Accueil //Blog //RGPD //Zoom sur //[DÉCISION COMMENTÉE] APD vs. ancienne propriétaire, 13 mars 2023

Résumé des faits

Une plainte a été déposée auprès de l’APD au sujet de l’absence de réponse satisfaisante à une demande d’accès effectuée par la personne concernée. Après avoir exercé son droit d’accès auprès de son ancienne propriétaire, cette dernière l’a notifié de la prolongation du délai de réponse de 2 mois. Elle n’a toutefois pas répondu à la demande en respectant ce délai prolongé de 3 mois et a refusé de répondre à certaines des questions posées.

Une enquête a ainsi été menée et une réprimande a été formulée par l’APD à l’égard de la défenderesse en ce qui concerne les exigences sur le droit d’accès, et la gestion des demandes de droits, ainsi qu’une ordonnance de publier la sanction.

Motifs de la sanction / Manquements

  • Non-respect de l’article 15.1 du RGPD

Manquement aux exigences sur le droit d’accès.

  • Non-respect des articles 12.3 et 12.4 du RGPD

Manquement aux modalités d’exercice des droits de la personne concernée.

Que retenir de la décision ?

  • Le droit d’accès a trois composantes :
    • Droit d’obtenir du responsable de traitement la confirmation que des données personnelles concernant la personne sont traitées ou pas.
    • Droit d’obtenir l’accès aux données ainsi qu’aux informations sur les modalités de leur traitement dans le cas où il y a traitement de données personnelles.
    • Droit d’obtenir une copie des données personnelles faisant l’objet du traitement.
  • Le responsable de traitement doit être en mesure de démontrer le respect effectif de l’ensemble des principes de protection des données.
  • Le retard de réponse dans le cadre d’une demande d’exercice de droit dû à l’absence de longue durée d’un employé ne peut exonérer le responsable de traitement de ses obligations vis-à-vis des personnes concernées.
  • Le droit d’accès permet aux personnes concernées de contrôler la licéité de chaque traitement effectué sur les données et, le cas échéant, de faire rectifier ou effacer les données personnelles traitées.
  • Les informations portant sur les protocoles de sécurité de l’information adoptés par le responsable de traitement et les mesures organisationnelles mises en place ne sont pas concernées par l’obligation d’information de l’article 15 du RGPD relatif au droit d’accès. Le responsable de traitement n’est dès lors pas tenu de communiquer ces détails.

Le + DLD

  • Les mesures mises en place par le responsable de traitement et les efforts effectués pour assurer un respect effectif des exigences applicables sont pris en compte dans l’adoption d’une sanction.
  • La rectification de la situation et les efforts déployés pour garantir à l’avenir le respect de la règle légale sont pris en compte lors de la détermination de la sanction.

Décision Complète de l'APD

Consulter

À lire aussi