Droits ARSULIPO RGPD : définition et gestion en entreprise

·

Lorsque le Règlement (UE) 2016/679 (RGPD) est entré en application le 25 mai 2018, il n'a pas seulement imposé de nouvelles obligations aux organisations traitant des données personnelles : il a également élargi et reformulé les droits des personnes concernées. L'ancien acronyme ARCO — Accès, Rectification, Annulation (Cancelación) et Opposition, hérité de la loi organique espagnole 15/1999 désormais abrogée — a cédé la place à un catalogue plus étendu et plus nuancé, regroupé aujourd'hui sous le mnémonique ARSULIPO. Comprendre ce que signifie chaque droit, sur quel article du RGPD il repose et dans quel délai il doit être traité constitue le premier pas pour que votre organisation gère correctement les demandes reçues et évite des sanctions inutiles.

D'ARCO à ARSULIPO : pourquoi la terminologie a changé

La LO 15/1999 (LOPD abrogée) reconnaissait quatre droits : Accès, Rectification, Annulation (Cancelación) et Opposition. La LOPDGDD — loi organique espagnole 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques, loi nationale en vigueur — adapte au droit espagnol le catalogue élargi du RGPD, qui distingue désormais six droits distincts dans l'acronyme ARSULIPO, auxquels s'ajoutent des droits supplémentaires reconnus par le RGPD.

Le changement n'est pas seulement terminologique. L'annulation (terme de la LOPD espagnole abrogée) se scinde en effacement et limitation du traitement, deux droits aux effets juridiques différents. La portabilité et le droit de ne pas faire l'objet de décisions automatisées, y compris le profilage, font leur apparition. En outre, le droit d'opposition est renforcé avec un contenu spécifique pour la prospection commerciale. Cette extension rend ARCO insuffisant comme référence pratique, d'où l'usage de l'acronyme ARSULIPO dans la formation et dans les procédures de mise en conformité. L'acronyme regroupe six droits : Accès (A), Rectification (R), Suppression (SU), Limitation (LI), Portabilité (P) et Opposition (O). Le droit prévu à l'art. 22 du RGPD — ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé — est un droit additionnel qui ne fait pas partie du mnémonique.

ARCO (abrogé) vs. ARSULIPO (RGPD en vigueur)
Droit ARCO (LO 15/1999, abrogée) Équivalent ou successeur dans ARSULIPO (RGPD)
Accès Accès — art. 15 RGPD (élargi)
Rectification Rectification — art. 16 RGPD
Annulation (Cancelación) Effacement (art. 17) + Limitation (art. 18)
Opposition Opposition — art. 21 RGPD (renforcée pour la prospection commerciale)
Portabilité — art. 20 RGPD (nouveau)
Ne pas faire l'objet de décisions automatisées — art. 22 RGPD (nouveau)

Les six droits ARSULIPO et le droit additionnel de l'art. 22 RGPD

L'article 12, paragraphe 3, du RGPD fixe la règle générale de réponse : un mois à compter de la réception de la demande, prorogeable de deux mois supplémentaires lorsque la complexité ou le nombre de demandes le justifie, à condition d'en informer la personne concernée dans le premier mois. Le tableau ci-dessous présente les six droits qui composent l'acronyme ARSULIPO et le droit additionnel reconnu par l'art. 22 du RGPD — qui ne fait pas partie du mnémonique —, avec leurs références normatives et leurs particularités de délai. Pour un guide opérationnel complet sur la manière de traiter chaque demande en pratique, consultez également Droits des personnes concernées dans le RGPD : accès, rectification, effacement, opposition, limitation et portabilité.

