Exercice des droits par un mandat : la CNIL publie sa recommandation

25 June 2021

Tout individu peut exercer ses droits par l’intermédiaire d’une personne ou d’un organisme mandaté à cet effet. Afin d’accompagner ces derniers, la CNIL publie sa recommandation adoptée à la suite d’une consultation publique.

Quel est le but de cette recommandation ?

Le RGPD accorde aux personnes un certain nombre de droits leur permettant de garder la maîtrise de leurs données personnelles.

Ces droits peuvent être exercés par les individus eux-mêmes, directement auprès des organismes qui détiennent leurs données (les « responsables de traitement ») mais aussi par l’intermédiaire de personnes ou d’organismes qu’ils mandatent spécialement à cet effet.

Cela concerne entre autres le droit à la portabilité, qui facilite la libre circulation des données personnelles dans l’Union européenne, tout en stimulant la concurrence et l’innovation, ainsi que le droit d’accès, qui apporte un haut niveau de transparence sur la réalité des traitements pour les personnes concernées.

Le mandat offre de nouvelles perspectives pour les individus, mais aussi pour tout un écosystème d'acteurs, privés et publics, souhaitant créer des solutions inédites et de nouveaux usages.

La CNIL a donc décidé d’élaborer une recommandation pour offrir un cadre à ces activités et apporter de la sécurité juridique tant aux acteurs souhaitant revêtir le rôle de mandataire qu’aux organismes recevant des demandes émanant de ces acteurs.

Sans être prescriptive ni exhaustive, cette recommandation joue le rôle de guide pratique destiné à éclairer ces acteurs sur les conditions dans lesquelles les individus peuvent mandater des organismes pour exercer leurs droits.

Quel est le contenu de la recommandation ?

Les étapes d’une demande d’exercice des droits par un mandat

La recommandation présente les différentes étapes d’une demande d’exercice de droits par le biais d’un mandataire et aborde notamment les questions suivantes :

  • la forme du mandat et son contenu ;
  • les demandes de droit automatisées ;
  • les situations dans lesquelles un responsable de traitement peut considérer une demande d’exercice de droits par un mandataire comme étant complexe, manifestement infondée ou excessive ;
  • les normes de sécurité qu’il conviendrait de mettre en œuvre et les formats de transmission des données ;
  • les conditions dans lesquelles un mandataire peut réutiliser les données ayant fait l’objet de l’exercice du droit, pour son propre compte et sous sa responsabilité.

Un mandat-type d’accompagnement

Cette recommandation est accompagnée d’un mandat-type auquel les mandataires et les responsables de traitement peuvent se référer.

Attention, il ne concerne que la protection des données : d’autres clauses à caractère commercial peuvent également y être intégrées, à condition qu’elles ne contredisent pas la réglementation applicable à la protection des données.

De nombreuses contributions retenues pour la recommandation

A l’issue d’une consultation publique lancée le 25 novembre 2020, une vingtaine de contributeurs ont permis d’enrichir le projet de recommandation initialement publié, en particulier sur quatre points :

  1. La version finale de la recommandation clarifie la répartition des rôles et des responsabilités entre les responsables de traitement et les mandataires. Les premiers doivent répondre aux demandes, les seconds sont responsables des traitements qu’ils sont susceptibles de mettre en œuvre sur les données, dès leur réception.
  2. La recommandation clarifie son champ d’application, notamment vis à vis des prestataires de paiements dont l’activité est encadrée par la DSP2 (2eme directive sur les services de paiement). Les prestataires d’information sur les comptes peuvent exercer les droits prévus par le RGPD en qualité de mandataire si certaines conditions sont respectées, notamment en dehors de la fourniture d’un service d’information sur les comptes ou si la demande ne porte pas sur des données de paiement.
  3. La recommandation clarifie également les hypothèses dans lesquelles un mandataire peut être rendu destinataire des données : la transmission directe des données par le responsable de traitement ne peut être exigée que dans le cadre du droit à la portabilité, mais la CNIL encourage les responsables de traitement à adresser les données au mandataire lorsque ce dernier est désigné comme destinataire par la personne concernée dans le mandat.
  4. La recommandation renforce les conditions dans lesquelles les mandataires peuvent exceptionnellement envisager de recourir à l’extraction de contenus (ou scraping).

Les contributions ont également permis d’enrichir les travaux de la CNIL sur différents sujets. Afin de répondre à la plupart des interrogations qu’elle a reçues, la CNIL accompagne la publication de sa recommandation d’une FAQ.

Keywords associated to this article