Un mandat pour l’exercice de ses droits

Saviez-vous qu’il est possible d’exercer ses droits par l’intermédiaire d’un mandat ?

La CNIL a récemment publié ses recommandations concernant l’exercice des droits par un mandat. Nous vous proposons de faire le point dans cet article.

Mais de quoi s’agit-il ?

Le RGPD garantit aux personnes des droits sur leurs données à caractère personnel afin d’en garder la maîtrise. Ces droits peuvent être exercés directement par les personnes elles-mêmes auprès des organismes qui détiennent leurs données mais également par l’intermédiaire de personnes ou d’organismes spécialement mandatés pour l’exercice de leurs droits.

Comment cela se passe concrètement ?

La personne qui souhaite exercer ses droits (le mandant) auprès d’un organisme qui détient ses données (le responsable de traitement, détenteur des données) peut décider de mandater une personne physique ou morale (le mandataire) pour l’exercice de ses droits. Le mandataire va donc exercer les droits pour le compte de la personne. L’ensemble des droits prévus par le RGPD peuvent être exercés ainsi :

• droit d’accès
• droit de rectification
• droit à l’effacement
• droit à la limitation du traitement
• droit à la portabilité
• droit d’opposition
• droit d’obtenir une intervention humaine
• droit de retirer son consentement

Un mandat devra être signé entre le mandant et le mandataire. La CNIL propose un modèle de mandat sur son site Internet que vous pouvez retrouver ici. Le mandat doit préciser :

• quel droit le mandataire peut exercer
• la durée du mandat
• les données à caractère personnel faisant l’objet de la demande
• les informations sur l’identité du mandant
• le destinataire des données, à savoir le mandant ou le mandataire

Le mandataire doit toujours tenir informé le mandant de l’évolution de la demande.

Que doit faire le responsable de traitement ?

Le responsable de traitement, détenteur des données, doit quant à lui identifier la personne concernée à l’origine de la demande, s’assurer de l’authenticité, de l’étendue et de la durée du mandat et enfin d’identifier les destinataires des données.

Par ailleurs, les règles classiques en matière de gestion des droits des personnes s’appliquent :  

• La réponse à la demande doit être apportée dans les meilleurs délais et au plus tard dans le délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de demande complexe. Notez d’ailleurs que la complexité de la demande devra être démontrée par le responsable du traitement… Mais attention ! Le simple fait qu’une demande soit exercée par le biais d’un mandataire ne suffit pas à prolonger le délai de réponse.

• Le responsable de traitement pourra refuser de faire droit à la demande lorsque celle-ci est manifestement infondée ou excessive, ou lorsque le responsable de traitement a des doutes raisonnables sur l’identité de la personne concernée. Une fois encore, le fait que la demande soit exercée par l’intermédiaire d’un mandataire ne doit pas conduire à considérer qu’il existe des doutes raisonnables sur l’identité de la personne ou que la demande est manifestement infondée ou excessive.

En bref : le responsable devra toujours faire preuve d’attention lors du traitement de demande exercée par mandat, tout en respectant les principes habituels (gratuité, délais, etc.).

Si vous avez encore des doutes sur la gestion des droits des personnes, n’hésitez pas à nous contacter ! 😉

Articles similaires

Actualité Article RGPD

Minute RGPD : Les IA génératives à l’épreuve du droit

Découvrez le plan d'action de la CNIL au regard des IA comme ChapGPT pour l'intégrer au RGPD !

Lire la suite

Actualité Article RGPD

Les moyens des superhéros de la conformité

Quelles sont les difficultés rencontrées par les Délégués à la Protection des données et les ressources à mettre à disposition ?

Lire la suite