Politique de gestion des demandes d’exercice des droits des personnes concernées

La Politique de gestion des demandes d’exercice des droits des personnes concernées établit l’approche obligatoire de l’organisation pour gérer les demandes émanant des personnes concernées ou de leurs représentants autorisés. Son champ d’application couvre l’ensemble du cycle de vie du traitement des demandes d’exercice des droits : réception, validation, évaluation, traitement, refus, prolongation, clôture, surveillance et production des éléments de preuve. Elle s’applique à l’accès, à la rectification, à l’effacement, à la limitation, à la portabilité, à l’opposition, à la prise de décision individuelle automatisée, à l’orientation du retrait du consentement, aux réclamations et aux demandes connexes. La politique est conçue pour les contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, les obligations du sous-traitant et du sous-traitant ultérieur s’appliquant lorsqu’un support est fourni à un responsable du traitement, à un client ou à un sous-traitant en amont sur la base d’instructions documentées. L’objet de la politique est de veiller à ce que les demandes d’exercice des droits des personnes concernées soient traitées de manière cohérente, licite, sécurisée, dans des délais définis et avec des éléments de preuve compatibles avec les exigences d’audit. Elle exige que chaque demande soit enregistrée dans REG06 dans les deux jours ouvrés suivant sa réception et classifiée avant le début de l’évaluation. Les champs de classification requis incluent le type de demande, le canal de demande, la date de la demande, la référence d’identité du demandeur, le propriétaire désigné, l’échéance interne, l’échéance légale ou contractuelle et le statut actuel. Pour les responsables du traitement, le responsable de la protection des données / responsable du PIMS doit accuser réception ou fournir la prochaine communication requise dans les cinq jours ouvrés suivant la réception. Les demandes doivent également être liées aux activités de traitement REG02 pertinentes avant l’attribution des actions de traitement, afin que les décisions de réponse soient fondées sur les registres des traitements, les finalités, les catégories de données à caractère personnel, les systèmes, les destinataires et les contraintes de conservation. Un accent opérationnel majeur porte sur la vérification de l’identité et l’évaluation sécurisée. Avant de divulguer des données à caractère personnel ou d’effectuer les modifications demandées, le responsable de la protection des données / responsable du PIMS doit vérifier l’identité du demandeur ou le pouvoir de représentation dans REG06. Lorsque l’identité ou le pouvoir est insuffisant, seules les informations supplémentaires minimales nécessaires à la vérification peuvent être demandées. La politique attribue les demandes à haut risque, contestées, ambiguës, excessives, répétées, refusées ou partiellement satisfaites au délégué à la protection des données / conseiller en protection des données pour revue avant communication de la décision. Elle exige également une revue par le propriétaire du système / propriétaire d’application des extraits de réponse afin d’exclure les données à caractère personnel non liées et les données de tiers non autorisées, ainsi qu’une revue par le responsable de la sécurité de l’information des méthodes de remise avant la divulgation de volumes importants de données à caractère personnel, de données sensibles, de catégories particulières de données ou de données à caractère personnel à haut risque. Les exigences de traitement sont propres à la nature du droit. Les responsables métier doivent fournir les résultats de recherche d’accès au plus tard dix jours ouvrés avant l’échéance de réponse. Les propriétaires de systèmes doivent achever les actions approuvées de rectification, d’effacement, de limitation ou de suppression et enregistrer les éléments de preuve d’achèvement dans REG06. Les dossiers de réponse relatifs à l’accès et à la portabilité doivent être remis au moyen d’une méthode autorisée, avec enregistrement des éléments de preuve de remise avant clôture. Les demandes d’opposition doivent être évaluées et enregistrées avant que le traitement contesté ne se poursuive ou ne cesse. Les demandes impliquant uniquement des décisions automatisées exigent une revue avant que l’organisation ne fournisse un résultat, un circuit de revue humaine ou un motif de refus. Lorsque les résultats approuvés exigent une notification aux sous-traitants, aux sous-traitants ultérieurs, aux responsables conjoints du traitement, aux destinataires ou aux parties au partage de données enregistrés dans REG08, le responsable fournisseurs / achats doit coordonner cette notification. La politique définit également les exigences de gouvernance, de mesure, d’exception et de mise en application. Le responsable de la protection des données / responsable du PIMS est propriétaire du workflow de demandes d’exercice des droits, de la structure REG06, des échéances, des règles d’attribution et des critères de clôture, avec une revue au moins annuelle et des mises à jour après modification substantielle. Les indicateurs incluent la mesure mensuelle des demandes par type, statut, responsable métier et activité de traitement, le reporting mensuel des éléments en retard, la mesure trimestrielle des taux de refus, de traitement partiel et de prolongation, ainsi que la revue trimestrielle des thèmes récurrents, réclamations, litiges et actions correctives. Les audits planifiés doivent échantillonner des enregistrements REG06 clôturés et consigner dans REG12 les constats relatifs à la qualité des éléments de preuve, au respect des délais et à la clôture. Les exceptions doivent être approuvées dans REG12 avant mise en œuvre, avec dates d’expiration, propriétaires et contrôles compensatoires attribués. Les dispositions de mise en application exigent l’enregistrement des non-conformités, l’escalade de l’absence de coopération de tiers, l’attribution par la direction de la propriété des actions correctives en cas de défaillances systémiques et une revue REG10 lorsqu’une non-conformité suggère une divulgation non autorisée, une perte, une altération, une indisponibilité ou un autre incident suspecté relatif aux données à caractère personnel.