Un mois après l’adoption de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles modifiant la loi Informatique et libertés du 6 janvier 1978, son décret d’application entre en vigueur, pour modifier l’ancien décret d’application du 20 octobre 2005.
Le texte précise notamment les moyens mis à la disposition des personnes concernées par un traitement de données à caractère personnel pour introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés, si celles-ci estiment avoir été victimes d’un traitement ne respectant pas les exigences du droit français et européen en matière de protection des données.
La CNIL met à disposition des personnes un formulaire de réclamation pouvant être rempli par voie électronique, afin de faciliter les démarches des victimes.
La gestion de ces réclamations par la CNIL est gratuite pour les personnes concernées et pour le délégué à la protection des données, sauf lorsqu’une demande est manifestement infondée ou excessive en raison notamment de son caractère répétitif.
Comme pour beaucoup de décisions administratives, le silence gardé par la CNIL pendant une durée de trois mois vaut décision de rejet.
Au-delà du volet des plaintes, le décret aborde les modalités de mise en œuvre des droits prévus par le RGPD auprès des responsables de traitement ou des sous-traitant, soit : le droit d’accéder à ses données, de s’opposer au traitement, de rectification, de limitation, d’effacement, le droit à la portabilité des données,…
Concernant les demandes faites auprès du responsable du traitement ou du sous-traitant, celles-ci peuvent être désormais faites par lettre remise contre signature ou par voie électronique. Il revient cependant à la personne concernée de justifier de son identité par tout moyen.
Lorsque le responsable de traitement ou le sous-traitant a des doutes raisonnables quant à l’identité de la personne, il pourra lui demander des informations complémentaires, y compris, si nécessaire, une copie d’un titre d’identité valide portant sa signature. Dans une telle situation, le délai d’un mois prévu par le RGPD pour répondre à la personne concernée est suspendu.
Si la demande de la personne est imprécise, le responsable de traitement ou le sous-traitant peuvent l’inviter à leur fournir des éléments complémentaires dans le délai légal d’un mois.
Lorsque le responsable de traitement ou le sous-traitant ne s’est pas prononcé dans le délai d’un mois, augmenté d’un mois supplémentaire en cas de demande complexe ou d’une quantité trop importante de demandes à traiter, la demande est réputée rejetée.
Cette dernière règle doit cependant être analysée au regard du RGPD, aux termes duquel est considéré comme un manquement le fait pour un responsable de traitement ou un sous-traitant de ne pas répondre à une demande dans les délais susvisés.
Les entreprises doivent donc faire preuve de vigilance dans le traitement des demandes qu’elles pourraient recevoir des personnes concernées, en mettant en place une cellule interne dédiée à leur gestion.
Virginie PERDRIEUX
Vivaldi-Avocats