Procédure sur l’exercice des droits des personnes #74

Ce document a pour objet de définir la réponse à apporter aux demandes de droit d’accès des personnes concernées à leurs données personnelles. Les demandes devront être traitées conformément aux valeurs de la Scop.

Dès réception d’une demande d'application d'un droit d’accès :

• vous devez immédiatement en informer le référent RGPD (actuellement Mr MARCHAND) ou à défaut à l'un des gérants.
• identifier si la demande correspond à un droit du RGPD
• identifier si la demande provient d’un employé ou d’un client
• si il y a un doute (si besoin se référer à https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces):
  • vérifier l'identité du demandeur
  • vérifier si la demande porte sur des données spécifiques

• nous devons répondre à la demande dans un délai de 30 jours calendaires, à moins qu’un délai plus court ne soit requis (ex. : demande d’accès provenant de la police).
• les demandes de droit d’accès doivent être prises en charge gratuitement.

Le RGPD requiert une divulgation complète des données personnelles, à moins qu’un motif légal autorise la rétention partielle ou totale de ces informations. Le RGPD exige que la divulgation des données personnelles porte sur toutes les données personnelles pertinentes. Nous devons dans un premier temps avoir correctement identifié les demandes qui ressortent du droit d’accès, pour les traiter de manière adéquate. L’application de cette procédure nécessite le soutien actif de tous les employés qui traitent au quotidien des données à caractère personnel. Logeas informatique doit être en mesure de prouver qu’il est performant devant la CNIL. Le RGPD requiert la mise en place d’une procédure de gestion des plaintes, avant que la personne concernée ne s’oriente vers la CNIL.

Il n'existe pas à ce jour de procédure automatique.
Il convient donc d'agir au cas par cas.
L'ensemble des documents fournis seront stockés dans un dossier “RGPD - Droit d'accès aux informations personnelles” situé dans le dossier du client concerné (exemple : D:\Logeas Informatique\Clients\EPUdF\RGPD - Droit d'accès aux informations personnelles)

1. faire une recherche par le nom de l'utilisateur et/ou son adresse mail
2. vérifier que la communication ne porte pas atteinte au droit d'autres personnes
3. imprimer les files de contact dans un fichier PDF à stocker dans un répertoire

Il n'existe pas à ce jour de procédure automatique, il convient donc de faire des copies d'écrans non accessible par l'utilisateur.

Pour mémoire aucun contact avec des clients ne doit partir depuis les files de mail (autre qu'OTRS). En cas de doute procéder de même que pour OTRS, pour ce faire, vous aurez besoin de rechercher des e-mails (y compris les mails archivés ou supprimés s’ils peuvent être retrouvés), documents Word, tableurs, enregistrements vidéos, etc.

Seules les données de MonEspace sont concernées. S'agissant de données liées à un contrat, elles seront uniquement archivées (suivi de la relation client)

Le cas échéant indiquer au client comment il peut modifier sa fiche.

A ce stade, ce droit n'est pas possible automatiquement sur la base MonEspace.
Il convient donc de prendre contact avec un développeur qui procèdera à un export manuel directement depuis la base de donnée.

Dans le cas ou le demandeur est un (ex) salarié, il convient de joindre aussi à la demande le dossier “social”