GDPR Demandes des personnes concernées

Une demande de la part d’une personne concernée est une demande émanant d’un client, d’un employé, d’un fournisseur ou de toute autre personne pour laquelle vous traitez des données à caractère personnel. Le GDPR appelle ces parties « personnes concernées » et ces personnes concernées ont des droits. En résumé, les personnes ont le droit de demander :

  • l’accès à leurs données personnelles
  • la rectification de leurs données personnelles
  • la restriction du traitement de leurs données personnelles ;
  • l’effacement de leurs données personnelles
  • et bien d’autres encore… Pour en savoir plus sur les droits des personnes concernées , cliquez ici.

En règle générale, vous devez toujours répondre à une demande de la personne concernée dans les plus brefs délais. Nous vous conseillons d’accuser réception de la demande dès que possible, et en tout cas dans un délai d’un mois. Utilisez les nombreux modèles répertoriés par GDPRWise dans sa base de connaissances pour vous assurer que vous répondez correctement. Une fois que vous avez accusé réception de la demande, vous pouvez ensuite procéder à l’exécution de la demande.

Il est important de noter que le règlement GDPR stipule que lorsque les demandes des personnes concernées sont manifestement infondées, excessives ou répétitives, vous pouvez soit facturer des « frais raisonnables », soit les rejeter. Voici quelques exemples pour clarifier ces termes :

  • Une demande manifestement infondée peut être une demande qui n’a pas de justification ou d’objectif clair, ou qui est manifestement frivole ou vexatoire. Une demande peut être manifestement infondée si la personne n’a manifestement pas l’intention d’exercer son droit ou si la demande est malveillante. Ils peuvent également utiliser cette demande pour harceler une organisation, sans autre but que de la perturber. Le terme « manifestement » indique que les organisations doivent fournir des preuves démontrant que la demande n’est pas fondée.
  • Une demande excessive peut être une demande qui va au-delà de ce qui est raisonnablement nécessaire pour répondre à la demande de la personne concernée. Par exemple, si une personne concernée demande toutes les données à caractère personnel qu’une entreprise détient à son sujet, sans fournir de détails spécifiques sur les données qu’elle recherche, et que l’entreprise dispose d’un grand nombre de données sur cette personne, répondre à une telle demande pourrait être considéré comme excessif.
  • Une demande répétitive peut être faite à plusieurs reprises par la même personne concernée. Par exemple, si une personne demande à plusieurs reprises l’accès à ses données à caractère personnel, bien qu’elle les ait déjà reçues, on peut considérer qu’il s’agit d’une demande répétitive.

Il est important de noter que si les organisations peuvent être autorisées à percevoir une redevance ou à rejeter les demandes jugées manifestement infondées, excessives ou répétitives, elles doivent toujours examiner chaque demande au cas par cas et justifier leur décision. En d’autres termes, il n’est pas permis d’avoir une politique générale pour déterminer l’acceptabilité des demandes, vous devez examiner chaque demande séparément.

En résumé, ces exceptions doivent être utilisées avec prudence. Le GDPR Data Subject Request ne donne pas de définitions ou d’exemples spécifiques de ce qui est considéré comme manifestement infondé, excessif ou répétitif, et vous devez être en mesure de justifier votre demande. Idéalement, les organisations devraient également s’assurer qu’elles disposent de politiques et de procédures appropriées pour traiter ces demandes, y compris la manière de déterminer si une demande est manifestement infondée, excessive ou répétitive.

Si vous avez des difficultés avec le GDPR, n’oubliez pas de consulter notre base de connaissances sur le GDPR et la manière de commencer.

Ignorer le GDPR est une stratégie risquée pour votre entreprise et, bien que cela demande un certain effort, il y a aussi de nombreux avantages. Consultez notre base de connaissances sur les objections courantes au GDPR et sur la manière de les aborder différemment ici. S’inscrire à GDPRWise dès maintenant et tirez parti du GDPR.

GDPR Demande de la personne concernée