En application des articles 12 et suivants du Règlement Général à la protection des données (RGPD), les données à caractère personnel des citoyens doivent, notamment, faire l’objet d’un traitement transparent (art. 12), bénéficier d’un droit d’accès aux données personnelles traitées par le responsable de traitement (art. 15), ainsi que de pouvoir être effacées à la demande de la personne concernée (art. 17).

L’Autorité de Protection des Données (l’APD) a récemment eu l’occasion de se prononcer sur ces différents droits dans sa décision 39/2022 du 17 mars 2022.

À l’origine de la cause, un plaignant, ancien client du responsable de traitement, sollicita la suppression de son compte client et de ses données auprès de la défenderesse au moyen d’un courriel envoyé depuis sa nouvelle adresse mail, tout en faisant mention de son ancienne adresse.

En dépit de réponses lui confirmant la prise en charge de sa demande, il s’est révélé par la suite que le plaignant était toujours repris dans une base de données « prospect » à des fins publicitaires.

Dans sa décision, l’APD constate la violation du RGPD mais reconnaît des circonstances atténuantes. Elle n’inflige dès lors qu’une réprimande.

L’APD souligne également l’intérêt de la centralisation des questions des personnes concernées relativement au traitement de leurs données auprès d’une personne de contact ou d’un délégué à la protection des données.

Il a enfin été tenu compte de la réactivité du responsable de traitement dans sa mise en conformité durant la procédure dans la détermination des sanctions à infliger. Il n’est donc jamais trop tard pour se mettre en conformité et mettre en place les processus appropriés.

Laurent HOUSEN