Le Règlement (UE) 2016/679 reconnaît à toute personne physique un ensemble de droits sur le traitement de ses données personnelles : accès aux informations traitées (art. 15), rectification des données inexactes (art. 16), effacement lorsque les conditions légalement prévues sont réunies (art. 17), limitation du traitement (art. 18), portabilité des données dans un format structuré et couramment utilisé (art. 20), opposition au traitement (art. 21) et droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé — y compris le profilage — lorsque ces décisions produisent des effets juridiques ou des effets significatifs similaires (art. 22). Du point de vue du responsable du traitement, chacun de ces droits implique une obligation opérationnelle concrète : disposer d'un canal pour recevoir les demandes, vérifier l'identité du demandeur, analyser la demande au regard des bases juridiques du traitement et répondre dans le délai et la forme fixés par l'article 12 du RGPD.
L'article 12 du RGPD établit le cadre procédural général : la réponse à la personne concernée doit être fournie dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois supplémentaires lorsque la complexité ou le nombre de demandes le justifie, à condition que la personne concernée soit informée dans le premier mois des motifs du retard. La réponse est fournie gratuitement ; ce n'est que lorsque les demandes sont manifestement infondées ou excessives — notamment en raison de leur caractère répétitif — que le responsable peut percevoir des frais raisonnables ou refuser de donner suite, mais dans tous les cas il doit motiver cette décision et en informer la personne concernée, qui conserve le droit de déposer une réclamation auprès de l'AEPD (Agencia Española de Protección de Datos — Agence espagnole de protection des données). La LOPDGDD (LO 3/2018 — Ley Orgánica de Protección de Datos y garantía de los derechos digitales) complète ce régime par des dispositions spécifiques au contexte espagnol, notamment en matière de droits dans le cadre du travail (art. 88 et s.) et d'accès aux données anonymisées.
Le principal défi opérationnel pour les PME et les entreprises de taille intermédiaire n'est pas la méconnaissance des droits reconnus par le RGPD, mais l'absence d'une procédure interne permettant de traiter les demandes de manière ordonnée et dans les délais légaux. Sans canal établi, la demande peut arriver par courrier électronique, par courrier postal, de manière verbale ou via un formulaire en ligne et se perdre dans le circuit interne avant d'atteindre la personne compétente pour décider. Sans critères clairs de vérification de l'identité, il existe un risque de répondre à une personne qui n'a pas droit à l'information ou, à l'inverse, d'imposer des charges disproportionnées au demandeur légitime. Sans système d'enregistrement, l'organisation ne peut pas démontrer à l'AEPD qu'elle a répondu dans les délais et de manière correcte, ce qui peut transformer une gestion en fait diligente en une infraction impossible à prouver.
Chez Summum Consultoria, nous accompagnons les organisations dans la conception et la mise en œuvre d'une procédure complète de gestion des droits des personnes concernées : définition du canal officiel de réception des demandes, formulaires adaptés à chaque type de droit (accès, rectification, effacement, opposition, limitation, portabilité et décisions automatisées), critères de vérification de l'identité proportionnés au risque, processus interne d'escalade et de prise de décision, et modèles de réponse satisfaisant aux exigences de forme et de fond de l'article 12 du RGPD. La procédure est intégrée dans le système de protection des données de l'organisation, de sorte que toute demande — quel que soit l'employé qui la reçoit — suit le même circuit et génère la même traçabilité documentaire.
La documentation et l'enregistrement de chaque demande et réponse sont des éléments clés pour démontrer la conformité au régulateur. Le principe de responsabilité prévu à l'article 5.2 du RGPD exige que le responsable du traitement non seulement respecte ses obligations, mais soit également en mesure de démontrer qu'il les respecte. Cela implique de conserver la preuve de la demande reçue, des vérifications effectuées, de la décision prise — y compris sa motivation en cas de refus total ou partiel —, de la réponse envoyée et de la date exacte d'envoi. Notre équipe conseille sur le format et la durée de conservation appropriés pour cet enregistrement, et assiste dans le traitement des demandes complexes pour lesquelles la décision nécessite une analyse juridique spécifique : demandes portant sur des données de tiers, données soumises à une obligation de confidentialité, traitements impliquant une pluralité de responsables ou droits dont l'exercice entre en conflit avec une obligation légale.