Lorsqu’une entreprise collecte et traite des données à caractère personnel, le RGPD[1] impose qu’elle réponde sous un mois aux demandes d’exercice des droits[2] des personnes.

« Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. »

— RGPD, article 12-3, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Ce délai peut passer à trois mois si la demande de la personne est complexe ou si elle concerne un grand nombre d’éléments. La personne devra cependant être prévenue sous un mois que le temps de traitement de sa demande est rallongé.

« Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. »

— RGPD, article 12-3, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».