Réponse

Des personnes peuvent contacter votre entreprise/organisation pour exercer leurs droits en vertu du RGPD (droits d’accès, de rectification, d’effacement, de portabilité, etc.). Lorsque des données à caractère personnel sont traitées par voie électronique, votre entreprise/organisation devrait fournir aux personnes le moyen de formuler leurs demandes de la même manière. Votre entreprise/organisation doit répondre à leur demande dans les meilleurs délais et, en principe, dans un délai d’un mois à compter de la réception de la demande.

Elle peut leur demander des informations supplémentaires pour confirmer l’identité de la personne présentant la demande.

Si votre entreprise/organisation rejette la demande, elle doit alors informer la personne des raisons de ce rejet et de son droit à introduire une réclamation auprès de l’autorité de protection des données et à former un recours juridictionnel.

Aucun paiement n’est exigé pour traiter les demandes formulées par les personnes. Lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, vous pouvez exiger le paiement de frais raisonnables ou refuser de donner suite à ces demandes.

Exemple

Une personne qui a accédé à toutes ses données à caractère personnel le mois précédent introduit à nouveau la même demande pour accéder aux mêmes données à caractère personnel. Vous pouvez envisager de l’informer que vous rejetez sa demande ou exiger le paiement de frais raisonnables.

Références

  • Articles 12, et 15 à 22 et considérants 59) et 63) à 71) du RGPD