La procédure à l'égard du responsable de traitement

Il faut noter qu'il s'agit d'une procédure unique, applicable à toutes les demandes des personnes concernées sur leurs données. Il conviendra donc de se référer habituellement à ces développements.

Naturellement, cette procédure à l'égard du responsable de traitement se réalise en deux étapes : la demande au responsable de traitement (Sous-section I) et la réponse de celui-ci (Sous-section II) .

La demande de la personne concernée

Le RGPD n'est qu'allusif sur les formes et le traitement de la demande d'une personne concernée. Ces détails de procédure ont été fournis ultérieurement par le décret français.

– Toute forme de demande. – Le décret envisage toutes les formes de demande : par voie électronique, postale, sur place, ou par mandat spécial (habilitant à la présentation de la demande et/ou l'obtention de la réponse), etc.

Au titre des oppositions par mandat, la Cnil publie une liste de différents services auxquels s'inscrire pour s'opposer au traitement de données personnelles à des fins de prospection commerciale www.cnil.fr/fr/les-listes-dopposition">Lien .

En cas de demande sur place, et si le demandeur ne peut obtenir satisfaction immédiatement, un récépissé daté et signé doit lui être délivré. Il conditionnera l'engagement éventuel d'un recours.

La demande est adressée au responsable de traitement, son délégué à la protection des données, ou à défaut au siège ou à l'adresse électronique de l'organisme dont le traitement relève.

À cet effet, les sites internet sur lesquels les données ont été collectées proposent le plus souvent des formulaires accessibles par des onglets ou liens dénommés de manière variable (« informatique et libertés », « protection des données », etc.).

À défaut, ou en cas de difficultés, le site internet de la Cnil indique les moyens de retrouver les coordonnées d'un responsable de traitement auquel s'adresser www.cnil.fr/fr/retrouver-les-coordonnees-dun-organisme-pour-exercer-vos-droits">Lien .

– Une identité justifiée par tout moyen… – Le demandeur justifie de son identité par tout moyen D. n^o 2019-536, 29 mai 2019, art. 77. On retrouve ici la justification d'identité par tout moyen, expression notamment utilisée par le Code de procédure pénale dans ses articles 78-2 et 78-3 relatifs aux contrôles d'identité par les forces de police… . Encore faut-il que le moyen proposé soit admis par le responsable de traitement, qui a la responsabilité de la vérification de l'identité du demandeur, dont il va accepter les instructions ou à qui il va communiquer des informations. Car le défaut d'identification du demandeur ouvre au responsable de traitement la possibilité de refuser la demande PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 12, 1, 2 et 6. , ce qui ne revient pas pour autant à préconiser une vérification d'identité.

L'usage de données d'identité numériques est possible, si elles sont nécessaires et si le responsable du traitement les estime suffisantes D. n^o 2019-536, 29 mai 2019, art. 77, al. 1. . Dans une forme de dérogation au principe de la justification par « tout moyen », le législateur français ouvre ainsi le recours à des données d'identité numériques à la double condition de nécessité et de suffisance, à l'appréciation du responsable de traitement. Celui-ci devra justifier de l'une et de l'autre. Il faut notamment comprendre que si le responsable de traitement ne s'en contentait pas, il ne pourrait utiliser des données d'identité numériques en complément d'autres justificatifs.

Lorsque le responsable de traitement a des doutes raisonnables sur l'identité d'un demandeur, il peut alors demander des informations supplémentaires nécessaires, jusqu'à la copie d'une pièce d'identité portant signature, lorsque la situation l'exige D. n^o 2019-536, 29 mai 2019, art. 77, al. 2. . Dans l'évocation des moyens croissants de vérification, il faut ici comprendre que, pour motiver une demande dépassant une justification par « tout moyen », le responsable de traitement devra justifier à la fois de ses « doutes raisonnables » et d'exigences particulières au regard de la nature des instructions données ou informations demandées (données sensibles, de santé, etc.). Il faut voir ici une nouvelle illustration de la proportionnalité ou de la mise en balance d'intérêts contradictoires qui irrigue tout le droit de la protection des données personnelles, et fait ainsi la part belle à la jurisprudence, lorsque l'enjeu justifie que les juridictions soient saisies de l'application d'une règle – ce qui semble ici douteux pour la simple identification d'un demandeur.

Une demande de justification d'identité suspend le délai de réponse du responsable de traitement, le temps de sa satisfaction par la personne concernée D. n^o 2019-536, 29 mai 2019, art. 77, al. 3. .

Toujours en cas de doute sur l'identité du demandeur, le décret français prévoit aussi que la réponse du responsable de traitement peut être adressée par courrier recommandé, transférant à La Poste la vérification de l'identité du destinataire des informations transmises D. n^o 2019-536, 29 mai 2019, art. 77, al. 4. .

