Ejercicio de derechos

Droits ARCO protection des données

Lorsqu'un employé, un client ou un utilisateur exerce ses droits sur ses données personnelles, l'article 12 du RGPD (Règlement (UE) 2016/679) fait courir un délai d'un mois pour répondre : un mois pendant lequel l'organisation doit localiser les données, analyser la demande, décider d'y faire droit — ou motiver son refus — et documenter l'ensemble du processus. Chez Summum Consultoria, nous accompagnons les organisations dans la conception de la procédure opérationnelle qui transforme cette obligation en un circuit clair, traçable et conforme aux articles 15 à 22 du Règlement.

Réglementation applicableRGPD (UE) 2016/679 · LOPDGDD (LO 3/2018)
Délai de réponse1 mois à compter de la demande (art. 12 RGPD), prorogeable à 3
Autorité de contrôleAEPD — Agence espagnole de protection des données (Agencia Española de Protección de Datos)

Le Règlement (UE) 2016/679 reconnaît à toute personne physique un ensemble de droits sur le traitement de ses données personnelles : accès aux informations traitées (art. 15), rectification des données inexactes (art. 16), effacement lorsque les conditions légalement prévues sont réunies (art. 17), limitation du traitement (art. 18), portabilité des données dans un format structuré et couramment utilisé (art. 20), opposition au traitement (art. 21) et droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé — y compris le profilage — lorsque ces décisions produisent des effets juridiques ou des effets significatifs similaires (art. 22). Du point de vue du responsable du traitement, chacun de ces droits implique une obligation opérationnelle concrète : disposer d'un canal pour recevoir les demandes, vérifier l'identité du demandeur, analyser la demande au regard des bases juridiques du traitement et répondre dans le délai et la forme fixés par l'article 12 du RGPD.

L'article 12 du RGPD établit le cadre procédural général : la réponse à la personne concernée doit être fournie dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois supplémentaires lorsque la complexité ou le nombre de demandes le justifie, à condition que la personne concernée soit informée dans le premier mois des motifs du retard. La réponse est fournie gratuitement ; ce n'est que lorsque les demandes sont manifestement infondées ou excessives — notamment en raison de leur caractère répétitif — que le responsable peut percevoir des frais raisonnables ou refuser de donner suite, mais dans tous les cas il doit motiver cette décision et en informer la personne concernée, qui conserve le droit de déposer une réclamation auprès de l'AEPD (Agencia Española de Protección de Datos — Agence espagnole de protection des données). La LOPDGDD (LO 3/2018 — Ley Orgánica de Protección de Datos y garantía de los derechos digitales) complète ce régime par des dispositions spécifiques au contexte espagnol, notamment en matière de droits dans le cadre du travail (art. 88 et s.) et d'accès aux données anonymisées.

Le principal défi opérationnel pour les PME et les entreprises de taille intermédiaire n'est pas la méconnaissance des droits reconnus par le RGPD, mais l'absence d'une procédure interne permettant de traiter les demandes de manière ordonnée et dans les délais légaux. Sans canal établi, la demande peut arriver par courrier électronique, par courrier postal, de manière verbale ou via un formulaire en ligne et se perdre dans le circuit interne avant d'atteindre la personne compétente pour décider. Sans critères clairs de vérification de l'identité, il existe un risque de répondre à une personne qui n'a pas droit à l'information ou, à l'inverse, d'imposer des charges disproportionnées au demandeur légitime. Sans système d'enregistrement, l'organisation ne peut pas démontrer à l'AEPD qu'elle a répondu dans les délais et de manière correcte, ce qui peut transformer une gestion en fait diligente en une infraction impossible à prouver.

Chez Summum Consultoria, nous accompagnons les organisations dans la conception et la mise en œuvre d'une procédure complète de gestion des droits des personnes concernées : définition du canal officiel de réception des demandes, formulaires adaptés à chaque type de droit (accès, rectification, effacement, opposition, limitation, portabilité et décisions automatisées), critères de vérification de l'identité proportionnés au risque, processus interne d'escalade et de prise de décision, et modèles de réponse satisfaisant aux exigences de forme et de fond de l'article 12 du RGPD. La procédure est intégrée dans le système de protection des données de l'organisation, de sorte que toute demande — quel que soit l'employé qui la reçoit — suit le même circuit et génère la même traçabilité documentaire.

La documentation et l'enregistrement de chaque demande et réponse sont des éléments clés pour démontrer la conformité au régulateur. Le principe de responsabilité prévu à l'article 5.2 du RGPD exige que le responsable du traitement non seulement respecte ses obligations, mais soit également en mesure de démontrer qu'il les respecte. Cela implique de conserver la preuve de la demande reçue, des vérifications effectuées, de la décision prise — y compris sa motivation en cas de refus total ou partiel —, de la réponse envoyée et de la date exacte d'envoi. Notre équipe conseille sur le format et la durée de conservation appropriés pour cet enregistrement, et assiste dans le traitement des demandes complexes pour lesquelles la décision nécessite une analyse juridique spécifique : demandes portant sur des données de tiers, données soumises à une obligation de confidentialité, traitements impliquant une pluralité de responsables ou droits dont l'exercice entre en conflit avec une obligation légale.

