L’obligation de demander des informations complémentaires pour l’exercice des droits en cas de doute sur l’identité de la personne

Lorsqu’un opérateur téléphonique, en tant que responsable de traitement, reçoit une demande d’effacement des données, il souhaite s’assurer de l’identité de la personne. En effet, en vertu de l’article 3 de la LOPDGDD – la loi espagnole de protection des données, une personne peut demander la suppression des données d’un membre décédé de sa famille.

Le responsable de traitement a donc demandé une preuve de l’identité de la personne. En l’occurrence, il s’agissait du certificat de décès de la personne. Effectivement, ayant reçu un email adressé à la personne décédée, le membre de la famille a fait une demande d’exercice de droit pour supprimer les données.

Cependant, il y a eu un potentiel incident de sécurité, le responsable de traitement n’a donc pas eu connaissance de la preuve envoyée. Il ne répond donc pas à la demande de suppression des données dans les temps. C’est pourquoi la personne concernée a réalisé une plainte à l’autorité de contrôle.

L’autorité espagnole de protection des données (AEPD) considère que le responsable de traitement qui reçoit une demande d’exercice de droits doit y répondre. En outre, l’article 15 du RGPD met en évidence le droit des personnes à accéder à leurs données et l’article 17 du RGPD en permet l’effacement dans les meilleurs délais.

L’autorité rappelle alors qu’en cas de doute sur l’identité de la personne concernée, il faudrait demander des informations complémentaires pour s’assurer du lien entre la personne décédée et le membre de la famille émetteur de la demande.

Elle appelle donc l’opérateur téléphonique à répondre à cette demande d’exercice de droits dans les plus brefs délais.

Pour en savoir plus :

Article de l’AEPD, 29 septembre 2022


Par DPM | News, Protection des données, Sécurité

Autres articles