Lorsqu’une entreprise collecte et traite des données à caractère personnel, le RGPD impose qu’elle réponde sous un mois aux demandes d’exercice des droits[1] des personnes.

« Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. »

— RGPD, article 12-3, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Ce délai peut passer à trois mois si la demande de la personne est complexe ou si elle concerne un grand nombre d’éléments. La personne devra cependant être prévenue sous un mois que le temps de traitement de sa demande est rallongé.

« Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. »

— RGPD, article 12-3, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

L’absence de réponse à une demande d’une personne ou une réponse tardive peut être sanctionnée par les autorités de contrôle, c’est-à-dire la CNIL pour la France. Des sociétés ont déjà été sanctionnées pour un tel manquement, notamment les magasins CARREFOUR[2], l’opérateur FREE MOBILE[3] et le fournisseur d’électricité TOTAL ENERGIES[4], l’hôtelier ACCOR[5].

Notes et références

  1. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  2. La société Carrefour France a été sanctionnée par la CNIL, car une réponse tardive étaient parfois apportée aux clients (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  3. L’opérateur Free Mobile a été sanctionné par la CNIL, car une réponse tardive étaient parfois apportée aux clients (source : CNIL, SAN-2021-021, 28 décembre 2021, Free Mobile). Voir « L’opérateur FREE MOBILE sanctionné pour n’avoir pas correctement traité les demandes de ses clients relatives à leurs données personnelles ».
  4. La société TOTAL ENERGIES a été sanctionnnée par la CNIL, car aucune réponse ou une réponse très tardive étaient parfois apportées aux personnes (source : CNIL, SAN-2022-011, 23 juin 2022, TOTALENERGIES). Voir « Le pétrolier TOTAL ENERGIES sanctionné pour avoir effectué des campagnes de prospection sans le consentement des personnes ».
  5. Le groupe ACCOR a été sanctionné par la CNIL, notamment car le groupe a répondu tardivement à une demande d’accès aux données (source : CNIL, SAN-2022-017, 3 août 2022, ACCOR). Voir « Le groupe hôtelier ACCOR sanctionné pour l’envoi d’e-mails de prospection sans consentement, un manque d’information et des manquements de sécurité ».

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données