Un responsable du traitement a été sanctionné, notamment, pour ne pas avoir conservé pendant suffisamment longtemps les dossiers relatifs aux demandes d’exercice des droits.
Le Comité Européen de la Protection des Données (CEPD) organise annuellement une « action coordonnée », (coordinated enforcement framework), dans le cadre duquel les autorités de contrôle européennes réalisent des contrôles ciblés auprès d’organismes publics et privés sur une thématique commune.
En 2024, le CEPD avait choisi de mener son « action coordonnée » sur la thématique du droit d’accès.
C’est dans ce contexte que l’autorité de contrôle lituanienne a mené un contrôle aléatoire auprès d’un laboratoire de biologie médicale. Elle a alors relevé deux manquements étonnants au RGPD.
1/ La conservation trop courte des dossiers de demandes d’exercice des droits
Le responsable du traitement a indiqué avoir mis en place une politique de durée de conservation des dossiers relatifs aux demandes d’exercice des droits.
Selon cette politique, les données personnelles étaient conservées, en base active, le temps du traitement de la demande d’exercice des droits, puis étaient placées en archivage intermédiaire pendant un an à compter de la date de la réponse apportée à la personne concernée.
L’autorité de contrôle a estimé que cette durée d’un an était trop courte car elle ne permettait pas au responsable du traitement, en cas de contrôle, de produire les « preuves de la légalité de la réponse à la demande d’exercice des droits ».
Cette analyse repose sur le fait que, selon le droit lituanien, l’autorité peut sanctionner un responsable de traitement dans un délai de deux ans à compter du dépôt d’une plainte ou de la date de l’infraction présumée.
2/ L’absence d’indication du délai de réponse dans l’accusé de réception
L’autorité de contrôle a également constaté que les personnes concernées recevaient un accusé de réception de leur demande.
Si l’envoi d’un accusé de réception est qualifié de « bonne pratique », le CEPD précise :
« […] Le CEPD considère comme une bonne pratique pour les responsables du traitement de confirmer la réception des demandes par écrit, par exemple en envoyant des courriels […] aux personnes requérantes confirmant que leurs demandes ont été reçues et que le délai d’un mois s’étend du jour X au jour Y. (CEPD, Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès)
En l’espèce, l’accusé de réception n’indiquait pas le « délai de traitement de la demande », c’est-à-dire qu’il ne précisait pas que le délai d’un mois courait à compter de la réception de la demande (du jour X au jour Y), comme le recommande le CEPD.
L’autorité a considéré que le responsable du traitement aurait dû, dans son accusé de réception, rappeler le délai légal de traitement de la demande.
Compte tenu de tout ce qui précède, l’autorité de contrôle a mis en demeure le responsable du traitement de se mettre en conformité au RGPD et corriger les deux manquements relevés. Aucune sanction financière n’a toutefois été prononcée.