Règle principale :
Toutes les demandes d’exercice de droits (accès, rectification, effacement, etc.) doivent être centralisées auprès du service DPO.
La Mission DPO et ses relais vous accompagne, au besoin, à tout moment lors de ces étapes.

Votre rôle :
I/ Identifier s’il s’agit bien d’une demande d’exercice de droit
--> Elle doit concerner la personne à l'initiative de la demande (celle dont elle elle tutrice ou pour laquelle elle bénéficie d'un mandat)
--> Sur les données à caractère personnel de la personne concernée
--> Pour bénéficier de l'un des droits détaillés ci-après (information, accès, rectification, effacement, opposition, limitation, consignes post mortem)

II/ Qualifier la demande selon la procédure CADA ou CNIL (voir ci-dessous)

III / Transférer dès que possible la demande au service DPO pour traitement.

Le DPO assure ensuite :
- la coordination entre les services concernés ;
- la vérification de l’applicabilité de la demande ;
- la vérification de l’identité du demandeur ;
- le respect des délais légaux pour la réponse ;
- l’envoi des réponses types, garantissant cohérence et conformité.

Ces demandes constituent une source importante de plaintes et de contrôles de la CNIL, d'où la nécessité d'une gestion rigoureuse et centralisée.

- 1 mois pour répondre à la demande à compter de sa date de réception
- Prolongation de 2 mois supplémentaire possible si justification d'une demande complexe ou particulièrement longue à traiter (demandes très étendues, multiples...) à condition d'en informer la personne dans le premier mois de sa demande

Tout manquement (absence ou retard de réponse, réponse incomplète...) engage la responsabilité de l'établissement et peut entraîner une réclamation aurpès de la CNIL, potentiellement suivi d'un contrôle, d'une sanction et la cas échéant d'une perte de confiance de nos usagers.

Dans la fonction publique, 2 régimes juridiques peuvent s'appliquer à une demande d'accès aux documents ou aux informations que détient un organisme public.

- [CADA] Si la demande concerne la communication d'un document administratif (copie d'un dossier usager, d'un rapport...), qu'il contienne ou non des données personnelles : il s'agit d'une demande CADA. Il convient alors de contacter la DAJI car une autre procédure s'applique, hors du champ de l'exercice des droits RGPD.

- [CNIL] Si la demande porte sur les données personnelles des personnes concernées : il s'agit d'une "demande CNIL", c'est à dire d'une demande d'exercice de droit au sens du RGPD. La procédure et les obligations détaillées sur cette page s'appliquent.

Il s'agit du droit, pour les personnes dont les données sont traitées, d'être pleinement informées du traitement effectué.
L'information doit porter sur l'existence du traitement et ses modalités de mise en œuvre.
L'information doit être transmise en amont ou au moment du traitement des données.
Elle peut être donnée sous différents formats : oral, écrit, par voie d'affichage, etc. . Ces différents formats peuvent être complémentaires.
Une notice d'information conforme aux articles 13 et 14 du RGPD doit lui être mise à disposition.

Il s'agit du droit de demander la communication des données qu'un organisme détient sur vous.
Cela permet aux personnes concernées de savoir quelles données les concernant sont traitées par l'organisme en question. Ce droit permet ainsi de contrôler que les données sont exactes et conformes au cadre du traitement. Dans le cas contraire toute personne peut demander la rectification ou l'effacement, selon la situation, de ses données (détails de ces deux autres droits ci-dessous).
Le droit d'accès est régi par l'article 15 du RGPD.

Il s'agit du droit de demander la correction des informations vous concernant qui seraient inexactes ou incomplètes.
Cela permet d'éviter que l'organisme n'utilise des données erronées sur la personne concernée avec les conséquences néfastes associées (non prise en charge ou mauvaise prise en charge...).
Ce droit concerne des informations objectives telles que votre nom, adresse, âge, etc., tel prévu à l'article 16 du RGPD.

Il s'agit du droit de demander la suppression, à un organisme, des données vous concernant qui sont enregistrées.
Selon la base légale du traitement et les propres obligations légales et contractuelles de cet organisme, le suppression du traitement peut ne pas pouvoir être effectuée dans l'immédiat, à la demande de la personne.
Au sein de l'université, les données de scolarité par exemple, doivent être conservées a minima pour tout le temps de scolarité de l'étudiant jusqu'à plusieurs années après son départ pour certaines données le concernant. En revanche, les données de candidature d'étudiants ou de personnels pour lesquelles il n'aura pas été donnée suite, doivent être supprimées bien plus rapidement.

Les modalités complètes de ce droit son prévues à l'article 17 du RGPD.

Il s'agit de la possibilité de refuser l'utilisation de certaines données à un organisme responsable du traitement.
Cela permet à toute personne de s'opposer à ce que ses données personnelles soient utilisées au sein d'un fichier non obligatoire. Ce droit s'applique sans motif pour les cas de prospection commerciale ou sur le motif « des raisons tenant à votre situation particulière » pour lequel vous devez expliquez la raison personnelle pour laquelle vous vous opposez. Celle-ci sera mise en balance avec l'éventuel "motif impérieux" du responsable de traitement.

Les modalités du droit d'opposition sont détaillées à l'article 21 du RGPD.

Il s'agit du droit de demander à un organisme de geler temporairement l'utilisation de certaines de vos données.
Cela permet, lorsque vous contestez l'exactitude des données ou que vous vous opposez à leur traitement, de faire cesser l'utilisation de ces dernières le temps que l'organisme procède à l'examen de votre demande. Ce droit vient donc en renfort notamment du droit de rectification et du droit d'opposition.
L'organisme ne pourra ainsi plus utiliser les données sur cette période mais les conservera.
A l'inverse vous pouvez aussi demander la conservation de vos données, que l'organisme souhaite effacer, le temps d'exercer vos droits, notamment lors de toute action en justice. Cela peut concerner la conservation d'images de vidéosurveillance vous concernant.

Le droit à la limitation est prévu à l'article 18 du RGPD.

Il s'agit du droit de récupérer vos données dans un format "lisible par machine" pour les conserver de votre côté ou les transmettre à un autre système.
Cela ne concerne que les données fournies sur l'une des deux bases légales suivantes : le consentement de la personne ou le cadre d'un contrat.
Cela permet à toute personne de conserver ses données lors d'un changement de service.
Contrairement au droit d'accès, les données doivent ici être exploitables par une machine et non spécialement "lisibles par un humain".
Le but est de pouvoir importer le fichier transmis au sein d'un nouveau système équivalent.

Ce droit est prévu par l'article 20 du RGPD.

Il s'agit du droit de définir de son vivant les directives générales et particulières sur l'utilisation de ses données après sa mort.
Cela permet à toute personne de définir les règles d'utilisation, d'accès et de suppression de ses données post mortem.
Les "directives générales" peuvent être enregistrées auprès d'un tiers de confiance comme un notaire et s'apparentent à un testament.
Les "directives particulières" un site ou un service spécifique et doivent être communiquées spécialement à l’organisme concerné.

Ces règles sont établies à l'article 85 de la Loi Informatique et Liberté.