La CNIL vient de publier une nouvelle recommandation qui concerne l’exercice de leurs droits par les personnes dont les données personnelles sont traitées par le biais d’un mandataire. De quoi s’agit-il exactement ?
RGPD : la CNIL publie sa recommandation concernant l’exercice des droits par un mandat
Pour mémoire, le RGPD est une règlementation européenne qui encadre la protection des données personnelles qui sont collectées et utilisées (« traitées ») par tout professionnel.
Parmi ses nombreuses dispositions, le RGPD instaure, par exemple, un « droit d’accès » au profit des personnes dont les données sont traitées, qui leur permet d’accéder au traitement de leurs données à caractère personnel réalisé par un professionnel ou une administration (appelé(e) « responsable de traitement » des données personnelles).
La personne qui souhaite exercer un droit relatif au traitement de ses données personnelles peut exercer celui-ci de manière directe, mais aussi confier à un mandataire la tâche d’exercer son droit.
La CNIL vient de publier une recommandation relative au rôle de ces mandataires, et à l’encadrement de leurs missions.
Le document publié aborde notamment la question :
des étapes d’une demande d’exercice des droits par le biais d’un mandat, des situations dans lesquelles un responsable de traitement peut rejeter la demande d’exercice du droit d’accès (en raison par exemple de son caractère excessif ou infondé), des normes de sécurité à mettre en œuvre et des conditions dans lesquelles un mandataire peut lui-même réutiliser les données transmises pour son compte et sous sa responsabilité ;
de la forme du mandat et de son contenu et comporte, à ce titre, un exemple de mandat-type (disponible ici) mis à disposition des mandataires et responsables de traitement.
Dans le cadre de l’élaboration de sa recommandation, la CNIL a consulté divers professionnels, dont les apports ont notamment permis :
de clarifier le rôle et les responsabilités des responsables de traitement (qui doivent répondre aux demandes) et des mandataires (qui sont responsables des traitements qu’ils mettent en œuvre sur les données lorsqu’ils les reçoivent) ;
de renforcer les conditions dans lesquelles les mandataires sont autorisés à recourir au « scraping », c’est-à-dire l’extraction de contenus.
A toutes fins utiles, notez que la CNIL accompagne la publication de sa recommandation d’une foire aux questions (FAQ – disponible ici).
Source : Délibération n° 2021-070 du 27 mai 2021 portant adoption d’une recommandation relative à l’exercice des droits par l’intermédiaire d’un mandataire
RGPD : la CNIL encadre le rôle des « mandataires » © Copyright WebLex – 2021