Le coût des erreurs
Les demandes de personnes concernées sont le point où la conformité au RGPD rencontre la réalité. Vous pouvez avoir la meilleure politique de confidentialité au monde, mais si vous traitez mal une demande d’une personne réelle, c’est là que les plaintes sont déposées et les amendes prononcées.
Les autorités de contrôle à travers l’Europe appliquent systématiquement les droits des personnes concernées. Pour les PME, les amendes ne sont pas les millions dont parlent les gros titres, mais elles sont suffisamment douloureuses : 5 000 EUR ici, 15 000 EUR là, plus les frais juridiques et les dommages à la réputation.
Voici six erreurs qui reviennent constamment dans les décisions de sanctions, et comment éviter chacune d’entre elles.
Erreur 1 : Ignorer complètement les demandes
Ce qui s’est passé : Une entreprise allemande a reçu une demande d’accès par e-mail. Elle n’a pas répondu du tout. Le demandeur a déposé une plainte auprès de l’autorité de protection des données du Land. L’entreprise a été sanctionnée de 10 000 EUR.
Ce n’est pas un cas isolé. L’AEPD espagnole prononce régulièrement des amendes pour des demandes sans réponse, souvent dans une fourchette de 2 000 à 10 000 EUR. Le schéma est toujours le même : quelqu’un demande ses données, l’entreprise ne fait rien, la personne dépose plainte.
Ce qu’ils auraient dû faire : Répondre à chaque demande, même si vous la jugez non fondée. Si vous ne pouvez pas y donner suite, expliquez pourquoi par écrit.
Leçon : L’absence de réponse est toujours la mauvaise réponse.
Erreur 2 : Dépasser le délai de 30 jours
Ce qui s’est passé : Une entreprise belge a reçu une demande d’effacement. Elle l’a accusée de réception, a commencé à y travailler, mais n’a finalisé la suppression qu’après 47 jours. L’APD belge a constaté que la réponse tardive violait le RGPD, indépendamment du fait que la suppression avait finalement été effectuée.
Le piège du délai est courant : les entreprises reçoivent une demande, commencent la vérification d’identité, puis seulement entament le travail réel. Le temps qu’elles répondent, le mois est dépassé.
Ce qu’ils auraient dû faire : Enregistrer la demande le jour même et démarrer le compteur immédiatement. Programmer un rappel à deux semaines et à trois semaines. Si la demande est complexe, informer le demandeur d’une prolongation de deux mois dans le premier mois.
Leçon : Le compteur démarre à la réception de la demande, pas quand vous commencez à y travailler.
Erreur 3 : Facturer des frais quand ce n’est pas autorisé
Ce qui s’est passé : Un cabinet dentaire a facturé 25 EUR à un patient pour lui fournir une copie de son dossier médical en réponse à une demande d’accès. Le patient a déposé plainte. L’autorité de contrôle a jugé que la première demande d’accès doit être fournie gratuitement, et le cabinet a dû rembourser les frais et a reçu un avertissement.
Sous le RGPD, la première demande est gratuite. Vous ne pouvez facturer des “frais raisonnables” que pour les demandes “manifestement non fondées ou excessives” - par exemple, si la même personne soumet la même demande d’accès chaque semaine. En pratique, ce seuil n’est presque jamais atteint.
Ce qu’ils auraient dû faire : Fournir les données gratuitement. N’envisager de facturer que si la demande est clairement répétitive et excessive, et documenter le raisonnement.
Leçon : Ne facturez presque jamais. En cas de doute, c’est gratuit.
Erreur 4 : Exiger une identification excessive
Ce qui s’est passé : Une entreprise a demandé à un client de fournir une copie de passeport complète et non masquée avant de traiter sa demande d’accès. Le client avait un compte et envoyait son e-mail depuis l’adresse enregistrée. L’AP néerlandaise a critiqué l’entreprise pour ses exigences d’identification disproportionnées, notant que le client aurait pu être vérifié via son compte existant.
