logiciel rgpd

Gérez efficacement vos demandes d’exercice de droit RGPD

RGPDSeptember 4, 2023

La gestion des demandes d’exercice de droit est un des exercices les plus laborieux et importants pour les Délégués à la Protection des données – Data Protection Officer (DPD-DPO). Au-delà de permettre aux personnes de reprendre le contrôle de l’utilisation de leurs données, l’exercice des droits (droit à l'oubli, suppression, rectification, etc.) est un véritable indicateur de conformité pour les entreprises et représente le premier risque de contrôle de l’autorité de contrôle CNIL - en cas de plainte.

Gérer une demande d’exercice de droit implique l’intervention de différents acteurs, la mise en œuvre d’une procédure claire, le respect des délais impartis et l’information des personnes concernées.

Lorsqu’on interroge nos confrères, le schéma est très souvent le même :

Tout ce flux de traitement implique un temps considérable à y consacrer, une multiplication des outils et un nombre important de tâches chronophages à faible valeur ajoutée.

Alors, comment gérer efficacement ses demandes d’exercice de droit ?

La collecte des demandes

La réception des demandes d’exercice de droit sur une adresse de courriel dédiée est sans aucun doute la méthode la plus courante mais pas la plus pratique. Pourquoi ? On vous explique !

Des demandes peu qualifiées - Une des plus grosses difficultés rencontrées par DPO-DPD concernant l’exercice des droits est sans aucun doute le manque de qualification et de clarté des demandes reçues. Cela nous est déjà tous arrivé au moins une fois : tenter de comprendre ce que veut le demandeur. Prêt pour un exemple rempli de douceur ?

Bonjour, je ne veux plus recevoir vos emails, merci de me supprimer de votre base ! D’ailleurs, je ne me souviens pas avoir consenti à l’utilisation de mes données, comment les avez-vous obtenues ?

Ouf Demande de désabonnement ? de suppression ? preuve de consentement ? d’information ?

Comment y remédier ? Vous pouvez détailler les modalités d’exercice de droit et les éléments contextuels nécessaires à la qualification de la demande directement sur le support d’information contenant l’adresse de courriel. Aussi, vous pouvez préparer des modèles de réponses de demandes d’informations complémentaires sur un fichier et les réutiliser selon les cas. Une des solutions qui semblait la plus efficace pour Witik et qui ravit aujourd’hui nos clients était de proposer des formulaires personnalisables ! Pourquoi ? Parce que chacun peut décider, en amont, des informations nécessaires à la bonne gestion et au traitement effectif des demandes reçues.

L’adresse plan B ? Il arrive très souvent que les demandes reçues ne soient pas des exercices de droit au sens du RGPD. Cette adresse de courriel est facilement accessible puisqu’elle disponible sur différents supports et cela implique bien sûr de recevoir des demandes dont le DPO n’est pas le bon destinataire. Par exemple, un prospect ou un client qui souhaite contacter le service commercial ou le SAV. [Une autre hypothèse qui se présente régulièrement : un sous-traitant qui reçoit les demandes d’exercice de droit de ses clients, responsables de traitement.]

Comment y remédier ? Pour ce qui concerne les demandes qui n’entrent pas dans le périmètre des exercices de droits au sens du RGPD, vous pouvez penser à mettre en place un message automatique prévoyant ces cas de redirection. Cela vous permettra de ne pas passer de temps à répondre et rediriger la personne. Par exemple, intégrer une phrase d’information :

Pour toute demande concernant la facturation, livraison, commande, merci de nous écrire à cette adresse SAV@societe.com.

Tâches chronophages ? Pensez efficacité !

Le flux de traitement – Nous l’avons vu, le traitement des demandes implique plusieurs étapes, plusieurs parties, plusieurs outils et plusieurs échanges. Si ce flux n’est pas clairement défini et encadré, le traitement ne pourra être efficient.

Comment y remédier ? Mettez en place des procédures claires – Identifiez les différents cas d’usage : qui sont vos personnes concernées ? quels droits peuvent être exercés auprès de votre organisme ? – Toujours selon les cas d’usage : - identifiez les parties prenantes : DPO, DSI, un ou plusieurs référents métier et anticipez les étapes de traitement pour chaque cas d’usage. La mise en place de procédures claires et précises vous permettra d’avoir un flux de traitement fluide et l’implication des bonnes personnes au bon moment.

