RGPD : comment gérer les demandes des personnes concernées

Par rapport à la législation antérieure en matière de protection des données, le RGPD offre davantage droits aux personnes concernées et impose des obligations plus strictes aux responsables de traitement des données personnelles.

Le RGPD modifie la relation entre les responsables de traitement et les personnes concernées (ex. les individus) en habilitant ces dernières comme jamais auparavant.

Pour mieux comprendre cette évolution, le présent article examinera non seulement les droits des personnes concernées dans le cadre du RGPD, mais aussi la manière dont les responsables de traitement des données doivent répondre à leur demande.

Les droits des personnes concernées

Tout d’abord, le droit dont on parle le plus souvent est le droit à l’oubli – les personnes concernées peuvent désormais contacter les responsables de traitement et demander que toutes les données à caractère personnel qu’elles détiennent sur elles soient supprimées.

Par souci d’inexactitude des dossiers des responsables de traitement, les personnes concernées ont également le pouvoir de rectifier toute donnée à caractère personnel qui serait incorrecte ou même périmée. En outre, les personnes concernées ont le droit de limiter certaines activités de traitement ou même de s’y opposer dans certaines circonstances. 

Il a déjà été dit à maintes reprises que le RGPD vise à accroître la transparence et la responsabilité dans le monde de l’informatique. À cette fin, le RGPD accorde à la personne concernée un plus grand accès à ses données à caractère personnel stockées par les responsables du traitement. En vertu de ce droit, les personnes concernées le peuvent :

  • Demander des informations sur comment leurs données personnelles sont collectées et utilisées (le droit d’être informé)

  • Demander l’accès à leurs données personnelles

  • Demander la mise à jour des données personnelles inexactes

  • Demander l'effacement de leurs données personnelles (le droit à l’oubli)

  • Demander à ce que l’utilisation de leurs données personnelles soit limitée

  • Demander le droit à la portabilité (ex. l’obtention de leurs données sous un format lisible afin de les réutiliser à leurs propres fins et pour différents services)

  • S’opposer au traitement de leurs données personnelles

  • S’opposer à la prise de décision automatisée (y compris au profilage).

Les responsables de traitement sont également tenus d’informer les personnes concernées ces droits ainsi que leur droit de porter plainte auprès d'une ’autorité de contrôle compétente (ex. la CNIL en France) s’ils considèrent qu’il y a eu un manquement concernant le traitement de leurs données personnelles. 

Le RGPD permet également aux personnes concernées d’être représentées par un tiers dans le cadre de l”exercise de leurs droits. Toutefois, dans de tels cas, les responsables de traitement doivent être convaincus que le tiers a été autorisé par la personne concernée à agir en son nom, la charge de la preuve pesant sur le représentant.

L’ICO (l’autorité de contrôle nationale du Royaume-Uni) a expliqué que, dans la plupart des cas, la demande de la personne concernée d’avoir accès à ses données est généralement valable.

Toutefois, ces personnes concernées doivent fournir suffisamment d’informations pour que le responsable de traitement soit en mesure de comprendre ce qui est demandé et de trouver ce qu’ils recherchent. 

Compte tenu de toutes les informations susmentionnées, les responsables de traitement peuvent avoir de la difficulté à naviguer ce terrain complexe, en particulier dans le contexte d’une relation employé (personne concernée) /employeur (responsable de traitement), par exemple.

Comment répondre aux demandes  des personnes concernées

Une demande valable doit normalement être faite par écrit, mais il n’y a pas de formulaire prescrit dans le RGPD et alors elle peut aussi être faite verbalement.

Par conséquent, les responsables de traitement doivent être en mesure de reconnaître et accéder aux demandes des personnes concernées et comprendre quand leurs droits s’appliquent.

Il est également recommandé de mettre en place une politique sur la façon de recevoir les demandes fait oralement. Les responsables de traitement devraient également mettre en place des procédures pour s’assurer qu’ils peuvent répondre à une demande émanant d’une personne concernée dans les meilleurs délais, sans retard injustifié.

La mise en place de formulaires standardisés et leurs mises à disposition auprès des personnes concernées faciliteraient les demandes et faciliteraient également l’identification et la gestion de ces demandes par les responsables de traitement. L’article 59 du préambule du RGPD recommande que ces documents soient disponibles aux personnes concernées sous forme électronique. 

Dès réception d’une demande d’une personne concernée, les responsables de traitement doivent répondre à cette dernière d’une manière concise, transparente et accessible. Les responsables de traitement doivent également y répondre par écrit (y compris par voie électronique) en employant un langage simple. En outre, les demandes doivent être traitées rapidement et au plus tard dans les 30 jours suivant la réception d’une demande complète. Ce délai peut être prolongé de 2 mois au maximum en informant la personne concernée, dans le délai initial, de la nécessité et des motifs de cette prolongation.

Dans certaines situations, les responsables de traitement peuvent refuser de communiquer des informations si cela peut porter préjudice à leur entreprise. C’est le cas lorsque les informations demandées sont confidentielles, concernent des projets futurs de l’entreprise, ou quelle sont relatives à des négociations ou procédures juridiques en cours. Il est toujours prudent de prendre des conseils juridiques pour chaque cas spécifique afin de réduire les risques liés à un éventuel refus de traiter une demande d’une personne concernée.

Et quoi des demandes « malveillantes » ?

Les responsables de traitement peuvent refuser de répondre à une demande d’une personne concernée si elle est manifestement infondée ou excessive, en raison de son caractère répétitif ou non. Dans ce cas, le responsable de traitement a deux options :

  1. Facturer des frais raisonnables compte tenu des coûts administratifs nécessaires pour répondre ou entreprendre la demande; ou

  2. Simplement refuser d’agir et/ou de répondre à la demande.

De plus, en cas de doute sur l’identité de la personne concernée, les responsables de traitement peuvent demander des informations complémentaires afin de la confirmer. 

Quoi qu’il en soit, si une demande est refusée, le responsable de traitement doit informer la personne concernée des raisons pour lesquelles elle n’a pas agi, de son droit de déposer une plainte auprès de l’autorité de contrôle compétente et de sa capacité d’exercer son droit par recours judiciaire. 

En résumé, les droits de la personne concernée en vertu du RGPD ne sont pas absolus et les responsables du traitement disposent des outils nécessaires pour traiter leurs demandes de manière adéquate, notamment la mise en place des procédures de gestion des demandes des personnes concernées ainsi que le droit de refuser des demandes abusives. Enfin, il est toujours prudent de solliciter des conseils juridiques en cas de demande complexe.

Pour plus d’information sur la gestion des droits des personnes concernées ou sur le RGPD d’une manière générale, n’hésitez pas à nous contacter.

Article par Charlotte Gerrish, Fondatrice et Justin Boileau, Consultant juridique @ Gerrish Legal

July 2019