L’identification excessive est un double problème : elle viole le principe de minimisation des données (vous collectez plus de données que nécessaire) et elle crée une barrière qui décourage les personnes d’exercer leurs droits.
Ce qu’ils auraient dû faire : Vérifier l’identité via le compte existant. Si le client envoie un e-mail depuis son adresse enregistrée, c’est généralement suffisant. Ne demander des documents d’identité qu’aux personnes inconnues, et toujours permettre le masquage des champs inutiles.
Leçon : Vérification proportionnée uniquement. Utilisez ce que vous avez déjà.
Erreur 5 : Fournir des réponses incomplètes
Ce qui s’est passé : Une entreprise autrichienne a répondu à une demande d’accès en fournissant les données de son système CRM. Cependant, elle a omis la correspondance par e-mail, les dossiers papier et les données détenues par un sous-traitant en son nom. La DSB autrichienne a jugé la réponse incomplète et a prononcé une amende.
Cette erreur n’est souvent pas intentionnelle. Les entreprises consultent leur base de données principale et oublient les e-mails, le stockage cloud, les archives papier, les systèmes de sauvegarde et les données détenues par les sous-traitants.
Ce qu’ils auraient dû faire : Consulter tous les systèmes où des données personnelles peuvent être stockées. Créer une liste de vérification :
- CRM et bases de données clients
- Systèmes de messagerie (recherche par nom et adresse e-mail)
- Logiciels de comptabilité et de facturation
- Systèmes RH (pour les demandes d’employés)
- Stockage cloud (Google Drive, Dropbox, OneDrive)
- Dossiers et archives papier
- Données détenues par les sous-traitants (hébergeurs, outils de marketing par e-mail, analytics)
- Systèmes de sauvegarde
Leçon : Cherchez partout. Une réponse incomplète est presque aussi grave que l’absence de réponse.
Erreur 6 : Supprimer des données que vous auriez dû conserver
Ce qui s’est passé : Une entreprise a reçu une demande d’effacement et, prise de panique, a tout supprimé - y compris des factures qu’elle était légalement tenue de conserver pendant sept ans, de la correspondance relative à un litige en cours et des documents nécessaires à des fins fiscales. Quand l’administration fiscale a demandé ces documents plus tard, l’entreprise ne pouvait pas les produire.
Le droit à l’effacement n’est pas absolu. Vous devez évaluer chaque catégorie de données avant de supprimer :
| Type de données | Supprimer? |
|---|---|
| Préférences marketing, abonnements newsletters | Oui, supprimer |
| Notes CRM sans base juridique | Oui, supprimer |
| Factures dans la période de conservation | Non, obligation légale de conservation |
| Données liées à des litiges en cours | Non, intérêt légitime à conserver |
| Dossiers du personnel dans la durée de conservation obligatoire | Non, obligation légale de conservation |
| Données contractuelles dans la durée de conservation légale | Non, obligation légale de conservation |
Ce qu’ils auraient dû faire : Évaluer chaque jeu de données individuellement. Supprimer ce qui doit l’être, conserver ce que vous êtes légalement tenu de garder, et expliquer au demandeur exactement ce qui a été supprimé et ce qui a été conservé (et pourquoi).
Leçon : Ne supprimez pas dans la panique. Évaluez d’abord, agissez ensuite.
Comment bien faire
Chacune de ces erreurs est évitable avec un processus clair. Si vous n’en avez pas encore mis un en place, commencez par notre guide étape par étape pour mettre en place un processus de traitement des demandes. Il couvre tout, de la désignation d’un point de contact à la documentation de votre réponse.
Le schéma commun aux six erreurs est le même : elles se produisent quand il n’y a pas de processus, pas de registre et pas de modèles. Résolvez ces trois choses et vous résolvez le problème.
GDPRWise analyse votre configuration actuelle et identifie les lacunes dans votre processus de traitement des demandes avant qu'elles ne deviennent des plaintes.