Exercice des droits via un mandat : la CNIL lance une consultation publique sur son projet de recommandation

25 novembre 2020

Par le biais d’un mandat, une personne peut désigner une société afin que celle-ci exerce ses droits à sa place. Afin de clarifier le cadre applicable, la CNIL propose une consultation publique sur un projet de recommandation.

consultation

Qu’est-ce qu’un mandat ?

Le RGPD accorde aux personnes des droits leur permettant de garder la maîtrise des données personnelles qui les concernent.

Elles peuvent exercer ces droits :

  • soit directement auprès des organismes qui détiennent les données (les « responsables de traitement ») ;
  • soit par l’intermédiaire d’une société qu’ils mandatent spécialement à cet effet.

Si une société est mandatée, celle-ci doit pouvoir justifier de son identité (ou de sa raison sociale), de son mandat, ainsi que de la durée et de l’objet précis de celui-ci.


À qui s’adressent cette recommandation et cette consultation ?

De nombreux organismes, qu’ils soient responsables de traitement recevant des demandes d’exercice de droits, ou entreprises fournissant des services d’exercice de droits aux individus, ont fait part à la CNIL de la nécessité de clarifier le cadre dans lequel l’exercice de droits peut se faire par l’intermédiaire d’un mandat.

La CNIL a donc décidé d’élaborer une recommandation à destination  :

  • des sociétés mandataires qui permettent aux personnes d’exercer leurs droits par leur intermédiaire ;
  • à l’ensemble des responsables de traitement, publics ou privés, qui reçoivent des demandes d’exercice des droits par le biais de sociétés mandatées.

Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer ces acteurs.

 

La consultation sur le projet de recommandation est ouverte à toute personne intéressée.


Quel est le contenu du projet de recommandation ?

Une présentation des étapes d’une demande d’exercice des droits

Le projet de recommandation s’articule autour des différentes étapes d’une demande d’exercice de droits par le biais d’un mandataire :

  1. la création d’une relation contractuelle entre la personne concernée (le mandant) et le mandataire ;
  2. l’établissement d’un mandat spécifique, ainsi que la transmission de la demande d’exercice de droits au responsable de traitement ;
  3. la transmission des données par le responsable de traitement à la personne concernée ou au mandataire ;
  4. la transmission des données par le mandataire à la personne concernée, ou à un autre responsable de traitement (dans le cadre d’une demande de portabilité), ou le stockage des données ; et
  5. la réutilisation par le mandataire des données ainsi obtenues.

Il aborde notamment les questions suivantes :

  • la forme du mandat et son contenu ;
  • les demandes de droit automatisées ;
  • les cas précis dans lesquels un mandat peut se renouveler automatiquement ;
  • les situations dans lesquelles un responsable de traitement peut considérer une demande d’exercice de droits par un mandataire comme étant complexe, manifestement infondée ou excessive ;
  • les normes de sécurité qu’il conviendrait de mettre en œuvre et les formats de transmission des données ; et enfin
  • les conditions dans lesquelles un mandataire peut réutiliser les données ayant fait l’objet de l’exercice du droit, pour son propre compte.

D’autres méthodes pour la mise en œuvre de l’exercice de droits par l’intermédiaire de sociétés mandatées existent, sous réserve que celles-ci permettent d’être conforme aux textes en vigueur.

Enfin, dans le cas où une demande d’accès à des données de paiement est faite par un prestataire d’initiation de paiement ou d’information sur les comptes, et si cette demande entre dans le champ de la deuxième Directive sur les services de paiement (DSP2), les acteurs peuvent se référer à cette recommandation sur tous les points où la DSP2 est silencieuse.

Un mandat-type d’accompagnement

Cette recommandation est accompagnée d’un mandat-type auquel les mandataires et les responsables de traitement peuvent se référer.

Attention, il ne concerne que la protection des données : d’autres clauses à caractère commercial peuvent également y être intégrées, à condition qu’elles ne contredisent pas la réglementation applicable à la protection des données.


Quel est le calendrier de la consultation ?

Nous vous invitons à nous faire part de votre avis lors de cette consultation publique qui prendra fin le 6 janvier 2021.

À l’issue de cette période, une nouvelle version du projet de recommandation sera présentée aux membres de la CNIL réunis en séance plénière pour adoption définitive.

Les mots clés associés à cet article