Réponse
Des personnes peuvent contacter votre entreprise/organisation pour exercer leurs droits en vertu du RGPD (droits d’accès, de rectification, d’effacement, de portabilité, etc.). Lorsque des données à caractère personnel sont traitées par voie électronique, votre entreprise/organisation devrait fournir aux personnes le moyen de formuler leurs demandes de la même manière. Votre entreprise/organisation doit répondre à leur demande dans les meilleurs délais et, en principe, dans un délai d’un mois à compter de la réception de la demande.
Elle peut leur demander des informations supplémentaires pour confirmer l’identité de la personne présentant la demande.
Si votre entreprise/organisation rejette la demande, elle doit alors informer la personne des raisons de ce rejet et de son droit à introduire une réclamation auprès de l’autorité de protection des données et à former un recours juridictionnel.
Aucun paiement n’est exigé pour traiter les demandes formulées par les personnes. Lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, vous pouvez exiger le paiement de frais raisonnables ou refuser de donner suite à ces demandes.
Exemple
Une personne qui a accédé à toutes ses données à caractère personnel le mois précédent introduit à nouveau la même demande pour accéder aux mêmes données à caractère personnel. Vous pouvez envisager de l’informer que vous rejetez sa demande ou exiger le paiement de frais raisonnables.
Références
- Articles 12, 15-22; Considérants 59, 63, 64, 65, 66, 67, 68, 69, 70, 71
- Lignes directrices 4/2018 relatives à l’agrément des organismes de certification au titre de l’article 43 du règlement général sur la protection des données (2016/679)
- Lignes directrices 1/2018 sur la certification et l’identification des critères de certification conformément aux articles 42 et 43 du Règlement 2016/679 - version révisée après consultation publique
Example
A person who accessed all his personal data the month before, lodges again the same request for access to the same personal data. You may consider either informing them that you reject their request or requesting a reasonable fee.
References
- Article 12 and Articles 15 to 22 and Recitals (59) and (63) to (71) of the GDPR
- EDPB guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
- EDPB guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation