Jonathan White, architecte de solutions, EMEA, Epiq, le 1er mars 2024
Publié dans Asia Law Portal

Récemment, plusieurs cas très médiatisés ont vu des institutions financières devoir faire face à une augmentation soudaine des demandes d'accès aux données (DSAR). Ces cas ont mis en évidence l'importance d'être préparé. Comme les DSAR ne sont pas près de disparaître, les organisations doivent prendre le temps dès maintenant de définir des processus efficaces et rentables pour y répondre, qui pourront être reproduits à chaque fois.

L'article 15 et le considérant 63 du règlement général sur la protection des données (RGPD) ainsi que la loi britannique de 2018 sur la protection des données accordent aux personnes le droit de demander une copie des données à caractère personnel détenues par une organisation. Il incombe à l'organisation et à ses employés d'accueillir et de répondre à ces demandes. Bien que répondre aux DSAR puisse être fastidieux, puisqu'il s'agit d'un droit légal, votre culture d'entreprise doit traiter toutes ces demandes dans un esprit d'ouverture, conformément à la législation, quel qu'en soit le coût. Cet esprit d'ouverture n'est peut-être pas encore ancré dans votre culture, il est donc important de reconnaître les changements qui pourraient être nécessaires.

Alors, par où commencer ? Pour gérer efficacement les DSAR, qui peuvent varier considérablement en termes d'ampleur et de complexité, votre organisation doit se préparer en combinant processus, technologie et facteurs culturels. Pour de nombreuses organisations, il est à la fois plus efficace et plus rentable d'externaliser cette tâche intensive.

Votre guide sur les DSAR

Tant que votre entreprise traite des données de consommateurs, quel que soit votre secteur d'activité, ce guide Epiq vous aidera à naviguer dans le processus de réponse aux DSAR :

Changez votre culture pour accepter les DSAR comme un droit légal

Il est essentiel d'instaurer une culture positive au sein de votre organisation qui comprenne et respecte ce droit. Indépendamment de toute opinion personnelle sur les affiliations du demandeur ou de votre personnel, les DSAR doivent être traitées conformément à la loi. Vos équipes doivent être conscientes que toutes les notes qu'elles rédigent ou les données qu'elles collectent peuvent être incluses dans une réponse à une DSAR, ce qui peut avoir un impact négatif sur votre organisation. Veillez à ce que toutes les notes et données soient légales et raisonnables afin d'éviter d'ouvrir la boîte de Pandore en matière de risque pour la réputation. Un partenariat avec les RH, la communication interne et les opérations pour vous aider à développer un processus de gestion du changement peut contribuer à répondre à ce besoin culturel. Les DSAR ne doivent pas être uniquement la responsabilité du service juridique.

Prenez le contrôle de votre environnement de données

Assurez-vous que votre organisation identifie et classe les documents contenant des informations sensibles et des informations personnelles identifiables (PII). Créez des cartes de données qui indiquent clairement où les PII et les données sensibles sont stockées, traitées et transmises au sein de votre organisation. Si vous ne savez pas où se trouvent vos données, il vous sera très difficile de certifier que vous vous êtes conformé à une DSAR. Conseil d'Epiq : faites appel à un prestataire externe pour travailler avec le service clientèle, les opérations et l'informatique afin de cartographier vos données.

Clarifiez les demandes et les prolongations de délai

Le cas échéant, demandez des éclaircissements au demandeur si sa DSAR est complexe ou vague. Si vous traitez un volume important de données, envisagez de demander une prolongation de délai afin de pouvoir fournir une réponse complète. La clarté et la communication sont essentielles.

Définissez des workflows internes et suivez les délais

Mettez en place des workflows internes qui couvrent toutes les étapes du processus DSAR, depuis le lancement de la demande et la vérification d'identité jusqu'à la remise de la réponse finale. Assurez-vous que les résultats de chaque processus, toutes les communications avec le demandeur et les délais globaux sont suivis de manière méticuleuse afin de garantir une réponse conforme.

Mettez en place une plateforme de révision de documents, soit avec un partenaire externe, soit en interne
Centralisez le processus de révision et de rédaction à l'aide d'une plateforme de révision de documents. Cette technologie vous permet de rationaliser le traitement des documents tout en vous offrant l'échelle et la prévisibilité nécessaires pour mettre en place un processus efficace. Si vos équipes fonctionnent déjà à pleine capacité et ne disposent pas des compétences requises, vous devriez faire appel à un prestataire externe qui dispose à la fois des ressources et de l'expertise nécessaires pour déployer et configurer de tels systèmes.

Utilisez des analyses avancées

En tirant parti des capacités d'analyse avancées incluses dans ces plateformes de révision, telles que l'analyse des quasi-doublons et le fil de discussion des e-mails, vous pouvez réduire considérablement le nombre de documents à examiner à ceux qui entrent dans le champ d'application de la demande. Cela réduit le temps et les efforts nécessaires à la révision et permet de mieux utiliser vos précieuses ressources humaines.

Automatisez les workflows de rédaction

Les DSAR peuvent être un processus fastidieux. En réduisant la charge de travail de vos collaborateurs, vous éviterez à votre équipe de se sentir épuisée ou démotivée. En automatisant la rédaction des informations personnelles, vous augmentez la précision et réduisez les efforts manuels. Il est essentiel de disposer des technologies et des processus appropriés pour cette étape. Travaillez avec votre équipe informatique interne ou vos partenaires externes pour vous aider à définir vos objectifs pour cette étape et à élaborer des solutions potentielles.

Constituez une équipe de révision évolutive

La taille des demandes peut varier considérablement. En vous assurant de disposer d'une équipe de réviseurs évolutive, qu'elle soit interne ou externe, vous serez mieux préparé à faire face à des charges de travail variables.

Conclusion

Les demandes d'accès aux données font désormais partie intégrante des opérations commerciales, en particulier celles qui concernent des employés et/ou des clients basés au Royaume-Uni et en Europe. Préparer votre équipe, adopter une culture de conformité et mettre en œuvre les technologies et les flux de travail appropriés sont des étapes cruciales pour gérer efficacement les DSAR. L'utilisation de l'analyse et de l'automatisation peut réduire considérablement les coûts engagés tout en allégeant la charge de travail démoralisante qui détourne vos équipes de leurs activités quotidiennes essentielles. Les DSAR sont un droit, mais avec la bonne approche, elles ne doivent pas nécessairement entraîner une perte d'efficacité ou nuire à la réputation de votre entreprise.

Article original en anglais publié sur Asia Law Portal
DSARs Are a Legislated Right, but Don’t Let It Cost Your Business Operations - Asia Law Portal - A forum for discussion of news, information & opportunity in the Asia-Pacific legal markets



Publié par Jonathan White, architecte de solutions, EMEA, Epiq
Jonathan a plus de dix ans d'expérience dans l'accompagnement de clients à travers l'Europe pour les aider à surmonter les défis techniques complexes liés aux litiges internationaux à grande échelle, aux enquêtes internes et à la gouvernance de l'information. Il les guide tout au long du processus, de la préservation initiale des données à l'analyse judiciaire, en passant par l'accélération des résultats grâce à l'intelligence artificielle. Il travaille avec de grands clients du secteur bancaire, pharmaceutique et des assurances pour aller au cœur de problèmes tels que la fraude financière, la corruption, le délit d'initié et les allégations de lanceurs d'alerte. Il détient plusieurs certifications industrielles, notamment celle d'administrateur certifié Relativity (RCA) et le statut d'expert Relativity.