VESICA
IQDJC_IQ_4_1Brouillon

DJC_IQ_4_1 — Traiter une demande d'exercice de droit

Instruction· Juridique & Conformité· émetteur VESICA DJC_PRO_4

DJC_IQ_4_1 — Traiter une demande d'exercice de droit

Objet (la tâche précise)

Instruire et répondre à une demande d'une personne exerçant un droit RGPD (accès, rectification, effacement/droit à l'oubli, limitation, opposition, portabilité) dans le délai légal d'un mois, en respectant les limites (notamment l'obligation légale de conservation des rapports de diagnostic). [STANDARD]

Prérequis / matériel / sécurité

  • Le registre des traitements (DJC_FQ_4) pour localiser les données de la personne (quels systèmes, quelles finalités). [STANDARD]
  • Accès contrôlé aux données (Postgres, Drive, Mattermost) — toute consultation est elle-même un traitement. [STANDARD]
  • Garde d'identité : vérifier l'identité du demandeur avant toute communication de données (éviter la divulgation à un tiers). [STANDARD]
  • Garde de conservation légale : certaines données (rapports de diagnostic) sont soumises à une durée légale de conservation qui prime sur le droit à l'effacement. [STANDARD]

Étapes d'exécution

  1. Réceptionner et dater la demande (le délai d'un mois court à réception). [STANDARD]
  2. Vérifier l'identité du demandeur (proportionnée, sans collecte excessive). [STANDARD]
  3. Qualifier le droit invoqué : accès / rectification / effacement / limitation / opposition / portabilité. [STANDARD]
  4. Localiser les données via le registre : Postgres (dossiers/telemetrie), Drive, Mattermost, e-mails, et données transmises aux sous-traitants. [CORPUS]
  5. Évaluer les limites : obligation légale de conservation, droits des tiers, défense d'un droit en justice. [STANDARD]
  6. Exécuter : extraire (accès/portabilité) / corriger (rectification) / supprimer ou anonymiser (effacement, dans les limites) / geler (limitation). [STANDARD]
  7. Propager aux sous-traitants si nécessaire (ex. demander la suppression côté prestataire). [STANDARD]
  8. Répondre à la personne (≤ 1 mois ; prolongeable de 2 mois si complexe, avec information). [STANDARD]
  9. Tracer la demande et la réponse (journal des demandes). [STANDARD]

Règles, critères et seuils [= embryon du CATALOGUE]

  • Délai de réponse : 1 mois à compter de la réception ; prolongation possible de 2 mois si demande complexe (avec information de la personne sous 1 mois). (source_ref: RGPD art. 12) [STANDARD]
  • Vérification d'identité obligatoire avant communication ; en cas de doute raisonnable, demander un complément proportionné. (source_ref: RGPD art. 12) [STANDARD]
  • Le droit à l'effacement n'est pas absolu : il cède devant une obligation légale de conservation (les rapports de diagnostic doivent être conservés une durée déterminée). (source_ref: RGPD art. 17.3 ; obligations de conservation du diagnostiqueur) [STANDARD] [À CONFIRMER : durée exacte par type de rapport]
  • Données purgeables sans obligation (ex. .wav après facturation) : effaçables ; .wav déjà purgé à la facturation par défaut (M2). (source_ref: M2 rétention chaud/froid) [CORPUS]
  • Une demande manifestement infondée ou excessive peut donner lieu à refus motivé ou à des frais raisonnables. (source_ref: RGPD art. 12.5) [STANDARD]
  • Toute exécution doit être propagée aux sous-traitants concernés (LLM, hébergeur) si les données y résident. (source_ref: RGPD art. 28) [STANDARD]

Points de contrôle / cas particuliers

  • Effacement partiel : supprimer les données non soumises à conservation, conserver celles qui le sont (avec accès restreint) ; informer la personne de cette limite. [STANDARD]
  • Données dans les logs LLM (telemetrie.appels_llm) : la télémétrie est append-only ; vérifier qu'elle ne contient pas de données personnelles en clair (la minimisation amont doit l'éviter). Si présence → traiter au cas par cas. [CORPUS] (append-only)
  • Demande via un tiers (notaire, mandataire) : vérifier le mandat. [STANDARD]
  • Doute juridique → escalade dirigeant (responsable de traitement) ; ne pas trancher seul sur un refus. [STANDARD]

Sortie / enregistrement produit

Une réponse motivée à la personne + une entrée au journal des demandes (date, nature, périmètre, décision, délai tenu). [STANDARD]

Agent responsable

Agent RGPD (DJC, P26) instruit ; dirigeant (responsable de traitement) valide les décisions sensibles (refus, effacement avec limites). [CORPUS]