Le décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a adapté la procédure d’exercice des droits aux nouvelles dispositions du RGPD.
La procédure quant à l’exercice des droits de la personne concernée par le traitement figure aux articles 92 et suivants du décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Il subsistait, jusqu’au 1er août dernier, une incertitude quant à savoir si les dispositions de ce décret étaient applicables aux nouveaux droits créés par le RGPD, à savoir le droit à la limitation et le droit à la portabilité. Ce doute a été effacé par un décret n°2018-687 ayant vocation à étendre ces dispositions aux droits créés par le RGPD. Dorénavant, le décret fait mention aux « articles 12 à 21 du règlement (UE) 2016/679 du 27 avril 2016 » (le RGPD).
Pour rappel, la procédure d’exercice des droits implique notamment la justification de l’identité de la personne souhaitant exercer ses droits, et ce par tout moyen. En cas de doute du responsable du traitement, celui-ci peut demander des informations supplémentaires, et notamment la transmission d’une copie de la carte d’identité, signée.
La demande d’exercice des droits peut être présentée sur place.
Si celle-ci est imprécise ou ne comporte pas les éléments permettant au responsable du traitement ou au sous-traitant d’y répondre, celui-ci peut inviter le demandeur à lui fournir des informations complémentaires. Cette demande de renseignement doit avoir lieu dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux mois compte tenu de la complexité et du nombre de demandes. Précédemment, ce délai était de deux mois.
Si le responsable du traitement ne donne pas suite à la demande, il doit informer la personne concernée sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande.
Par ailleurs, via une publication du 8 août 2018 sur le droit d’accès, la CNIL précise que ledit droit doit s’exercer dans le respect des droits des tiers (il n’est pas possible de demander à accéder aux données concernant son conjoint, par exemple). De plus, les données de santé doivent être communiquées dans un délai dérogatoire de 8 jours. L’exercice de ce droit est en principe gratuit, sauf demande de copies supplémentaires ou si la demande est manifestement infondée ou excessive, auquel cas la demande de paiement de « frais raisonnables basés sur les coûts administratifs » est envisageable.