À l'approche de la fin de l'année dernière, les entreprises ont eu du mal à mettre à jour leurs pratiques de protection des données. En fait, certaines entreprises ont été condamnées à des amendes pour non-conformité. Cependant, après une longue période de mise au point, les exigences du RGPD ont été standardisées dans les programmes de conformité existants.
Ce à quoi de nombreuses entreprises étaient mal préparées, c'était l'assaut contre les consommateurs exerçant leurs droits sous le nouveau régime. Dans le cadre du PMP, un consommateur peut déposer une demande d'accès auprès d'une organisation pour déterminer si cette organisation traite des données personnelles à son sujet et, le cas échéant, les noms des parties. avec qui il a été partagé. a été partagé
En fait, ce ne sont là que quelques-unes des questions de recherche auxquelles l'utilisateur, en tant que personne concernée, peut demander des réponses. De plus, une fois que le SAR a été soumis à l'organisation, celle-ci est légalement tenue de se conformer à la demande, de récupérer les informations et de répondre officiellement à la personne concernée, le tout dans un délai spécifié. Un mois
Demande d'accès au sujet.
Le SAR est devenu un problème épineux pour les contrôleurs de données qui tentent de faire face à la myriade de demandes des clients. Plusieurs facteurs en sont responsables :
Premièrement, il n'est pas facile de déterminer ce qui constitue un SAR; Le règlement habilite la personne intéressée à formuler une demande comme elle l'entend, qu'il s'agisse d'une demande manuscrite, d'une communication verbale ou numérique, allant des courriels aux tweets. Compte tenu de ce manque de structure et de normalisation, il est difficile d'identifier et de segmenter les SAR de manière évolutive. Les organisations peuvent ne pas être en mesure de répondre à temps ou de prendre des mesures.
Deuxièmement, il est déjà important de récupérer les données demandées pour répondre avec précision aux questions posées dans les rapports d'audit. En effet, les professionnels de la conformité semblent de plus en plus préoccupés par le fait qu'il est insoutenable à long terme de consacrer une quantité disproportionnée de ressources à la gestion des opérations SAR. En fait, plusieurs organisations ont demandé au régulateur plus de clarté sur la possibilité de commencer à facturer le RAS aux clients si les demandes étaient jugées excessives.
Et, il y a un troisième souci qui demande une attention particulière : l'authentification de l'identité de la personne qui fait la demande. La divulgation de renseignements personnels sans authentification de l'identité de la personne prétendant être la personne peut avoir des conséquences désastreuses. En effet, le traitement d'un SAR frauduleux et la divulgation d'informations personnelles à un usurpateur d'identité sapent l'idée même de protection des données que le RGPD cherche à faire respecter. Les organisations doivent s'assurer que la personne qui effectue la RS ne semble pas être la personne impliquée dans le vol de renseignements personnels.
Crédit d'image: Shutterstock
(Image: © Pexels)
Authentification des identités des utilisateurs.
Inévitablement, il y aura des cas où les personnes mettant en place le SAR ne pourront pas être authentifiées à l'aide des informations stockées par le responsable du traitement, les cas rares mais non rares où la personne a perdu ses identifiants. Connection ou n'ont plus accès à l'email qu'ils ont utilisé pour créer leur compte. Dans de telles situations, les organisations peuvent envisager une approche fondée sur les risques pour déterminer si la personne qui effectue la RSA est la personne impliquée.
Avec le recul, il semble qu'à mesure que les organisations mettent rapidement en place des contrôles et réorganisent leurs programmes de protection des données pour devenir une plainte GDPR, l'importance de la vérification SAR a été enterrée sous une montagne d'autres préoccupations urgentes. . Maintenant que les organisations ont eu un an pour s'adapter à ce nouvel environnement axé sur le RGPD, l'importance de l'authenticité de l'identité de la personne effectuant le RAD ne peut plus être ignorée.
Zac Cohen, directeur général de trulio