Les demandes d'accès aux données (DSAR) sont devenues l'un des aspects les plus exigeants de la conformité au RGPD pour les détaillants et les exploitants de centres commerciaux. Ces environnements traitent de grandes quantités de données personnelles, incluant des enregistrements vidéo (CCTV), des analyses Wi-Fi, des bases de marketing, des programmes de fidélité, des systèmes ANPR/LPR, des systèmes de contrôle d’accès et des journaux du service client. Le droit d’accès du RGPD impose aux organisations de fournir aux individus l’accès à leurs données dans des délais stricts [1].
Avant d’aborder les procédures opérationnelles, il est essentiel de définir ce qu’est une DSAR dans un magasin ou un centre commercial. Une DSAR est toute demande d’une personne identifiable visant à obtenir les données personnelles que l’organisation détient à son sujet.
Dans le commerce, les DSAR arrivent généralement par e-mail, formulaires web, réseaux sociaux, tickets d’assistance ou demandes en personne. Les détaillants disposant de programmes de fidélité reçoivent également des demandes par portails clients ou applications mobiles.
Outre les informations de compte et l’historique des achats, les DSAR portent fréquemment sur des données visuelles. Les individus peuvent demander des images CCTV les montrant dans les magasins, les zones communes ou les parkings. Elles peuvent aussi concerner les analyses Wi-Fi, les données ANPR/LPR, les enregistrements d’appels ou les analyses comportementales.
Les détaillants et gestionnaires de centres commerciaux doivent respecter les exigences du RGPD en matière de transparence, de rapidité et de divulgation sécurisée.
Selon les articles 12 et 15 du RGPD [1], les organisations doivent répondre dans un délai d’un mois. Pour les cas complexes, notamment l’extraction et le floutage vidéo, ce délai peut être prolongé de deux mois supplémentaires.
L’organisation doit vérifier l’identité du demandeur avant de divulguer des données. L’ICO souligne que cela constitue une protection nécessaire contre la divulgation non autorisée [2].
Les données doivent être fournies dans un format couramment utilisé, notamment MP4 pour les vidéos. Les enregistrements doivent être floutés pour protéger l’identité des tiers [2].
Les centres commerciaux regroupent de multiples entités, systèmes partagés et responsabilités croisées, rendant la gestion des DSAR plus difficile.
Les centres commerciaux agissent souvent comme responsables conjoints avec les enseignes. Le CEPD précise que la responsabilité conjointe nécessite une répartition claire des obligations en matière de DSAR [3].
Les enregistrements des zones communes montrent en général de nombreuses personnes. Le RGPD interdit la divulgation de données identifiables concernant des tiers, ce qui rend l’anonymisation obligatoire [2].
Le trafic élevé génère de grandes quantités de données provenant de centaines de caméras. La FRA souligne la complexité et les risques pour la vie privée associés à ces environnements [4].
Les demandes d'accès impliquant la vidéosurveillance sont particulièrement exigeantes. L'organisation doit concilier le droit d'accès avec la protection des tiers visibles dans les images.
Le personnel doit déterminer quelles caméras ont pu enregistrer la personne. Cela nécessite l’analyse des horaires, des plans de caméras et des périodes de conservation.
Les séquences ne peuvent être divulguées si des tiers y sont identifiables. Le floutage est donc obligatoire. Des outils automatisés comme Gallio PRO permettent d’anonymiser efficacement les visages, plaques d’immatriculation et éléments sensibles pour respecter les exigences du RGPD.
De nombreux détaillants conservent la vidéosurveillance pendant 30 à 60 jours. Si la demande arrive après cette période, les données peuvent ne plus être disponibles [1].
Une approche structurée facilite la conformité au RGPD et réduit la charge opérationnelle.
Centraliser les demandes évite les retards. Une boîte mail ou un système unique permet de garantir la traçabilité.
Pour éviter les divulgations non autorisées, une procédure claire est essentielle. L’ICO recommande des vérifications proportionnées selon le type de données demandées [2].
Le floutage manuel est lent et sujet à l’erreur. L’automatisation via Gallio PRO améliore la précision et réduit le temps nécessaire à la gestion des DSAR incluant des vidéos.
En cas de responsabilité conjointe, des accords formalisés doivent définir les rôles et responsabilités. Le CEPD recommande la mise en place d’accords de partage [3].
La documentation est essentielle pour prouver la conformité. Les journaux doivent inclure la date de la demande, les étapes de vérification, les sources de données et les floutages effectués.
Oui, à condition que leur identité soit vérifiée et que les tiers soient floutés.
Non. Il doit anonymiser les tiers au lieu de refuser l’accès.
Uniquement si la demande est excessive, répétitive ou manifestement infondée. Les DSAR standard sont gratuites.
Oui. Les plaques d’immatriculation associées à une personne identifiable sont des données personnelles.
Uniquement le temps nécessaire pour traiter la demande et documenter la conformité.
