Demandes de données à caractère personnel (DSR) - Temps de réponse
Reçu un personne concernée demande ?
Avez-vous répondu à une demande d'une personne concernée avec quelques heures ou quelques jours de retard ?
Ou peut-être n'étiez-vous pas sûr des délais en vigueur dans les différents pays. S'agit-il de 90 jours ou d'un mois ?
Pas de panique. Nous vous expliquons tout ce que vous devez savoir sur Demandes de la personne concernée (DSR) les délais et les temps de réponse.
- 🇪🇺 Les demandes des personnes concernées dans le cadre du GDPR
- 🇧🇷 Demandes de la personne concernée en vertu de la LGPD (Brésil)
- 🇺🇸 Demandes des personnes concernées en Californie
- 🇺🇸 Demandes des personnes concernées en vertu de la loi de Virginie sur la protection des données des consommateurs (VCDPA)
- 🇺🇸 Demandes des personnes concernées en vertu de la loi sur la protection de la vie privée du Colorado (CPA)
- 🇺🇸 Demandes des personnes concernées en vertu de la loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA)
- 🇺🇸 Demandes des personnes concernées en vertu de la loi texane sur la confidentialité et la sécurité des données (TDPSA)
- 🇺🇸 Demandes des personnes concernées en vertu de la loi du Montana sur la protection des données des consommateurs (MTCDPA)
- 🇬🇧 Demandes des personnes concernées dans le cadre du GDPR britannique
Pourquoi les délais de traitement des demandes des personnes concernées sont-ils si importants ?
Le respect du délai requis vous permet d'éviter les plaintes et les amendes. Par exemple, en Europe, une entreprise qui ne respecte pas cette exigence risque l'amende la plus élevée possible en vertu du GDPR (The General Data Protection Règlement) est de 20 millions d'euros ou 4% de leur chiffre d'affaires mondial. Une amende importante ne sera probablement imposée par les régulateurs que si une entreprise ne respecte pas systématiquement le délai de réponse d'un mois et ne tient pas compte du GDPR d'une autre manière.
Dans l'UE, l'application du GDPR est largement basée sur les plaintes. Même si une entreprise n'encourt pas l'amende la plus élevée en cas de non-respect d'un délai, les enquêtes réglementaires déclenchées par les personnes qui se plaignent épuisent les ressources de l'entreprise et doivent être évitées autant que possible. Afin d'éviter que des plaintes ne soient déposées auprès des autorités de protection des données, votre entreprise pourrait vouloir s'assurer qu'elle respecte le délai légal et qu'elle satisfait les personnes qui lui adressent des demandes.
🇪🇺 Les demandes des personnes concernées dans le cadre du GDPR
Quand la période d'un mois commence-t-elle et se termine-t-elle ?
La réponse se trouve dans le Règlement n° 1182/71qui détermine les règles applicables aux périodes, aux dates et aux délais.
- Bien que le délai commence à courir à partir du moment où la demande est introduite, le calcul du délai commence en fait le jour suivant.
- Le délai de réponse à une demande de droits individuels se termine à minuit le jour du mois suivant.
- Si le jour où le délai se termine n'existe pas dans le mois, le délai se termine à minuit le dernier jour du mois.
- Cette période comprend les jours fériés, les dimanches et les samedis.
- Si le dernier jour du délai tombe un jour férié, un dimanche ou un samedi, le délai prend fin à minuit le jour ouvrable suivant.
Exemple 1 : Vous recevez une demande d'accès le 30 juin. Un délai d'un mois doit être calculé à partir du jour suivant, le 1er juillet, et s'étendra jusqu'à la date calendaire correspondante du mois suivant. Dans cet exemple, le délai se termine le 1er août à minuit.
La période la plus courte qu'un mois puisse durer est de 28 jours et la période la plus courte qu'une période de 3 mois consécutifs puisse durer est de 89 jours. Par conséquent, les temps de réponse suivants peuvent être utilisés comme valeurs par défaut pour garantir l'exécution du DSR dans les délais. Il est également possible de respecter strictement l'approche "1 mois/3 mois", mais l'approche "jours" est souvent plus facile à mettre en œuvre dans les systèmes automatisés.
GDPR
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 28 jours | Le jour suivant la demande | 61 jours supplémentaires |
🇧🇷 Demandes de la personne concernée Sous le LGPD (Brésil)
Le responsable du traitement doit répondre immédiatement à la demande de la personne concernée. Le responsable du traitement peut également
- Informer la personne concernée qu'elle n'est pas l'auteur des données traitement et indiquer, dans la mesure du possible, qui est le responsable du traitement des données ; ou
- Sindiquer les raisons pour lesquelles la mesure ne peut être adoptée immédiatement sur la base d'éléments de fait ou de droit.
Les droits de confirmation du traitement et d'accès aux données doivent être exercés par le responsable du traitement immédiatement lorsqu'il s'agit d'un format simplifié ou dans un délai maximum de 15 jours lorsqu'il s'agit d'une déclaration claire et complète (article 19, paragraphe II, de la LGPD). Pour les autres droits de la personne concernée, l'ANPD doit réglementer le délai approprié que doivent respecter les responsables du traitement (article 19 (§4º) de la LGPD).PD).
Brazil - LGPD
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| Immediately | From the day the requests was received | Up to 15 days |
🇺🇸 Data Subject Requests Under The California CCPA (+CPRA)
When a California data subject exercises the Right to Know or Delete, businesses have 45 days to disclose and deliver the information. Under the CCPA, verifying a consumer’s identity is not an excuse to extend the deadline. However, with a valid reason for extension, the rights to Know or Delete can be extended to allow the controller a total time of 90 days to complete the requested DSR. The CCPA also requires businesses to confirm receipt of a consumer’s request and provide information about how it will process the request within 10 business days
When a consumer exercises their right to opt out, the controller must comply within 15 days, without the possibility of extension.
