aux domaines suivants :

  • internet ;
  • travail ;
  • banque-crédit ;
  • droits ;
  • commerce-publicité ;
  • télécommunications ;
  • santé ;
  • transport ;
  • logement.

Pour quelles actions ? Les démarches facilitées par ces modèles de courrier sont diverses et touchent notamment :

  • à ne plus recevoir de publicités ;
  • à exercer son droit d'accès à ses données personnelles ;
  • à connaître les informations détenues par un établissement financier ;
  • à accéder au fichier central des chèques (FCC) ;
  • à rectifier des données incomplètes ou inexactes ;
  • etc.

Pour accéder à ces courriers, cliquez ici.

A retenir

Lorsqu’une personne demande à accéder à ses données à caractère personnel, il faut lui répondre dans un délai d'un mois. Il n’est pas possible de demander à accéder aux données à caractère personnel d’un tiers sauf en présence d’un mandat ou d’une personne détentrice de l’autorité parentale ou d’un tuteur. Un refus du bénéfice de droit d’accès doit être refusé.

Sources
Une paie juste et optimisée avec l'intégration Lucca et Silae