La réponse du responsable de traitement

– Des réponses accessibles. – Dans l'objectif de transparence, de clarté et d'efficacité, toute communication du responsable de traitement doit expliciter les informations données, au besoin par un lexique ou des icônes normalisées PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 12 ; D. n^o 2019-536, 29 mai 2019, art. 80. .

Les informations données peuvent l'être par écrit, éventuellement électronique, notamment lorsque la demande était elle-même électronique ; et même oralement sur demande.

En toutes hypothèses, le responsable de traitement doit assurer la confidentialité des informations transmises à l'occasion de sa réponse, par exemple par l'usage d'un chiffrement, dont la clé est transmise séparément.

– Un mécanisme rapide et gratuit. – Le responsable de traitement doit répondre dans les meilleurs délais D. n^o 2019-536, 29 mai 2019, art. 77, al. 3 renvoyant à l'article 12, alinéa 3 ; PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016. à la demande qui lui est présentée, et dans la limite d'un mois, portée à trois mois en cas de demandes complexes ou nombreuses ; cette prolongation devant toutefois être notifiée et justifiée à la personne concernée dans le mois de sa demande.

L'exercice de ces différents droits est gratuit. Mais en cas de demandes manifestement infondées ou excessives (par ex., en raison de leur caractère répétitif) le responsable de traitement peut, s'il le justifie, refuser de donner suite ou exiger le paiement de frais raisonnables, correspondant aux coûts supportés.

– Un droit à réparation. – En cas de violation des dispositions du RGPD, toute personne ayant subi un dommage matériel ou moral a le droit d'obtenir du ou des responsables de traitement ou leurs sous-traitants, solidairement responsables, la réparation du préjudice subi PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 82. . Même si les illustrations manquent pour l'instant, il faut remarquer que le droit à réparation n'est donc pas littéralement limité aux seules personnes concernées, mais ouvert à toute personne ayant subi un dommage (selon les principes généraux de la responsabilité).

– Des droits tempérés par des exceptions. – Il faut observer que si les personnes concernées par le traitement de leurs données se voient protégées, les responsables de traitement, débiteurs des obligations créées, conservent quelques souplesses, notamment de délai, et de marges d'appréciation (contenu et justifications pouvant être sollicités pour la recevabilité des demandes, exceptions à la mise en en œuvre des droits) leur facilitant le respect de l'application des règles, ou leur permettant de s'en affranchir (par ex., l'identification de la personne concernée rendue impossible par suite de l'anonymisation des données, etc.).

Si le responsable du traitement de données ne fait pas droit à la demande de la personne concernée, il le lui indique dans le délai prévu Un mois éventuellement porté à trois mois sur motivation spéciale. , en motivant sa décision et en informant des voies de recours ouvertes auprès de l'autorité de contrôle (la Cnil en France) et des instances judiciaires PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 12, 4. .

Le décret français D. n^o 2019-536, 29 mai 2019, art. 79, al. 2. a ajouté qu'à défaut de réponse dans les délais prévus, la demande est réputée rejetée, l'hypothèse du silence du responsable de traitement n'étant pas envisagée dans le texte européen.

En cas de rejet, exprès ou tacite, de sa demande au responsable de traitement, la personne concernée dispose de recours.