Comment réagir à une demande d'exercice de droit de la part d'un client ?

4 conseils pour répondre correctement :

  1. Répondez. Dans les délais. Ça paraît évident dit comme ça, et pourtant... Je précise que le demandeur peut formuler sa demande auprès de n'importe qui dans votre entreprise, surtout si vos consignes sur le sujet ne sont pas claires (voir ce billet de la CNIL). Donc pour répondre il faut déjà que toute personne en lien direct avec un demandeur potentiel puisse identifier la demande et la transmettre à la personne en charge de traiter ;

  2. Ne demandez pas systématiquement une pièce d'identité. Vous devez vérifier l'identité, mais pas de façon excessive. Si j'exerce un droit parce que vous m'envoyez de la publicité par SMS alors que nous ne nous connaissons pas (vous avez acheté mon numéro dans une base quelconque), ne me demandez pas ma carte d'identité : vous vous mettriez à collecter inutilement bien plus que mon numéro de téléphone qui est la seule donnée que vous avez pour le moment. Vous répondez à la demande par un canal chiffré, vous envoyez la clé de déchiffrement sur le numéro de téléphone que je prétends posséder, et hop ;

  3. Répondez à la demande, rien que la demande. Ni plus, ni moins. Par le "moins", je vise soit les réponses clairement partielles (ne prenez pas les demandeurs pour des ânes), soit les réponses trop obscures ou techniques (vous avez une obligation de communiquer clairement, en communiquant un glossaire traduisant votre termes techniques internes en bon français par exemple). Par le "plus" je vise principalement ceux qui ont tendance à se tirer une balle dans le pied en répondant "Nous avons supprimé toutes vos données" à la question "Quelles données avez-vous me concernant"...

  4. N'oubliez pas d'informer le demandeur du nouveau traitement que vous venez de mettre en œuvre. Si si, celui de gestion des demandes de droits à la PAAROLE, pour lequel vous allez faire traiter les données par quelqu'un qui ne les traitait probablement pas avant (DPO ou assimilé), pour une nouvelle finalité, pour une durée spécifique (5 ans à des fins de preuve que vous avez bien répondu, par exemple). Bon là je vais dans le détail, c'est manquant y compris chez certains professionnels du RGPD.