Le processus Droits ARCO protection des données.

Le processus · quatre étapes
01

Conception du canal officiel et des formulaires de demande

Nous définissons le canal mis à disposition pour recevoir les demandes d'exercice de droits — formulaire en ligne, adresse électronique dédiée, adresse postale — et concevons les formulaires pour chaque type de droit avec les données minimales nécessaires. Le canal est communiqué aux personnes concernées dans la politique de confidentialité et dans les registres des activités de traitement. Nous incluons également des instructions à l'intention des personnes qui ne souhaitent pas utiliser le formulaire pour exercer leurs droits librement, conformément à l'art. 12 RGPD.

02

Vérification proportionnée de l'identité de la personne concernée

Nous établissons les critères et les documents admissibles pour vérifier l'identité du demandeur sans lui imposer de charges disproportionnées : le type d'informations à demander varie en fonction de la sensibilité des données et du canal par lequel la demande parvient. Ces critères sont documentés afin que l'équipe puisse les appliquer de manière uniforme. En cas de doute raisonnable sur l'identité, nous définissons la procédure permettant de solliciter des informations complémentaires sans interrompre le délai d'un mois.

03

Analyse juridique, décision et réponse dans les délais

Nous définissons le processus interne d'analyse de chaque demande : qui la reçoit, qui procède à l'examen juridique, qui autorise la réponse et qui l'envoie. Nous élaborons des critères pour chaque type de droit — y compris les motifs de refus motivé autorisés par le RGPD — et des modèles de réponse pour les scénarios les plus fréquents. Lorsqu'une analyse spécifique est requise en raison de la complexité de la demande, nous assistons dans l'évaluation au cas par cas et dans la rédaction de la réponse dans le délai de l'article 12 RGPD.

04

Enregistrement et traçabilité documentaire de chaque demande

Nous mettons en place le registre des demandes de droits permettant de garder la trace de chaque demande reçue, de la vérification effectuée, de la décision prise, de la réponse envoyée et de la date. Ce registre constitue le support probatoire devant l'AEPD en cas de réclamation. Il inclut également les demandes refusées, avec la motivation correspondante, et celles qui n'ont pas pu être traitées dans le délai ordinaire, avec la notification de prorogation adressée à la personne concernée.

Ce qui est inclus

Ce qu'inclut Droits ARCO protection des données.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Canal officiel de réception des demandes

    Définition et communication du canal mis à disposition pour exercer les droits prévus par le RGPD : formulaire en ligne, adresse électronique ou adresse postale, avec des instructions claires dans la politique de confidentialité et les contrats de traitement.

  • Vérification de l'identité du demandeur

    Critères proportionnés et documentés pour confirmer que le demandeur est la personne concernée ou son représentant légal, sans imposer de charges excessives ni retarder le délai d'un mois établi par l'article 12 du RGPD.

  • Accès, rectification et effacement (art. 15–17 RGPD)

    Procédure et modèles pour traiter les demandes d'accès aux données traitées, de correction des données inexactes et d'effacement lorsque l'un des motifs de l'article 17 du RGPD est réuni : données devenues inutiles, retrait du consentement, opposition sans intérêt légitime prépondérant ou obligation légale.

  • Opposition, limitation et portabilité (art. 18, 20–21 RGPD)

    Gestion des droits à la limitation du traitement pendant la résolution d'un litige, à l'opposition au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale, et à la portabilité des données dans un format structuré lorsque le traitement repose sur le consentement ou sur l'exécution d'un contrat.

  • Décisions automatisées et profilage (art. 22 RGPD)

    Analyse et procédure pour traiter le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou des effets significatifs similaires, y compris le profilage. Mise en place de garanties lorsque ce type de traitement est nécessaire.

  • Enregistrement et traçabilité des demandes et des réponses

    Mise en place du registre documentaire de chaque demande : identification, vérification, analyse, décision, réponse et date d'envoi. Support probatoire devant l'AEPD en cas de réclamation et preuve du principe de responsabilité prévu à l'article 5.2 du RGPD.

Cluster Summum

Comment il se connecte aux sœurs.

La gestion des droits des personnes concernées est l'un des axes les plus visibles de la conformité au RGPD : elle est liée à l'adéquation générale au Règlement, au rôle actif du Délégué à la Protection des Données en tant que point de contact pour les personnes concernées, et au protocole de violation de données — car une demande d'effacement mal gérée ou un refus non motivé peuvent entraîner une réclamation auprès de l'AEPD et l'ouverture d'une procédure de sanction.

Questions fréquentes sur Droits ARCO protection des données.

Quels droits toute personne peut-elle exercer sur les données que mon organisation traite ?

