Comment transmettre les informations dans le cadre de l’exercice du droit d’accès ?
1. Faciliter l’exercice des droits
Le Règlement Général sur la Protection des Données (RGPD), comme la loi « Informatique et Libertés » antérieure au 25 mai 2018, donnent le droit à une personne d’obtenir une copie des données à caractère personnel qui la concernent auprès du responsable du traitement (article 15-3).
De son côté, le responsable du traitement doit faciliter l’exercice des droits des personnes (article 12).
Il doit fournir les informations relatives au traitement de manière concise, transparente, compréhensible, aisément accessible, en des termes clairs et simples, en particulier lorsque la communication est destinée à des enfants.
2. La réception de la demande
Pour répondre à son obligation de facilitation de l’exercice des droits, le responsable d’un traitement doit privilégier un canal simple d’utilisation, non coûteux, aisément accessible à l’ensemble de la population concernée par le traitement.
Par conséquent, restreindre les modalités d’exercice des droits à un seul moyen de communication comme le courriel ou le courrier recommandé, pourrait être considéré comme une entrave aux droits des personnes.
Les violations des dispositions concernant les droits des personnes sont susceptibles d’être sanctionnées par l’autorité de contrôle à hauteur de 20 000 000€ ou 4% du chiffre d’affaires mondial total.
Néanmoins, le responsable d’un traitement peut privilégier un ou plusieurs moyen de communication sans pour autant interdire les autres.
3. Une communication multimodale
Pour répondre aux demandes des personnes, le RGPD précise que responsable du traitement communique les informations par écrit ou par tout autre moyens, y compris par voie électronique lorsque c’est approprié.
Il peut également fournir les informations oralement, lorsque la personne en fait la demande, s’il peut vérifier l’identité de son interlocuteur.
En cas de doutes raisonnables sur l’identité du demandeur, le responsable du traitement peut demander à la personne des informations supplémentaires à des fins de vérification (copie d’un titre d’identité par exemple).
En effet, pour assurer la sécurité et la confidentialité des données qu’il détient (article 32), le responsable du traitement ne doit les communiquer, dans le cadre de l’exercice du droit d’accès, qu’à la personne directement concernée et sans atteinte aux droits des tiers.
4. Les différents moyens de communication
Les canaux de communication possibles entre le responsable du traitement et la personne semblent donc très larges :
– Téléphone
– Entretien sur place
– Courriel
– Courrier postal
– Courrier recommandé
– Fax
– Formulaire Web
– Espace client
– Etc.
5. Un canal pas si simple à choisir
Néanmoins, le moyen de communication utilisé doit permettre de s’assurer, dans la mesure du possible, que le destinataire est bien la personne concernée ainsi que de la date et de la bonne réception des informations pour le respect du délai de réponse fixé à un mois par le Règlement (article 12).
Par ailleurs, le canal utilisé doit générer la charge la plus faible (traitement et coût) pour le responsable du traitement, surtout s’il gère un grand nombre de demandes sur une période donnée. Le RGPD permet, toutefois, au responsable du traitement d’allonger le délai de réponse de deux mois compte tenu de la complexité et du nombre de demandes.
Certains moyens de communication ne répondent pas à l’ensemble de ces critères.
Par exemple, la vérification de l’identité de l’interlocuteur ne sera pas aisée au téléphone. Bien sûr, si le responsable du traitement a mis en place des « questions secrètes » dans un but d’identification, ou s’il a la possibilité d’interroger la personne sur des éléments qui la concerne et dont il détient la réponse, ce mode de communication peut être envisagé.
Le courriel est rapide, peu ou non coûteux, simple et généralisé comme mode de communication. Néanmoins, il n’est, en général, pas sécurisé, ne permet pas toujours la vérification de sa bonne réception, notamment s’il vient à être classé dans les indésirables, et l’identification du destinataire est aléatoire (adresses pseudonyme, usurpation d’identité, etc.).
Le courrier postal, recommandé avec avis de réception, couvre un grand nombre de critères : authentification du destinataire, rapidité, vérification de la réception du pli. Cependant, il génère une charge financière et humaine qui peut être non négligeable pour l’organisme responsable du traitement.
Le courrier simple est également un moyen de communication intéressant, mais il ne permet pas la vérification de la réception par le destinataire.
Enfin, l’entretien sur place et la remise des documents en main propre nécessitent le déplacement de la personne, ce qui n’est pas possible dans de nombreux cas.
Sur l’ensemble des canaux de communication, ceux qui répondent le mieux à l’ensemble des critères sont l’espace client ou le formulaire web. Ils sont en effet non coûteux pour les personnes (mais pas nécessairement pour le responsable du traitement), permettent la mise en place d’un mécanisme d’authentification et, s’ils sont bien pensés, sont aisément accessibles et faciles d’utilisation. Toutefois, une partie de la population n’a pas un accès internet aisé.
6. Un moyen de communication à adapter en fonction de la demande
Chaque canal de communication des informations à une personne qui exerce son droit d’accès comporte ses avantages et ses inconvénients, intrinsèques au moyen choisi ou à la population de personnes concernées par le traitement.
Il convient, dès lors, d’adapter le mode de communication aux différents cas et de prévoir plusieurs vecteurs de transmission de l’information.
Par exemple, un salarié qui exercerait son droit d’accès à son dossier professionnel devrait avoir la possibilité d’adresser sa demande directement sur place et obtenir la remise des informations en main propre. A l’inverse, ce ne serait pas le cas s’il est mis à pied.
Un client, de son côté, ne devrait pas être obligé de se déplacer sur place pour obtenir la copie de ses données. S’il dispose d’un compte client, il pourrait bénéficier de la possibilité d’exercer et d’obtenir la copie de ses données à partir de son compte.
Pour conclure, le responsable du traitement ne pourra pas se limiter à un canal de communication.
Il ne peut donc interdire complètement un ou plusieurs vecteurs de communication mais peut orienter les personnes vers la ou les solutions choisies en interne, notamment par le biais de l’information des personnes sur leurs droits et la manière de les exercer, préalable au traitement de leurs données.
La transparence et l’information des personnes est le moyen le plus efficace de centraliser au maximum les flux de demandes d’exercice des droits vers les modes de communication privilégiés, mis en œuvre par le responsable du traitement.
Un échange peut être initié entre le responsable du traitement et la personne concernée afin de définir le mode de transmission des informations dans le cadre de l’exercice de son droit d’accès le plus adapté.
Pour aller plus loin :
Comment évaluer mon niveau de conformité avec le RGPD ?
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?