Le 31 juillet 2023, la personne concernée a déposé une plainte auprès de l’autorité italienne de protection des données (APD ; Garante per la protezione dei dati personali) contre une banque, la Banca popolari di Bari Spa (responsable du traitement ). Elle avait a déposé une demande d’accès en tant qu’héritière de son père décédé basée notamment sur l’article 15 du RGPD. Elle a affirmé que malgré des demandes réitérées, la banque avait initialement déclaré qu’il n’y avait aucun compte au nom de son père. Plus tard, la banque a reconnu leur existence mais n’a pas fourni les informations demandées.

Après l’intervention de l’APD, la banque a partiellement répondu, en offrant l’accès aux extraits de compte des dix dernières années mais en exigeant une demande formelle. La personne concernée a insisté pour avoir accès à toutes les données relatives à son père. Suite à cela, la banque a finalement fourni les relevés de compte de la personne décédée.

L’APD a engagé une procédure contre la banque pour violations des articles 12, paragraphes 3 , 12, paragraphe 4 et 12, paragraphe 5 du RGPD liées aux mesures prises ou non par la banque en lien avec la demande de la personne concernée.

La banque a expliqué que le fait de ne pas avoir répondu dans les délais à la demande initiale de la personne concernée et aux rappels ultérieurs était dû à une série de malentendus opérationnels.

En particulier, la personne concernée avait dirigé par erreur sa demande vers une adresse e-mail différente de celle désignée par le délégué à la protection des données de la banque. De plus, la banque a d’abord cru qu’aucun compte n’était détenu au nom du défunt et, par la suite, l’unité organisationnelle de la banque a mal classé la demande. Tout cela a conduit à l’impossibilité de traiter rapidement la demande dans les délais prescrits. La banque a rapidement pris des mesures pour remédier à la situation.

L’APD, dans une décision 10009296 du 07.03.2024, présentée, commentée et annexée sur gdprhub (https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10009296&mtc=today) considère notamment ce qui suit :

L’APD a rejeté l’affirmation du responsable du traitement selon laquelle le fait de diriger la demande d’accès vers une adresse électronique autre que celle dédiée à de telles demandes constituait la raison du retard pris à la réponse. L’APD  a rappelé les lignes directrices de l’EDPB 01/2022 sur les droits des personnes concernées (https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_fr) qui précisent que les personnes concernées ne sont pas obligées d’adopter un format particulier pour soumettre leurs demandes d’exercice de leur droit d’accès. Il n’existe en effet aucune exigence du RGPD que les personnes concernées doivent respecter lors du choix du canal de communication par lequel elles entrent en contact avec le responsable du traitement.

Par conséquent, pour défaut de réponse à la demande d’accès, l’APD a condamné le responsable du traitement à payer la somme de 10 000 €.

Me Philippe Ehrenström, avocat, LLM