Le RGPD reconnaît à toute personne physique dont les données sont traitées les droits suivants : accès (art. 15), rectification (art. 16), effacement (art. 17), limitation du traitement (art. 18), portabilité (art. 20), opposition (art. 21) et droit de ne pas faire l'objet de décisions automatisées aux effets significatifs (art. 22). L'ensemble est communément désigné par l'acronyme ARCO — Accès, Rectification, Cancellation (annulation) et Opposition — terme issu de l'ancienne LOPD (LO 15/1999, abrogée), bien que le RGPD ait élargi et précisé le catalogue en ajoutant le droit à la limitation et la portabilité. La LOPDGDD (LO 3/2018) apporte des précisions pour le contexte espagnol, comme le droit à l'oubli sur les réseaux sociaux (art. 94) les systèmes d'exclusion publicitaire (art. 23 LOPDGDD), et le droit d'opposition au traitement à des fins de prospection commerciale directe (art. 21 RGPD).

De combien de temps je dispose pour répondre à une demande d'exercice de droits ?

L'article 12.3 du RGPD dispose que la réponse doit être fournie dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois supplémentaires lorsque la complexité ou le nombre de demandes l'exige. Dans ce cas, le responsable du traitement doit informer la personne concernée de la prorogation et des motifs du retard dans un délai d'un mois à compter de la réception de la demande initiale. Le délai d'un mois court à compter du jour de réception de la demande, que le responsable ait besoin ou non de temps pour vérifier l'identité du demandeur — bien que dans ce dernier cas l'art. 12.6 RGPD permette de suspendre le délai dans l'attente des informations nécessaires à la confirmation de l'identité.

Puis-je refuser de donner suite à une demande d'effacement de données ?

Oui. L'article 17.3 du RGPD énumère les cas dans lesquels l'effacement peut être refusé : lorsque le traitement est nécessaire à l'exercice du droit à la liberté d'expression et d'information ; au respect d'une obligation légale imposant le traitement (par exemple, conservation de factures en vertu d'une obligation fiscale) ; pour des raisons d'intérêt public ; à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ; ou à la constatation, à l'exercice ou à la défense de droits en justice. Le refus doit être motivé, notifié à la personne concernée et l'informer de son droit de déposer une réclamation auprès de l'AEPD. Un refus sans motivation ou fondé sur des raisons non prévues à l'art. 17.3 peut donner lieu à une réclamation et à l'ouverture d'une procédure de sanction.

Comment vérifier l'identité du demandeur sans lui imposer de charges excessives ?

L'article 12.6 du RGPD autorise le responsable à demander des informations complémentaires nécessaires pour confirmer l'identité de la personne concernée lorsqu'il a des doutes raisonnables sur l'identité de l'auteur de la demande. La clé réside dans la proportionnalité : les informations demandées doivent être le minimum nécessaire pour vérifier l'identité et doivent varier en fonction de la sensibilité des données à communiquer. Pour des données non particulièrement sensibles, des éléments d'identification de base déjà détenus dans la base de données du responsable peuvent suffire ; pour des données plus sensibles — antécédents médicaux, données financières, données relatives à des mineurs — il peut être raisonnable de demander une copie du document d'identité. L'AEPD (Agencia Española de Protección de Datos) a publié des orientations à ce sujet dans son guide sur les droits des personnes concernées, précisant que le responsable ne peut pas exiger systématiquement la carte d'identité nationale si d'autres moyens de vérification sont disponibles.

Que se passe-t-il si je ne réponds pas à une demande d'exercice de droits dans le délai légal ?

Le non-respect des obligations relatives aux droits des personnes concernées — ne pas répondre dans les délais, refuser des demandes sans motivation, ne pas fournir l'accès aux données traitées ou ne pas donner suite à une demande d'effacement lorsqu'elle est justifiée — peut être qualifié d'infraction aux articles 12 à 22 du RGPD. Conformément à l'article 83.5 b) du RGPD, ces infractions sont passibles d'amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Par ailleurs, la personne concernée peut déposer une réclamation auprès de l'AEPD, qui peut ouvrir une procédure de tutelle des droits et, le cas échéant, la convertir en procédure de sanction. La LOPDGDD (LO 3/2018) qualifie d'infraction grave, à son article 73 c), le non-respect de l'obligation de traiter les demandes d'exercice de droits des personnes concernées.

Quand existe-t-il une obligation de désigner un Délégué à la Protection des Données pour gérer ces droits ?

La désignation d'un Délégué à la Protection des Données (DPO) est obligatoire dans les cas prévus par l'article 37 du RGPD et l'article 34 de la LOPDGDD : autorités et organismes publics, entités qui effectuent à grande échelle un suivi régulier et systématique des personnes concernées, ou qui traitent à grande échelle des catégories particulières de données ou des données relatives à des condamnations pénales et infractions. Dans le contexte de l'exercice des droits, le DPO agit comme point de contact pour les personnes concernées — ses nom et coordonnées doivent figurer dans la politique de confidentialité — et supervise le respect du régime des droits. Pour les organisations non soumises à l'obligation de désignation, disposer d'une procédure interne documentée et d'un responsable interne identifié remplit la même fonction pratique.