La CNIL a publié le 27 novembre dernier un projet de recommandation relatif à l’exercice des droits par l’intermédiaire d’un mandataire pour le soumettre à consultation publique.
C’est un sujet important qui n’est pas traité par le RGPD et la loi Informatique et Libertés modifiée et qui a pourtant besoin de réponses concrètes.
La CNIL propose ainsi des modalités pratiques d’exercice des droits conférés par le RGPD, par le biais de sociétés mandatées par les personnes. Le texte n’a pas vocation à s’adresser aux intermédiaires mettant à disposition des solutions, telles que des plateformes proposant des courriers pré-rédigés, pour faciliter la transmission des demandes entre les personnes concernées et le responsable de traitement.
Certains points d’étape de la procédure d’exercice des droits par un mandataire sont rappelés, en particulier pour que le mandat soit valide, la durée et l’objet doivent être précisés. Un exemple de mandat type est à cet égard fourni par la CNIL.
La CNIL rappelle aux mandataires que lors de la première étape de la procédure, la vérification de l’identité de la personne ne doit pas être systématique, ni le stockage du justificatif alors qu’une simple consultation suffit. Le stockage du justificatif ne doit intervenir qu’en cas de doutes raisonnables sur l’identité de la personne. Le mandataire peut vérifier l’identité de la personne grâce à des informations supplémentaires, telles qu’un numéro client ou adhérent.
Le mandataire doit également se garder d’ajouter des conditions supplémentaires à celles prévues par le RGPD pour l’exercice des droits.
La CNIL recommande également aux mandataires d’offrir la possibilité de choisir le canal (voie postale ou électronique) par lequel la personne souhaite exercer sa demande. En outre, les mandataires peuvent souhaiter avoir recours aux API, l’utilisation de cette solution est encouragée par la CNIL car elle réduit considérablement la charge des responsables de traitement. Les API ou interface de programmation applicative, permettent de rendre disponible des données sous un format électronique facilement utilisable et permettent également de faciliter les mises à jour ultérieures des données. Les mandataires peuvent également avoir recours à la technique d’« aspiration », cette solution étant réservée à des cas plus spécifiques. Elle consiste pour le mandataire à récupérer les identifiants de la personne en vue d’extraire les données la concernant. Cette solution qui n’est pas exempte de problèmes en matière de sécurisation des échanges de données et de limitation des données peut toutefois se révéler utile lorsque le responsable de traitement n’a pas répondu à plusieurs demandes d’exercice des droits.
Il convient de noter que le fait qu’une demande soit exercée par le biais d’un mandataire n’a pas de conséquence sur le délai de réponse initial d’un mois que doit respecter le responsable de traitement pour répondre à la demande.
Enfin, lorsque l’exercice de droit porte sur la portabilité des données, la CNIL recommande qu’il soit précisé dans le contrat entre le mandataire et la personne concernée, si cette dernière reçoit les données brutes ou si les données seront réorganisées. En effet, le RGPD exige que les données soient transmises « dans un format structuré, couramment utilisé et lisible par machine ». Dans la majorité des cas, ces données brutes n’auront pas d’utilité pour la personne concernée qui peut demander à ce qu’elles soient réorganisées dans un langage intelligible.