← Article précédent
Télécharger en PDF
Article suivant →

Quels sont les délais pour répondre à une demande d’accès RGPD ?

Réponse courte

Le responsable du traitement doit répondre à une demande d’accès RGPD dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre élevé de demandes, à condition d’en informer la personne concernée dans le délai initial d’un mois et de motiver la prolongation.

La réponse doit être fournie gratuitement, sauf si la demande est manifestement infondée ou excessive. Le non-respect de ces délais expose l’employeur à des sanctions administratives de la CNPD.

Définition

Le droit d’accès en matière de protection des données personnelles permet à toute personne concernée d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, ainsi que l’accès à ces données et à certaines informations complémentaires. Ce droit est garanti par le Règlement (UE) 2016/679 (RGPD) et la loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD) et du régime général sur la protection des données.

L’objectif est d’assurer la transparence du traitement des données et de permettre à la personne concernée de vérifier l’exactitude des informations détenues à son sujet, ainsi que la licéité de leur traitement. Ce droit s’exerce sans préjudice des autres droits garantis par le Code du travail luxembourgeois, notamment en matière d’égalité de traitement et de respect de la vie privée.

Conditions d’exercice

La demande d’accès doit être formulée par la personne concernée ou son représentant légal. Elle peut être adressée par écrit ou par voie électronique, sans formalisme particulier, mais le responsable du traitement doit s’assurer de l’identité du demandeur avant de communiquer toute information.

L’employeur, en tant que responsable du traitement, ne peut exiger que les informations strictement nécessaires à la vérification de l’identité. La demande doit porter sur des données effectivement détenues et traitées dans le cadre de la relation de travail. Le droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui, conformément à l’article 15, paragraphe 4 du RGPD.

Modalités pratiques

Le responsable du traitement doit répondre à la demande d’accès dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre élevé de demandes, à condition d’en informer la personne concernée dans le délai initial d’un mois et de motiver la prolongation.

La réponse doit être fournie gratuitement, sauf si les demandes sont manifestement infondées ou excessives, auquel cas des frais raisonnables peuvent être exigés ou la demande peut être refusée. La réponse doit inclure une copie des données personnelles traitées ainsi que toutes les informations prévues à l’article 15 du RGPD, notamment les finalités du traitement, les catégories de données concernées, les destinataires, la durée de conservation, l’existence du droit de rectification ou d’effacement, et le droit d’introduire une réclamation auprès de la CNPD.

Pratiques et recommandations

Il est recommandé de mettre en place une procédure interne documentée pour la gestion des demandes d’accès, incluant l’identification des personnes habilitées à traiter ces demandes, la vérification systématique de l’identité du demandeur et la traçabilité de chaque étape du traitement de la demande.

Chaque demande doit être enregistrée et suivie afin de garantir le respect des délais légaux. En cas de doute sur la légitimité de la demande ou sur l’étendue des données à communiquer, il convient de solliciter l’avis du délégué à la protection des données (DPO) ou du service juridique. En cas de refus, la motivation doit être écrite, précise et accompagnée de l’information sur la possibilité de saisir la CNPD.

Cadre juridique

  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) :
    • Article 12 (Modalités d’exercice des droits de la personne concernée, délais de réponse, gratuité)
    • Article 15 (Droit d’accès de la personne concernée)
  • Loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données :
    • Article 12 (Modalités d’exercice des droits)
    • Article 15 (Droit d’accès)
  • Code du travail luxembourgeois :
    • Article L.261-1 (Protection des données à caractère personnel dans la relation de travail)
  • Principes généraux :
    • Égalité de traitement (article L.241-1 du Code du travail)
    • Respect de la vie privée (article L.226-1 du Code du travail)

Note

Le non-respect des délais de réponse expose l’employeur à des sanctions administratives de la CNPD, indépendamment de la bonne foi ou de la complexité de la demande. Il est essentiel de documenter chaque étape du traitement pour garantir la traçabilité et la conformité en cas de contrôle.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 30.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...