L’autorité de contrôle autrichienne a sanctionné un responsable du traitement qui a interprété une demande de droit d’accès comme une demande d’effacement. Nos avocats en droit des données personnelles sont là pour vous informer.
Une personne concernée a exercé auprès d’une banque son droit d’accès. N’ayant obtenu aucune réponse dans le délai d’un mois, la personne concernée a déposé une plainte.
Invité par l’autorité de contrôle autrichienne à répondre à la demande d’exercice des droits, le responsable du traitement a informé la personne concernée que sa demande de droit d’effacement avait bien été prise en compte et que ses données avaient été effacées.
Après avoir vérifié que la demande portait bien sur le droit d’accès et non le droit à l’effacement, l’autorité de contrôle a considéré que le responsable du traitement avait commis une « erreur de droit » en « partant du principe que la personne concernée souhaitait que ses données soient effacées ».
La banque justifiait son erreur en indiquant que, comme le client souhaitait mettre fin à la relation contractuelle, elle avait cru, à tort, que sa demande portait sur la suppression de ses données.
Rappelant le droit d’accès est la « clé de voute » permettant à la personne concernée de « vérifier la licéité du traitement et, en outre, de faire valoir ses autres droits », l’autorité de contrôle a considéré que le responsable du traitement avait violé le droit d’accès de la personne concernée :
- (i) en ne traitant pas la demande dans un délai d’un mois ;
- (ii) en n’informant pas la personne des mesures prises, et, enfin ;
- (iii) en effaçant des données personnelles après avoir reçu une demande d’accès.
Compte tenu de ce qui précède, l’autorité de contrôle autrichienne a infligé au responsable du traitement une amende de plus de 10 000 € pour avoir violé les articles 12 et 15 du RGPD.
Source : ici
