Concernant le droit d’accès de la personne concernée à ses données, il est utile de revenir, à l’aune d’une décision suédoise récente, sur le délai imparti au responsable de traitement pour communiquer sa réponse.

Selon les art. 16 et ss de l’Ordonnance du 31 août 2022 sur la protection des données (OPDo ; https://www.newsd.admin.ch/newsd/message/attachments/75621.pdf), toute personne qui demande au responsable du traitement si des données personnelles la concernant sont traitées doit le faire par écrit. La demande peut être faite oralement moyennant l’accord du responsable du traitement. Les renseignements sont communiqués par écrit ou sous la forme dans laquelle les données se présentent. D’entente avec le responsable du traitement, la personne concernée peut consulter ses données sur place. Si elle y consent, les renseignements peuvent aussi lui être fournis oralement. La demande de renseignement et la communication des renseignements peuvent être effectuées par voie électronique. Le responsable du traitement prend des mesures adéquates pour identifier la personne concernée et celle-ci est tenue de coopérer (art. 16 al. 5 OPDo).

Selon l’art. 18 al. 1 OPDo, les renseignements sont fournis dans les 30 jours suivant la réception de la demande. Si les renseignements ne peuvent être donnés dans les 30 jours, le responsable du traitement en informe la personne concernée en lui indiquant le délai dans lequel les renseignements seront fournis (art. 18 al. 3 OPDo).

Dans une décision IMY-2023-2978 du 28.05.2023, l’autorité suédoise de protection des données (Integritetsskyddsmyndigheten ou IMY; https://edpb.europa.eu/system/files/2023-07/se_2023-05decisionpublic_draft.pdf9 ) s’est penchée sur une situation où le responsable s’estrouvé, sans sa faute, dans l’impossibilité de respecter les délais fixés au responsable de traitement faute de coopération du requérant :

L’article 12, paragraphe 3, du RGPD exige que le responsable du traitement fournisse à la personne concernée, à sa demande, sans retard injustifié et, en tout état de cause, au plus tard un mois après la réception de la demande, des informations sur les mesures prises en vertu de l’article 15 RGPD [droit d’accès]. Le délai d’un mois peut être prolongé de deux mois supplémentaires lorsque la demande est particulièrement complexe ou lorsque le nombre de demandes reçues est élevé. Si le délai d’un mois est prolongé, le responsable du traitement en informe la personne concernée. La notification de la prolongation du délai a lieu dans un délai d’un mois à compter de la réception de la demande. Le responsable du traitement indique également les raisons du retard.

Sans préjudice de l’article 11, lorsque le responsable du traitement a des motifs raisonnables de douter de l’identité de la personne physique qui présente une demande en vertu des articles 15 à 21 RGPD, le responsable du traitement peut demander la fourniture d’informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée (cf. article 12, paragraphe 6 RGPD).

Conformément à l’article 15, la personne concernée a le droit d’obtenir du responsable du traitement une copie des données à caractère personnel traitées par le responsable du traitement. La personne concernée doit également recevoir d’autres informations, telles que la finalité du traitement des données à caractère et les destinataires ou catégories de destinataires auxquels les données sont communiquées.

L’enquête montre que le responsable de traitement a commencé à traiter la demande d’accès aux données à caractère personnel de la personne concernée dans un délai d’une semaine à compter de sa réception de la demande. Le responsable de traitement a alors fait part au plaignant que se demande irait de l’avant dès qu’il aurait reçu des informations complémentaires permettant de vérifier son identité, ce qui a d’ailleurs été fait – même si la communication du plaignant a été tardive, et que le délai de l’art. 12 (6) a donc été dépassé.

Dans ce contexte, l’IMY note que l’enquête menée dans cette affaire n’a pas montré que le responsable de traitement aurait traité les données à caractère personnel du plaignant en violation de l’article 12, paragraphe 3, et de l’article 15 du GDPR.

Comme le remarque Carlo Piltz (https://www.linkedin.com/feed/update/urn:li:activity:7088136465301262336/), la décision a une grande importance pratique en ce qu’elle précise que le responsable du traitement ne court pas le risque d’être sanctionné par une autorité de protection des données si la personne concernée ne fournit pas de données d’identification supplémentaires et si le responsable du traitement peut démontrer que cette identification était nécessaire et demandée. L’autorité de protection des données semble donc considérer que le délai d’un mois serait comme suspendu pendant la période où le responsable du traitement attend la réponse de la personne concernée. Après avoir reçu toutes les informations requises, le responsable du traitement doit alors s’acquitter de l’obligation de fournir l’accès aux données sans retard injustifié, le délai recommençant comme à courir.

Je pense que la solution est transposable sous l’angle de l’OPDo. Toutefois, en application de l’art. 18 al. 2 OPDo, le responsable de traitement serait bien inspiré d’indiquer, dans sa demande de compléments d’information et de notification de non-respect du délai, que le délai pour répondre à la requête de la personne concernée  sera suspendu en attendant sa réponse et recommencera à courir dès réception des renseignements demandés.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)