Données personnelles : encadrement de l’exercice du droit à la portabilité par un intermédiaire

5065
Imprimer

La Fevad a participé à une réunion organisée fin juin par la CNIL au sujet de l’exercice des droits par l’intermédiaire d’un mandataire. Il s’agissait d’éclaircir les questions restantes des responsables de traitement à l’issue des échanges précédemment menés par la Fevad vis-à-vis du régulateur depuis 2019 sur la mise en œuvre du droit à la portabilité lorsque celui-ci est exercé par le biais d’un mandataire. La Fevad avait en effet alerté la CNIL sur les enjeux soulevés par la mise en œuvre du droit à la portabilité par l’intermédiaire d’un mandat, sans remettre en cause le principe du droit à la portabilité prévu par le RGPD. Les enjeux portent d’une part sur les conditions dans lesquelles une société peut être mandatée pour exercer les droits des personnes et, d’autre part, sur la question de l’éventuelle réutilisation des données ainsi obtenues.

Pour rappel, les droits concernés sont les droits de la personne consacrés dans le Chapitre III du RGPD (droit d’accès, droit de rectification, droit d’opposition, droit à la portabilité des données, etc). A noter également que l’article 77 du décret n°2019-536 permet la pratique du mandat dans l’exercice des droits : « La demande peut être également présentée par une personne spécialement mandatée à cet effet par le demandeur, si celle-ci justifie de son identité et de l’identité du mandant, de son mandat ainsi que de la durée et de l’objet précis de celui-ci. »

Afin de guider les responsables de traitement dans leur réponse à apporter aux demandes d’exercice des droits formulées par des sociétés mandatées, la CNIL a formulé une recommandation assortie d’une FAQ, publiées ce 25 juin.

Il convient de noter qu’un mandat a été donné au Comité européen de la protection des données (CEPD) à la fin 2020, visant à produire des lignes directrices sur l’exercice des droits en général. Un texte devrait être prochainement soumis à consultation publique. Des précisions du régulateur national sont à attendre, à l’issue de la publication prochaine de lignes directrices européennes en la matière. 

La recommandation de la CNIL répond d’ores et déjà à un certain nombre d’interrogations et prévoit notamment :

  • Les cas de refus de faire droit à une demande d’exercice de droits par le biais d’un mandataire (article 7) – Lorsque la demande est manifestement infondée ou excessive ; – Lorsque le responsable de traitement a des doutes raisonnables sur l’identité de la personne concernée ; en raison d’une impossibilité technique.
  • Les modalités de traitement des données mis en œuvre par le mandataire lorsque les données ont été transmises par le responsable de traitement (restructuration/réorganisation des données, conservations des données (article 8)
  • Les modalités de réutilisation des données transmises au mandataire (article 9) :
  • « Les responsables de traitement répondant à des demandes d’exercice de droits ne sont pas responsables des traitements effectués par le mandataire.» (alinéa 78)
  • « L’objet du mandat […] est exclusivement d’exercer les droits de la personne concernée en son nom et pour son compte. Il n’autorise donc pas en tant que telle la réutilisation des données personnelles collectées dans ce cadre par le mandataire pour son propre compte. » (alinéa 79)
  • « Si cette réutilisation n’a pas été prévue dès l’entrée en relation contractuelle entre la personne concernée et le mandataire, ce dernier devra procéder à une analyse de compatibilité des finalités […] et disposer d’une base légale valable » (alinéa 82)
  • « Il appartient également aux mandataires de s’assurer qu’ils respectent les autres réglementations qui peuvent s’appliquer, notamment le droit de la concurrence, le droit des producteurs de bases de données ou encore la théorie civile de l’abus de droit ». (alinéa 85)
  • « Le traitement de données de tiers par un nouveau responsable de traitement doit faire l’objet d’une vigilance particulière. A ce titre, le CEPD considère que le nouveau responsable de traitement peut avoir un intérêt légitime à traiter les données de ces tiers afin de fournir un service à la personne concernée lui permettant de traiter ces données pour son usage personnel, et uniquement pour cet usage. A l’inverse, les droits et libertés des tiers ne semblent pas respectés si le mandataire utilise leurs données à des fins qui lui sont propres. Ainsi, la Commission estime que les mandataires devraient s’abstenir de réutiliser les données relatives à des tiers pour leurs propres finalités ». (alinéa 87)
  • Les mesures de sécurité à mettre en place dans le cadre de la transmission des données (article 10)

En complément, lors de la récente réunion entre la CNIL et les responsables de traitement, les précisions suivantes ont été apportées par la CNIL

Suite réservée aux adhérents :

Désolé ce contenu est reservé aux adhérents

Si vous êtes adhérent vous pouvez y accéder simplement en vous connectant à votre compte MyFEVAD. Si vous n'êtes pas adhérent et que vous souhaitez obtenir des informations sur l'adhésion à la FEVAD, n'hésitez à nous contacter contact@fevad.com.