Le chapitre III du RGPD prévoit un ensemble de droits que les personnes concernées peuvent exercer pour protéger leurs données personnelles. Bien que chaque droit comporte des détails et des questions spécifiques susceptibles d’affecter et d’être affectés par la recherche sur les TIC^[1] , ils partagent tous certaines caractéristiques générales concernant la transparence de l’information, la communication et les modalités d’exercice (article 12 du RGPD). À cet égard, avant de passer à l’analyse de chaque droit spécifique (articles 13 à 22 du RGPD), il convient de mentionner brièvement certaines questions que chaque chercheur et institution de recherche devrait prendre en considération lorsqu’il s’agit de se conformer à l’exercice de l’un des droits de la personne concernée.

L’article 12.1 duRGPD commence par indiquer comment les informations doivent être données aux personnes concernées, afin qu’elles puissent exercer leurs droits de manière effective. En bref, le responsable du traitement doit fournir des informations correctes et complètes, évitant ainsi les informations inutiles. En outre, la langue utilisée doit être compréhensible pour la personne concernée moyenne et fournie par écrit (sauf demande contraire de la personne concernée). À cet égard, de plus amples détails seront fournis à la section 6.1.

En ce qui concerne le délai, le responsable du traitement doit fournir des informations sur les mesures prises à la suite d’une demande d’exercice du droit de la personne concernée sans retard injustifié ou excessif et, en tout état de cause, dans un délai d’un mois après réception de la demande, en vertu de l’article 12, paragraphe 3, du RGPD. Ce délai peut être prolongé de deux mois supplémentaires, si nécessaire et à condition que le responsable du traitement informe la personne concernée de cette prolongation et la justifie dans un délai d’un mois à compter de la réception de la demande.

L’article 12.5 du RGPD permet au responsable du traitement de refuser la demande d’une personne concernée, si celle-ci est manifestement infondée ou excessive. À cet égard, voici quelquesexemples : les personnes concernées n’ont aucune intention d’exercer leurs droits (et exigent, par exemple, des avantages en échange du retrait de la demande), cherchent à harceler le responsable du traitement, soumettent des demandes identiques dans le même délai, etc. Simultanément, l’article 12.5 du RGPD prévoit également que l’exercice de chaque droit de la personne concernée doit être gratuit, sauf si le responsable du traitement est en mesure de prouver que la demande était manifestement infondée ou excessive. Dans ce cas, le responsable du traitement peut facturer des frais raisonnables, compte tenu du coût administratif de la procédure.

Lorsque le responsable du traitement a des doutes raisonnables concernant l’identité de la personne qui fait une demande, il peut demander la fourniture d’informations supplémentaires afin de confirmer l’identité de la personne concernée, sur la base de l’article 12.6 du RGPD.

1. Comme l’a montré Ducato, le traitement à des fins de recherche bénéficie en effet d’un régime favorable dans le cadre du RGPD, car il cherche à établir un équilibre entre les droits de la personne concernée, la liberté d’exercer une activité commerciale et les attentes légitimes de la société en matière d’accroissement des connaissances. Sur cette base, l’article 89 du RGPD permet de déroger aux articles 14, 15, 16, 18 et 21 du RGPD, à la seule condition que des garanties adéquates soient fournies. En particulier, la disposition exige l’utilisation de mesures techniques et organisationnelles pour assurer la minimisation des données, ainsi que des techniques d’anonymisation et de pseudonymisation. Dans R. Ducato, “Data Protection, Scientific Research and the Role of Information”, Computer Law & Security Review, 2020, Vol. 37, pp. 4-5. ↑