CCPA
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 45 days | From the day the requests was received | Additional 45 days |
Opt out requests
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 15 days | From the day the requests was received | Not possible |
🇺🇸 Data Subject Requests Under The Virginia Consumer Data Protection Act (VCDPA)
The VCDPA provides that controllers must respond to requests to exercise their consumer rights within 45 days, which may be extended once for an additional 45 days, with an explanation of the reason for delay. The VCDPA also grants consumers the right to appeal a controller’s refusal of such a request through a novel “conspicuously available” appeal process to be established by the controller.
Within 60 days of receiving an appeal, a controller must inform the consumer in writing of its response to the appeal, including a written explanation of the reasons for the decision. If the controller denies the appeal, it must also provide the consumer with an “online mechanism (if available) or other method” through which the consumer can submit a complaint directly to the Attorney General.
Virginia - VCDPA
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 45 days | From the day the requests was received | Additional 45 days |
Request to appeal a controller’s refusal of a data subject request
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 60 days | From the day the requests was received | Not possible |
🇺🇸 Data Subject Requests Under Colorado Privacy Act (CPA)
Like the GDPR, CCPA, and VCDPA before it, under the CPA a controller must respond to a consumer rights request within 45 days of receipt and may subsequently extend that deadline by an additional 45 days when reasonably necessary. When a business extends that deadline, it must notify the consumers within the initial 45-day response period with an explanation for the extension.
Like the VCDPA, the CPA also provides consumers the right to appeal a business’ denial to take action within a reasonable time period. Unlike the VCDPA, the CPA provides controllers with a 45-day window to respond to the appeal and also allows for a 60-day extension to respond to the appeal when reasonably necessary.
Colorado - CPA
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 45 days | From the day the requests was received | Additional 45 days |
Request to appeal a controller’s refusal of a data subject request
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 60 days | From the day the requests was received | Not possible |
🇺🇸 Data Subject Requests Under The Utah Consumer Privacy Act (UCPA)
Like other privacy acts, the Utah privacy law gives consumers a number of rights related to their données personnelles, including the right to:
- Access and delete personal data.
- Opt out of the collection and use of personal data for certain purposes.
- Obtain a copy of their personal data in a format that is feasible, practicable, readily usable, and portable.
According to the UCPA, within 45 days after the day a request is received, controllers must take action on the consumer’s request: and inform the consumer of any action taken on the consumer’s request.
The controller may extend by an additional 45 days if:
- Reasonably necessary due to the complexity of the request or the volume of the requests received by the controller
- The controller has informed the requestor about the extension within the original 45 days time frame, including the length of the extension and the reason.
Utah - UCPA
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 45 days | From the day the requests was received | Additional 45 days |
🇺🇸 Data Subject Requests Under Texas Data Privacy and Security Act (TDPSA)
The TDPSA requires covered businesses to establish two or more secure and accessible methods (through the website or by email in specified circumstances) for consumers to submit authenticated requests to exercise their rights with respect to their personal data.
Responses to consumer requests are due within 45 days of receipt, subject to a 45-day extension, when reasonably necessary. Controllers must provide information in response to a consumer’s request “at least twice annually per consumer” and free of charge, unless the request is “manifestly unfounded, excessive, or repetitive.”
Texas - TDPSA
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 45 days | From the day the requests was received | Additional 45 days |
🇺🇸 Data Subject Requests Under Montana Consumer Data Privacy Act (MTCDPA)
Consumers have the option to exercise their rights by submitting requests through any of the methods outlined in the privacy policy. You are obligated to respond within 45 days. For more complex requests, this timeframe may be extended by an additional 45 days.
If a controller denies a request, the consumer retains the right to appeal the decision, and the controller must provide guidance on how to proceed with the appeal process. The controller is given a timeframe of 60 days to respond to such appeals.
Montana - MTCDPA
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 45 days | From the day the requests was received | Additional 45 days |
🇬🇧 Data Subject Requests Under The UK GDPR
Qu'est-ce qu'un mois civil ?
Selon la ICOLe mois civil commence le jour où l'organisation reçoit la demande, même s'il s'agit d'un week-end ou d'un jour férié. Il se termine à la date correspondante du mois suivant.
Exemple
La demande a été reçue le 3 septembre. Le délai commence le même jour, l'organisation a donc jusqu'au 3 octobre pour répondre. Les mois civils se terminent le jour ouvrable suivant si la date de fin tombe un samedi, un dimanche ou un jour férié.
GDPR DU ROYAUME-UNI
| Répondre dans le cadre | Début du décompte | Extension |
|---|---|---|
| 28 jours | From the day the requests was received | 61 jours supplémentaires |
Sanctions en cas de non-respect des demandes des personnes concernées Délais de réponse
Il peut être particulièrement onéreux pour les entreprises de ne pas se conformer aux exigences en matière de temps de réponse du RGPD. Selon le GDPR, l'amende maximale pour les infractions est de 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entreprises qui enfreignent la loi sur la protection des données sont passibles de sanctions civiles comprises entre 1,4 et 7,5 millions d'euros.
Noa Kahalon
Noa est certifiée CIPM, CIPP/E et Fellow of Information Privacy (FIP) de l'IAPP. Elle a travaillé dans le domaine du marketing, de la gestion de projets, des opérations et du droit. Elle est cofondatrice et directrice de l'exploitation de hoggo, une plateforme de gouvernance numérique pilotée par l'IA qui permet aux équipes juridiques et de conformité de se connecter, de surveiller et d'automatiser la gouvernance numérique dans tous les flux de travail de l'entreprise.