Le RGPD confère aux personnes concernées une série de droits en matière de protection des données qui exigent une réaction de l'entreprise concernée. Mais dans quel délai l'entreprise doit-elle répondre à la demande d'une personne concernée ?
Quels sont les droits des personnes concernées ?
Les droits des personnes concernées sont régis par les articles 15 à 22 du RGPD. Selon ces dispositions, toute personne physique dont les données ont été traitées a le droit d'obtenir des informations, de les rectifier, de les effacer, de limiter leur traitement, de les transmettre et de s'y opposer. S'y ajoute le droit d'être soumis à une décision ne reposant pas exclusivement sur un traitement automatisé.
La personne concernée peut faire valoir ses droits auprès du responsable du traitement.
Quel est le délai applicable ?
Le responsable à qui la personne concernée peut faire valoir ces droits doit, selon l'article 12 III du RGPD, répondre à une demande "dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande".
"Immédiatement" signifie chez les juristes "sans hésitation coupable" (§ 121 I BGB). Cela signifie que le responsable n'a pas toujours un mois entier pour réagir. Le délai d'un mois est plutôt un délai maximal. Si une réaction est possible dans un délai plus court, elle doit également avoir lieu à ce moment-là. Dans la pratique, cela est bien sûr difficile à prouver. C'est pourquoi, dans la pratique, on en revient généralement au délai d'un mois.
Une exception s'applique uniquement dans le cas de l'article 12 III du RGPD. Si cela s'avère nécessaire compte tenu de la complexité et du nombre de demandes, le délai peut être prolongé. Le responsable du traitement doit toutefois en informer la personne concernée et lui donner les raisons de cette prolongation.
Quand le délai commence-t-il à courir ?
Le délai commence à courir lorsque la demande de la personne concernée est reçue par le responsable. Pour ce faire, la personne concernée doit utiliser un canal officiel du responsable, afin que celui-ci ait également la possibilité de prendre directement connaissance de la demande. Toutefois, même si le responsable ne prend pas directement connaissance d'une demande reçue, le délai court à partir de la réception.
En tant que responsable, il est donc important de toujours garder un œil sur les canaux correspondants.
Qui peut recevoir des informations ?
Les droits des personnes concernées du RGPD sont des droits hautement personnels. C'est pourquoi les informations ne peuvent être fournies qu'à la personne concernée.
Dans des conditions plus strictes, une personne mandatée peut également être habilitée.
Le responsable du traitement est toujours tenu d'identifier la personne concernée avant de lui fournir des informations. Si le responsable de l'identification doit d'abord poser des questions supplémentaires parce que les informations fournies dans la demande ne sont pas suffisantes pour cela, le délai ne commence à courir qu'à partir du moment où le responsable a identifié la personne avec certitude. La personne concernée ne dispose pas d'un délai légal pour répondre à une demande d'identification. Si la réponse se fait attendre, il est recommandé au responsable d'envoyer un rappel.
Entre-temps, c'est presque devenu un modèle commercial que de faire des demandes qui ne visent pas du tout les informations en tant que telles. Les personnes espèrent plutôt que le responsable commettra une erreur lors du traitement, afin de pouvoir ensuite porter plainte pour dommages et intérêts. Il est donc d'autant plus important pour les responsables de pouvoir prouver que les réponses aux demandes des personnes concernées sont conformes à la loi.
Vous avez des questions sur des sujets liés à la protection des données, tels que les droits des personnes concernées, ou vous avez besoin d'aide pour mettre en œuvre des directives relatives à la protection des données ? Notre équipe d'experts se fera un plaisir de vous aider. Contactez-nous ici!