RGPD – Le véritable enjeu des entreprises : les droits des personnes concernées
ARTICLE D’EXPERT – Par Amelie Iacono, Consultante RGPD chez GAC Group
Depuis l’adoption du RGPD, il est désormais plus simple et rapide pour les citoyens européens d’exercer leurs droits d’accès, d’effacement, d’opposition de leurs données. Selon un sondage IFOP, près de la moitié des personnes ont constaté des abus dans l’utilisation de leurs données à caractère personnel. Votre entreprise est-elle prête à réagir en cas d’une demande de droit d’une personne concernée ?
Redonner au citoyen la main sur ses données
L’adoption du RGPD avait pour objectif de redonner à l’individu les clés de la protection de ses données. Les personnes bénéficient aujourd’hui de plus de transparence quant à l’utilisation de leurs données par les entreprises et sont en mesure de vérifier que les principes du RGPD sont respectés, notamment par le biais de l’exercice de leurs droits.
A cet effet, le RGPD a, d’une part, réaffirmé les droits précédemment établis tels que le droit d’accès, le droit à l’effacement et le droit à la rectification, et, d’autre part, créé de nouveaux droits comme le droit à la portabilité.
La CNIL : sensibilisation des personnes concernées
La CNIL communique à cet égard : les personnes concernées par des traitements de données à caractère personnel ont des droits et doivent pouvoir les exercer (https://www.cnil.fr/fr/respecter-les-droits-des-personnes).
En outre, la Commission a publié, à l’occasion de la journée européenne de la protection des données, un nouvel article à ce sujet (https://www.cnil.fr/fr/vous-avez-des-droits-sur-vos-donnees-profitez-en-0), s’appuyant sur des statistiques réalisées par l’Ifop. L’étude de l’Ifop, réalisée sur un panel de plus de 1 000 personnes et disponible sur le site de la CNIL, rapporte une évolution positive de la question de la protection des données puisque 66 % des interrogés se disent sensibilisés.
Dans la continuité de sa démarche de pédagogie, la Commission met à disposition des personnes concernées la procédure à suivre pour exercer l’un de leurs droits et les modalités et informations à garder en tête.
L’exposition des entreprises face à l’exercice des droits par les personnes
Selon le sondage effectué par l’Ifop, 46 % des personnes ont constaté des abus dans l’utilisation de leurs données à caractère personnel. Seuls 16 % de cette population ont effectué un signalement ou une action en réponse à cet abus. Enfin, une grande majorité des répondants (entre 70 et 90 %), qui serait de nouveau confrontée à des abus, serait prête à agir. Dans ce cas, la personne pourrait contacter directement l’entreprise concernée, voire contacter la CNIL ou se joindre à une action collective. Au-delà du montant des sanctions qui a largement été évoqué, l’impact sur la réputation de l’entreprise lors de l’implication d’un acteur externe n’est pas négligeable.
La sensibilisation a fonctionné puisque les personnes exercent de plus en plus leurs droits. Pour autant, l’exercice de ces droits est-il utilisé à raison par les personnes concernées ? Pour rappel, le considérant 63 du RGPD dispose qu’ « Une personne devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. »
Aujourd’hui invoqués dans le cadre de contentieux (par exemple prudhommaux), on assiste à une instrumentalisation du RGPD.
Et vous ?
Dans le contexte de votre entreprise, avez-vous déjà eu à gérer une demande de droit d’une personne concernée ?
Étiez-vous en mesure de lui apporter une réponse dans les délais légaux ? Avez-vous fait droit à toutes les demandes ? Quelle charge cela a-t-il représenté pour vous en termes d’identification des données concernées, d’extraction et de réponse apportée à la personne concernée ? Quelle forme a pris votre réponse ?
Avez-vous capitalisé sur cette expérience pour mettre en place des procédures internes ?
Si vous ne répondez pas dans les temps, la CNIL peut-être sollicitée sur ce sujet (regarder notre vidéo).
Et nous ?
Avec plus de 17 années d’expérience en méthodologie d’audit, conseil et justification à conformité, GAC Group propose une solution globale d’accompagnement à la mise en conformité RGPD, depuis la phase d’audit jusqu’à la mise en place du plan d’actions.
L’intérêt d’un accompagnement externe, outre le gain de temps lié à l’expertise et à l’expérience accumulées, réside principalement dans la pluridisciplinarité des compétences apportées, du point de vue audit et organisationnel, mais également juridique et technique, facilitant ainsi l’analyse et la priorisation des actions.
Contactez-nous pour bénéficier d’un accompagnement organisationnel sur la mise en place de procédures et apprenez à répondre aux exigences du RGPD en maîtrisant le périmètre de vos obligations.