Les échanges - Un autre aspect à prendre en considération est la communication avec le demandeur et les personnes impliquées dans cette phase de traitement. Les échanges avec le demandeur sont fréquents et permettent la plupart du temps d’informer de la bonne réception, du traitement ou de la clôture mais aussi de demander des informations complémentaires, si nécessaire. Les échanges internes qui concernent vos collaborateurs peuvent être nombreux dans le cadre de la gestion du traitement de la demande : notifier les collaborateurs de la réception d’une demande ou des actions attendues de leur part.

Comment y remédier ? – Pour optimiser le temps passé à échanger, nous vous conseillons vivement de préparer vos modèles de réponse sur un fichier et de les réutiliser dès que nécessaire concernant les communications avec les personnes concernées. Pour ce qui concerne les échanges qui peuvent avoir lieu avec vos collaborateurs, optez pour la mise en place de canaux de communication dédiés à la gestion des demandes d’exercice de droits comme le permettent des outils tels que Teams ou Slack. L’avantage ? Tous les acteurs sont informés au même moment, l’information est partagée et le traitement est fluidifié. Chez Witik, nous avons fait le choix d’intégrer des boites de communication sur l’intégralité de nos modules et notamment sur la gestion des demandes d’exercice de droits.

Limiter les risques

Éloigner les risques de sanction en conservant les preuves de traitement : Une mauvaise gestion des demandes d’exercice de droit peut être l’élément déclencheur d’un contrôle CNIL si elle a impliqué une ou plusieurs plaintes. Il est essentiel que vous conserviez tous les éléments de preuve qui puissent vous servir en cas de contrôle.

Comment y remédier ? Nous pouvons vous donner des conseils organisationnels pour ce point. D’abord, appréciez la charge de travail des demandes dès leur réception et priorisez-les. Vous pouvez choisir par exemple de prioriser les demandes « simples » à traiter pour réduire votre liste et de prolonger le délai les demandes pour lesquelles vous aurez besoin de plus d’un mois. A moins que vous choisissiez de vous munir d’un outil, il sera compliqué d’automatiser le suivi des échéances. Certains outils, comme Witik, permettent de configurer un rappel automatique et de documenter la prolongation du délai – Mission accomplie, vous éloignez ainsi le risque de ne pas respecter le délai imparti.

Éloigner les risques de sanction en conservant les preuves de traitement : Une mauvaise gestion des demandes d’exercice de droit peut être l’élément déclencheur d’un contrôle CNIL si elle a impliqué une ou plusieurs plaintes. Il est essentiel que vous conserviez tous les éléments de preuve qui puissent vous servir en cas de contrôle.

Comment faire ? - Ces éléments peuvent être divers et variés. Il peut d’agir des échanges avec le demandeur : si vous étiez dans l’attente d’un retour nécessaire au traitement effectif de la demande cela pourra expliquer le retard de traitement. Il peut s’agir des échanges avec vos collaborateurs dans le cadre de la gestion des demandes, du fichier de suivi, etc. L’intérêt de cette démarche est de pouvoir montrer patte blanche en présentant un maximum d’éléments prouvant le traitement effectif. Le principal obstacle qui pourra être rencontré dans ce cadre, c’est la multiplication des outils : les preuves seront présentes sur la boite email, les emails, l’outil de ticketing, le fichier de suivi, etc. L’outil Witik permet d’historiser tout le processus de traitement de chaque demande. C’est sans aucun doute une des fonctionnalités les plus appréciées par nos clients – Un historique de traitement généré automatiquement constitue une puissante preuve à présenter à la CNIL en cas de contrôle et permet de documenter sa conformité au règlement.

Vous souhaitez vous outiller ?

Optez pour une plateforme intelligente et agile !

Choisissez une plateforme flexible qui puisse s’adapter à vos besoins : des formulaires personnalisables, des modèles de réponses intégrés, des processus de validation (workflow) personnalisables en fonction des demandes reçues ou des catégories de personnes concernées, des connexions inter-entités si vous être un groupe, des champs personnalisables, etc.

Découvrir la plateforme
Maya MoghraniWitik - Experte RGPD & Head of CSM

La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.