Dans une décision du 09.08.2022 (https://edpb.europa.eu/system/files/2023-02/de_be_2022-08_decisionpublic_redacted.pdf, présentée par Dr Carlo Piltz ici : https://www.linkedin.com/feed/update/urn:li:activity:7099634301662629888/), l’autorité de protection des données (APD) de Berlin a traité la question de savoir si les demandes des personnes concernées ne devaient être traitées que si elles suivaient un « chemin » prédéfini ou utilisaient une adresse électronique spécifique.

La personne concernée demandait au responsable de traitement de supprimer son adresse email, dans la mesure où elle recevait des communications qui ne lui étaient manifestement pas destinées. Elle n’a toutefois pas envoyée sa requête au DPO, comme le mentionnait la Privacy Notice, mais bien au service client, qui l’avait transmise au service juridique après un certain temps.

Selon l’APD de Berlin, le fait que la personne concernée n’ait pas adressé sa demande au délégué à la protection des données de l’entreprise mais au service clientèle ne justifie pas l’absence de réponse dans les délais.

Le RGPD n’oblige en effet pas les personnes concernées à faire valoir leurs droits à la protection des données par voie électronique, ni à envoyer les demandes uniquement à une adresse électronique spécifique.

La personne concernée avait simplement utilisé une adresse électronique de l’entreprise (celle du service client). Pour l’APD de Berlin, cela est suffisant. Elle aurait d’ailleurs pu également utiliser d’autres moyens, non mentionnés par le responsable de traitement, comme un envoi postal.

Comme le relève Carlo Piltz, l’APD aurait d’ailleurs pu se référer ici directement à l’art. 12 (2) RGPD selon lequel le responsable du traitement doit faciliter l’exercice des droits de la personne concernée en vertu des articles 15 à 22 du RGPD.

Comme le relève Piltz, cette décision illustre l’importance pour les responsables du traitement de mettre en œuvre des règles et des procédures internes pour traiter les demandes des personnes concernées. Les demandes des personnes concernées peuvent théoriquement parvenir à l’entreprise par de multiples canaux de communication. Dès que la question du RGPD se pose, il est donc important que tous les employés sachent ce qu’ils doivent faire. Ils doivent être formés, dans le cadre des mesures techniques et organisationnelles propres que doit prendre le responsable de traitement pour assurer le respect du droit de la protection des données.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)