Il reste une semaine et demi avant l’application du fameux Règlement général relatif à la protection des données (RGPD). Tous les organismes qui mettent en oeuvre un traitement de données à caractère personnel devront respecter, dès le 25 mai 2018, toutes les mesures prévues par ce texte européen.
Parmi l’ensemble d’obligations à respecter se trouve un point non négligeable qui, pour certains, relève du casse-tête pour le mettre en oeuvre. Il s’agit du droit d’accès de chaque individu à ses données à caractère personnel. Prévu par l’article 15 du RGPD, ce droit implique que le responsable du traitement fournisse à la personne qui en fait la demande une copie intégrale de toute les données à caractère personnel qui font l’objet d’un traitement. Or, la mise en place de ce dispositif et son fonctionnement peuvent s’avérer coûteux.
Dès lors, il est intéressant de savoir si cette démarche peut être rendue payante par le responsable du traitement : à cette question, les répondants à nos questionnaires sont seulement 21% à connaître la bonne réponse !
Fournitures des données RGPD : le principe de gratuité peut voler en éclats
Nos lecteurs sont nombreux à en être convaincus, la fourniture des données à caractère personnel dans le cadre du RGPD est nécessairement gratuite. Il est vrai que l’article 12, paragraphe 5 du Règlement indique que “aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34“. Dès lors, on comprend que c’est un principe de gratuité qui est posé pour la fourniture des données personnelles aux individus qui en font la demande.
Mais à tout principe existe une ou plusieurs exceptions. En l’occurrence, le même article du RGPD précise que si les demandes sont “manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut […] exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées“. Cette possibilité de faire payer la fourniture des données est aussi rappelée à l’article 15, paragraphe 3 du RGPD qui précise que “le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée“.
Trois enseignements sont à retenir :
– d’abord, il est clair que la première fourniture des données devrait être gratuite, sauf si le responsable du traitement arrive à prouver que la demande est infondée ou excessive (ce qui n’est pas chose aisée) ;
– ensuite, le caractère répétitif des demandes de fourniture des données semble être le point clef qui permet de faire payer la personne ;
– enfin, si un prix est fixé par le responsable du traitement, il doit être proportionné au coût administratif réel engagé et ne doit, vraisemblablement, pas avoir de but lucratif.
Il est donc parfaitement possible de faire payer la fourniture de données personnelles aux individus qui en font la demande, toutefois cette faculté répond à des critères spécifiques. La première fourniture des données doit cependant rester totalement gratuite à moins que la demande comporte un caractère infondé ou excessif qu’il revient au responsable du traitement de prouver.
Approfondissez votre connaissance du RGPD
Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne. Le premier défriche les notions de base de la protection des données, le second aborde des détails moins évidents et parfois propices à piéger les responsables de traitement de données personnelles. Cliquez ici pour y accéder.
N’hésitez pas à réclamer ici votre guide complet “RGPD : les bons conseils pour réussir” qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages !