Please enable JavaScript.
Coggle requires JavaScript to display documents.
RGPD_droit_d'accès_DCP (Questions liées au traitement des demandes…
RGPD_droit_d'accès_DCP
Questions liées à la phase « amont »
À quoi sert le droit d'accès ?
Quel est le but recherché par la personne
qui exerce son droit d'accès ?
Une personne morale peut-elle exercer un droit d’accès au titre de la loi Informatique et Libertés ?
Quels sont les textes qui régissent le droit d'accès ?
Quels sont les risques à ne pas traiter correctement les demandes de droits d’accès ?
Comment choisissez-vous le « service ou la personne auprès duquel s’exerce le droit d’accès » ?
Comment et quand informer les personnes concernées de la démarche qu’elles doivent suivre pour exercer leur droit d’accès ?
Pouvons-nous privilégier l’utilisation d’un canal pour l’envoi de la demande ?
Comment évaluer les « coûts de reproduction » ou les « coûts administratifs » ?
Quelle formulation vous paraît la meilleure pour indiquer les modalités à suivre pour exercer son droit d’accès ?
Questions liées à la réception
des demandes
Quelles consignes avez-vous données à votre service courrier ? À votre accueil ? À votre service téléphonique ? À votre webmaster ?
Dans votre organisme, à qui sont communiquées les demandes ? Le DG ? Le service clients ? Le médiateur ? Le service juridique ? Le DPO ?
Comment vérifier l’identité du demandeur ? Jusqu’où faut-il aller ? Qui décide du « niveau d’exigence » concernant la preuve d’identité ?
Un demandeur peut-il se faire représenter ?
Pourquoi conserver la preuve d’identité, combien de temps et où ?
La demande doit-elle être signée ? Que faire si elle ne l’est pas ?
Faut-il accuser réception de la demande ?
Devons-nous accepter les demandes par téléphone ?
Faut-il garder trace des demandes de droit d’accès ?
Dans le cas d’une demande reçue par courrier : quelle date retenir concernant le délai de un mois ? La date portée sur le courrier ? Celle figurant sur le cachet de la poste ? Celle de la réception par votre organisme ?
Dans le cas d’une demande reçue par courriel : quelle date retenir concernant le délai pour répondre ?
Le fait de demander une précision au demandeur retarde-t-il le délai ?
Que faire si la demande est jugée abusive ?
Questions liées au traitement
des demandes
Qui cherche les informations ?
Ceux chargés de la mise en œuvre des traitements
Savons-nous où aller chercher l’information ?
Et si les données sont chez un sous-traitant ?
Qui prépare la réponse ? Qui la « valide » ?
Qui s’assure de la complétude de la réponse ?
Qui s’assure de la clarté de la réponse ?
Qui signe la réponse ?
Qui veille au respect des délais ?
Quel est le rôle du DPO ?
Que doit contenir la réponse ?
Doit-on fournir toutes les données en rapport avec la personne ?
Devons-nous communiquer également le contenu des zones de libre commentaire ?
Devons-nous tout fournir, y compris dans les traitements de lutte contre la fraude ?
Devons-nous fournir des informations susceptibles de nuire à des tiers ?
Une analyse juridique relative à une personne est-elle une donnée personnelle devant être communiquée ?
Faut-il aller jusqu’à fournir la « logique » du traitement ? (profiling, data mining, big data, etc.)
Faut-il fournir les détails de notre méthode de scoring ?
Devons-nous tout fournir, y compris concernant les traitements Ressources Humaines ?
Dans le cas d’enregistrements de communications vocales, que devons-nous fournir ?
Parmi les données figurent des informations que nous ne devrions plus détenir. Que faire ?
Parmi les données, figurent des informations que nous n’aurions jamais dû détenir. Que faire ?
Devons-nous fournir les métadonnées associées aux données personnelles ?
Devons-nous fournir les « logs de connexion » ?
Et dans ce le cas des Cookies, que fournir ?
Les données que nous détenons sont en archives définitives. Que faire ?
Et si on ne trouve aucune donnée ? Que faire ?
Pouvons-nous fournir les données relatives à une personne décédée, et si oui à qui ?
Sur quel support communiquer les données ?
Quel canal privilégier pour envoyer les données ?
Faut-il conserver une copie des données communiquées au demandeur ?
Que fait la CNIL concernant le droit d’accès ?