– … et avec modération. – Il faut observer cette description progressive comme une invitation à la modération : tout moyen, éventuellement des données d'identité numérique, en cas de doute seulement, une justification complémentaire, s'il le faut vraiment, une pièce d'identité, et enfin l'usage de la lettre recommandée qui laisse le soin à La Poste de vérifier l'identité du demandeur Sur les missions du groupe La Poste dans la reconnaissance de l'identité numérique : V. supra, n^o . .

Il est surprenant d'observer que, dans le cas d'une telle vérification, une nouvelle collecte de données personnelles est opérée, avec un nouvel intérêt légitime, une nouvelle durée de conservation, etc. Alors que l'intention de la personne concernée était de contrôler l'usage de ses données personnelles, elle peut devoir préalablement en communiquer de supplémentaires Viennent des images de sparadrap du capitaine Haddock… .

Elle se consolera en considérant que cette nouvelle collecte est elle-même soumise aux conditions de toute collecte de données personnelles, conformément au principe de minimisation, données qui doivent être adéquates, pertinentes et, comme il vient d'être énoncé, limitées à ce qui est nécessaire PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 5, 1, c). . En application de ces principes, la Cnil veille régulièrement à une adaptation du niveau de vérification à celui de sensibilité des données qu'une personne concernée demande à contrôler ou auxquelles elle souhaite accéder www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces">Lien .

La réponse du responsable de traitement

– Des réponses accessibles. – Dans l'objectif de transparence, de clarté et d'efficacité, toute communication du responsable de traitement doit expliciter les informations données, au besoin par un lexique ou des icônes normalisées PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 12 ; D. n^o 2019-536, 29 mai 2019, art. 80. .

Les informations données peuvent l'être par écrit, éventuellement électronique, notamment lorsque la demande était elle-même électronique ; et même oralement sur demande.

En toutes hypothèses, le responsable de traitement doit assurer la confidentialité des informations transmises à l'occasion de sa réponse, par exemple par l'usage d'un chiffrement, dont la clé est transmise séparément.

– Un mécanisme rapide et gratuit. – Le responsable de traitement doit répondre dans les meilleurs délais D. n^o 2019-536, 29 mai 2019, art. 77, al. 3 renvoyant à l'article 12, alinéa 3 ; PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016. à la demande qui lui est présentée, et dans la limite d'un mois, portée à trois mois en cas de demandes complexes ou nombreuses ; cette prolongation devant toutefois être notifiée et justifiée à la personne concernée dans le mois de sa demande.

L'exercice de ces différents droits est gratuit. Mais en cas de demandes manifestement infondées ou excessives (par ex., en raison de leur caractère répétitif) le responsable de traitement peut, s'il le justifie, refuser de donner suite ou exiger le paiement de frais raisonnables, correspondant aux coûts supportés.

– Un droit à réparation. – En cas de violation des dispositions du RGPD, toute personne ayant subi un dommage matériel ou moral a le droit d'obtenir du ou des responsables de traitement ou leurs sous-traitants, solidairement responsables, la réparation du préjudice subi PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 82. . Même si les illustrations manquent pour l'instant, il faut remarquer que le droit à réparation n'est donc pas littéralement limité aux seules personnes concernées, mais ouvert à toute personne ayant subi un dommage (selon les principes généraux de la responsabilité).

– Des droits tempérés par des exceptions. – Il faut observer que si les personnes concernées par le traitement de leurs données se voient protégées, les responsables de traitement, débiteurs des obligations créées, conservent quelques souplesses, notamment de délai, et de marges d'appréciation (contenu et justifications pouvant être sollicités pour la recevabilité des demandes, exceptions à la mise en en œuvre des droits) leur facilitant le respect de l'application des règles, ou leur permettant de s'en affranchir (par ex., l'identification de la personne concernée rendue impossible par suite de l'anonymisation des données, etc.).

Si le responsable du traitement de données ne fait pas droit à la demande de la personne concernée, il le lui indique dans le délai prévu Un mois éventuellement porté à trois mois sur motivation spéciale. , en motivant sa décision et en informant des voies de recours ouvertes auprès de l'autorité de contrôle (la Cnil en France) et des instances judiciaires PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 12, 4. .

Le décret français D. n^o 2019-536, 29 mai 2019, art. 79, al. 2. a ajouté qu'à défaut de réponse dans les délais prévus, la demande est réputée rejetée, l'hypothèse du silence du responsable de traitement n'étant pas envisagée dans le texte européen.

En cas de rejet, exprès ou tacite, de sa demande au responsable de traitement, la personne concernée dispose de recours.

Une demande à un responsable de traitement est de forme libre, avec des justificatifs mesurés, en vue d'obtenir une réponse claire, accessible et gratuite.