Dans l’ère numérique actuelle, la protection des données personnelles est devenue une préoccupation majeure pour les entreprises et les institutions publiques. Le Règlement Général sur la Protection des Données (RGPD) a introduit des normes strictes pour le traitement des données personnelles. Un aspect crucial de la conformité au RGPD est le traitement des demandes de suppression des données.
Comprendre la demande de suppression des données
Qu’est-ce qu’une demande de suppression ?
La demande de suppression des données est une composante du “droit à l’oubli” et permet aux individus de demander l’effacement de leurs données personnelles par une organisation. Ce droit est crucial pour maintenir le contrôle des individus sur leurs informations personnelles.
Les entreprises doivent être capables d’identifier une demande de suppression, quelle que soit la manière dont elle est formulée. Il est essentiel de former le personnel pour reconnaître ces demandes et de mettre en place des procédures claires pour y répondre efficacement.
Le processus de traitement de la demande
Étape 1 : vérification de l’identité
La première étape consiste à vérifier l’identité de la personne faisant la demande pour s’assurer qu’elle est bien la propriétaire des données concernées. Cela évite les suppressions de données erronées ou frauduleuses.
Attention, une personne ne peut réaliser la demande au nom d’une autre personne à moins de démontrer qu’elle est mandatée pour cela.
Étape 2 : évaluation de la demande
Une fois l’identité confirmée, il faut évaluer la faisabilité de la demande. Dans certains cas, les données ne pourront pas être supprimées, par exemple lorsque la loi impose à votre organisation de les recueillir et de les traiter.
Étape 3 : exécution de la suppression
Si la demande est valide (la personne est en droit de réaliser la demande, et les données peuvent effectivement être supprimées), les données doivent être supprimées de manière sécurisée et définitive, qu’elles soient au format électronique ou papier. Des processus automatisés de suppression peuvent être mis en place, lorsque la donnée est stockée en base de données, pour simplifier le traitement de la demande.
Écueils à éviter
Non-conformité aux délais
Le RGPD impose un délai d’un mois pour répondre aux demandes, extensible dans certains cas. En cas de non respect de ces délais, et même si une réponse est apportée par la suite, les personnes concernées peuvent porter plainte auprès de la CNIL.
Manque de clarté dans les procédures
Des procédures mal définies peuvent entraîner des erreurs et des retards. Il est essentiel d’avoir prévu des canaux spécifiques de réception des demandes (adresse e-mail particulière, formulaire d’un site Internet, …) et d’avoir sensibilisé les membres du personnel à l’identification des demandes d’exercice de droit de suppression.
Ignorance des exceptions
Certaines données sont exemptées de suppression. Il est important de connaître ces exceptions pour éviter une suppression inutile ou illégale de la donnée.
Généralement, la donnée ne pourra pas être supprimée parce-que :
- une loi ou réglementation applicable vous impose de traiter la donnée (la supprimer serait alors illégal) ;
- votre organisme dispose d’un contrat en cours d’exécution avec la personne concernée, et le traitement des données est nécessaire pour que vous puissiez respecter vos obligations ;
- vous êtes un établissement ou organisme public et traitez les données aux fins de l’exécution de votre mission de service public.
Sauvegarde & récupération
En cas d’incident technique, les équipes informatiques sont susceptibles de charger sur les applications d’anciennes sauvegardes de bases de données, afin de récupérer des informations qui ont été chiffrées ou corrompues. Il est nécessaire alors de supprimer à nouveau les données sur lesquels une demande de droit de suppression a été réalisée depuis la dernière sauvegarde.
Conseils aux délégués à la protection des données
- Automatiser le processus : utiliser des outils automatisés peut accélérer le traitement des demandes et réduire les erreurs humaines ;
- Formation continue : sensibiliser régulièrement le personnel sur les demandes de droit permet de s’assurer que celles-ci seront effectivement identifiées et traitées ;
- Transparence avec les personnes concernées : communiquer clairement avec les personnes sur la manière dont leurs demandes de suppression seront traitées renforce la confiance et la transparence ;
- Documentation : tenir une documentation détaillée des demandes de suppression et des actions entreprises est nécessaire au respect du RGPD. Cela servira de preuve de conformité en cas de contrôle ;
- Collaboration interdépartementale : il faut assurer une collaboration étroite entre les départements informatique, opérationnels, et de la protection des données pour une gestion efficace des demandes. En effet, les actions de respect d’une demande sont souvent divisées, les opérationnels se chargeant d’identifier la personne, la DSI se chargeant parfois de la suppression, et le DPO se chargeant de répondre.
Vers une gestion efficace des demandes de suppression
Le traitement des demandes de suppression de données est un élément crucial de la conformité au RGPD, d’autant plus que ces demandes représentent actuellement une majorité écrasante parmi les demandes de droit RGPD pouvant être exercés par les personnes (d’autres droits existent, mais sont moins exercés).
Se doter d’un process efficace de traitement des demandes permet d’éviter les sanctions et de renforcer la confiance avec les clients ou administrés.
Vous avez des questions le traitement des demandes d’exercice de droit ?
Datanaos propose différents services pour vous assurer d’être conforme au RGPD (audit, formation, délégué à la protection des données externe). Contactez-nous !