Refuser une Demande d'une Personne Concernée - Quand est-ce Permis ?

Vous ne devez pas toujours dire oui

Le RGPD donne aux personnes concernées des droits forts, mais ces droits ne sont pas absolus. Il y a des situations où vous pouvez refuser une demande. Cependant, il est important de le faire correctement : avec un motif valable, dans le délai imparti et avec une communication appropriée.

Motifs de refus

1. Demande manifestement infondée

Une demande qui n’est clairement pas soumise pour exercer des droits en matière de vie privée, mais pour vous entraver. C’est un seuil élevé. Vous devez pouvoir démontrer que la demande ne sert aucun objectif raisonnable.

En pratique, cela se produit rarement. Soyez prudent avec ce motif - les autorités de contrôle ne l’acceptent pas facilement.

2. Demande excessive

Si la même personne fait à plusieurs reprises la même demande dans un court laps de temps sans changements pertinents. Pour une demande excessive, vous avez deux options :

• Demander des frais raisonnables pour les coûts administratifs
• Refuser la demande

3. Obligation légale de conservation

Pour les demandes de suppression : si vous êtes légalement tenu de conserver les données (obligation de conservation fiscale, délais du droit du travail), vous ne pouvez pas supprimer. Ce n’est pas un refus au sens de “je ne veux pas”, mais “je ne peux pas sans enfreindre la loi”.

4. Droits des tiers

Pour les demandes d’accès : si la fourniture de données porterait atteinte aux droits et libertés d’autres personnes. Pensez aux dossiers contenant des données de plusieurs personnes. Vous pouvez masquer les données des tiers.

5. Droits en justice

Si vous avez besoin des données pour la constatation, l’exercice ou la défense de droits en justice. Tant qu’un litige est en cours, vous pouvez conserver les données pertinentes.

6. Identité non vérifiée

Si vous ne pouvez pas vérifier l’identité du demandeur, vous pouvez refuser la demande jusqu’à ce que l’identité soit confirmée. Demandez des informations supplémentaires et suspendez le délai jusqu’à réception.

Comment refuser correctement

Répondez toujours

Même en cas de refus, vous devez répondre dans un mois. Ne pas répondre n’est pas un refus - c’est une infraction.

Motivez votre décision

Expliquez sur quel motif vous refusez. “Nous ne voyons pas de raison de satisfaire votre demande” est insuffisant. Nommez l’exception spécifique qui s’applique.

Informez des droits

Indiquez dans votre réponse que la personne concernée :

• Peut déposer une plainte auprès de l’autorité de contrôle (indiquez le nom et les coordonnées)
• Peut faire appel devant les tribunaux

Documentez

Conservez votre évaluation : quelle demande, quel motif de refus, quelles considérations vous avez faites. C’est votre dossier si l’autorité de contrôle pose des questions.

Un exemple

Un ancien client vous demande de supprimer toutes ses données. Vous vérifiez vos systèmes et trouvez :

• Des factures avec son nom et adresse (obligation de conservation fiscale : 7 ans)
• Des notes CRM et un historique de communication (pas d’obligation de conservation)
• Une facture impayée (nécessaire pour une action en justice)

Votre réponse : “Nous avons supprimé vos notes CRM et votre historique de communication. Nous conservons vos données de facturation pendant encore [X] ans en vertu de notre obligation de conservation fiscale. Nous conservons les données liées à la facture impayée jusqu’au règlement du litige.”

C’est une réponse correcte, transparente et bien motivée.

La charge de la preuve vous incombe

C’est important : si une personne concernée dépose une plainte auprès de l’autorité de contrôle, c’est à vous de démontrer que votre refus était justifié. La personne concernée n’a pas à prouver que sa demande était justifiée. Assurez-vous donc toujours d’avoir une documentation adéquate.