Quelles options en cas de demandes d’exercice des droits excessives?
En cas de demandes d’exercice des droits manifestement infondées ou excessives, le responsable de traitement peut :
- Soit refuser de donner suite aux demandes
- Soit facturer des frais « raisonnables »
Toutefois, il incombe au responsable de traitement de démontrer à la personne concernée et le cas échéant à l’autorité de contrôle, le caractère manifestement excessif de la demande.
Comment démontrer le caractère excessif?
Le RGPD ne définit pas le terme « excessif », qui s’interprète de manière restrictive et au cas par cas.
Le responsable de traitement devra prendre en compte plusieurs éléments et notamment :
- La fréquence de modification des données ;
- La sensibilité de la nature des données et des traitements ;
- Si la demande d’exercice est strictement identique à la précédente et que le délai de réponse n’est pas encore écoulé;
- S’il y a une intention malveillante ;
- Etc.
Recommandations
Recommandations pour le responsable de traitement qui envisage de refuser de donner suite à la demande d’exercice des droits :
Documenter la décision de refus ou de facturation des frais
Informer la personne concernée du motif du refus
Rappeler le droit d’introduire une réclamation auprès d’une autorité de contrôle, de la possibilité de former un recours juridictionnel.
Le cas échéant, indiquer l’intention de facturer des frais raisonnables
Références
- RGPD, article 12.5
- EDPB, Lignes directrices 01/2022 sur les droits des personnes concernées – droit d’accès
