En fonction de leur activité spécifique, les responsables de traitement de données personnelles peuvent recevoir des demandes quotidiennes d’exercice des droits.
Nous constatons en effet que les personnes concernées par des traitements de données sont de plus en plus nombreuses à disposer d’un haut niveau de connaissance quant à leurs droits sur leurs données, et à les exercer.
Nous avons ainsi pu noter une forte augmentation des demandes de droit d’accès.
Ces demandes d’exercice des droits sont parfois accompagnées de menaces de publicité sur les réseaux sociaux ou de saisine de la Cnil en l’absence de traitement rapide.
De notre côté, nous avons pu accompagner un client tout au long de ses échanges avec un de ses propres clients dont il avait collecté les données professionnelles de contact (nom, fonction, email de contact).
Cette personne avait une première fois demandé à notre client de lui communiquer la preuve du recueil de son consentement à la collecte et d’effacer ses données. Il soutenait n’avoir jamais consenti à recevoir de communications email de la part de notre client.
Faute de réponse, il l’avait mis en demeure de lui communiquer les informations demandées, ou il saisirait la Cnil.
Après vérification, les équipes de notre client ont constaté que l’utilisateur de l’email de contact utilisé par le demandeur était en congés lors de la demande initiale et n’avait pas pu encore traiter cette demande.
Afin d’éviter toute nouvelle difficulté, l’email personnel a été remplacé par un email générique de contact renvoyant sur plusieurs adresses email.
Ce cas illustre la nécessité d’une répartition claire des rôles en interne s’agissant des étapes du traitement d’une demande d’exercice des droits (accusé-réception, vérification de la base légale et des données traitées, traitement de la demande, préparation de la réponse et archivage).
Dans la mesure des possibles, chacune des personnes impliquées doit recevoir la demande initiale, afin de limiter le risque qu’une demande ne soit pas traitée.