Les six droits ARSULIPO et le droit additionnel de l'art. 22 RGPD : article, contenu et délai de réponse
Droit Article RGPD Ce qu'il permet à la personne concernée Délai de réponse
Accès (A) Art. 15 Obtenir la confirmation que ses données font ou non l'objet d'un traitement et, dans l'affirmative, en obtenir une copie ainsi que des informations sur les finalités, les destinataires, la durée de conservation et l'origine des données. 1 mois (prorogeable à 3 mois dans les cas complexes)
Rectification (R) Art. 16 Exiger la correction des données inexactes ou incomplètes le concernant, dans les meilleurs délais. 1 mois (prorogeable à 3 mois)
Effacement / droit à l'oubli (SU) Art. 17 Demander la suppression de ses données lorsque, entre autres motifs, celles-ci ne sont plus nécessaires au regard des finalités qui ont justifié leur collecte, le consentement est retiré ou le traitement est illicite. Dans les meilleurs délais (en pratique, 1 mois)
Opposition (O) Art. 21 S'opposer à un traitement fondé sur l'intérêt légitime ou l'exercice de l'autorité publique. Pour la prospection commerciale, la cessation du traitement est immédiate et inconditionnelle. Immédiat pour la prospection commerciale ; 1 mois pour les autres cas (prorogeable)
Limitation du traitement (LI) Art. 18 Demander la suspension temporaire du traitement (par exemple, pendant la vérification de l'exactitude des données contestées ou l'examen d'une opposition), sans que les données soient supprimées. Dans les meilleurs délais suivant la demande
Portabilité (P) Art. 20 Recevoir les données qu'il a fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement lorsque celui-ci est fondé sur le consentement ou un contrat et est effectué à l'aide de procédés automatisés. 1 mois (prorogeable à 3 mois)
Ne pas faire l'objet de décisions automatisées (droit additionnel — art. 22 RGPD, hors acronyme ARSULIPO) Art. 22 Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — produisant des effets juridiques ou l'affectant de manière significative, sauf exceptions limitativement prévues (contrat, autorisation légale ou consentement explicite). 1 mois (prorogeable à 3 mois)

Il convient de rappeler que ces droits ne sont pas absolus. Le RGPD et la LOPDGDD (LO 3/2018) prévoient des exceptions spécifiques pour chacun d'eux : par exemple, le droit à l'effacement peut ne pas aboutir lorsque le traitement est nécessaire au respect d'une obligation légale ou à la constatation, à l'exercice ou à la défense de droits en justice (art. 17, par. 3, RGPD). L'organisation doit évaluer chaque demande de manière individuelle ; aucun refus global n'est admis.

Si votre organisation a besoin d'un accompagnement pour concevoir la procédure de traitement des demandes ou revoir ses formulaires internes, chez Summum Consultoría nous accompagnons les entreprises et les entités dans la mise en place du canal d'exercice des droits des personnes concernées, depuis Valladolid, Burgos, Palencia, Aranda de Duero et Las Palmas.

Comment traiter les demandes étape par étape

Une réponse correcte à une demande ARSULIPO ne se limite pas au respect du délai : elle exige également de documenter le processus. Voici les étapes essentielles :

  1. Réception et accusé de réception : dès la réception de la demande, celle-ci doit être enregistrée (date, canal, identité du demandeur) et, le cas échéant, faire l'objet d'un accusé de réception. Si la demande est incomplète ou si l'identité n'est pas établie, le responsable du traitement dispose d'un mois pour demander des informations complémentaires (art. 12, par. 6, RGPD) ; ce mois n'est pas comptabilisé dans le délai de réponse.
  2. Vérification de l'identité : le responsable peut demander des informations supplémentaires pour confirmer l'identité de la personne concernée, mais ne peut pas exiger des données disproportionnées. L'AEPD (autorité espagnole de protection des données) recommande que les procédures de vérification soient proportionnées au risque que représenterait la communication d'informations à une personne non autorisée.
  3. Évaluation du droit invoqué : vérifier si les conditions d'exercice du droit sont réunies et si une cause de limitation ou d'exception s'applique. Cette évaluation doit être documentée.
  4. Réponse à la personne concernée : dans le délai légal, indiquer clairement si la demande est acceptée ou refusée, en motivant tout refus et en informant la personne de son droit d'introduire une réclamation auprès de l'AEPD (art. 12, par. 4, RGPD).
  5. Exécution et enregistrement : appliquer les mesures techniques et organisationnelles découlant de la réponse (effacer des données, corriger des enregistrements, suspendre des traitements) et conserver la documentation de l'ensemble du processus.

Ce processus peut être intégré au registre des activités de traitement (RAT) et au système de gestion de la protection des données de l'organisation, de façon que chaque demande soit traçable et auditable.

Canaux et formats valables pour la réception des demandes

L'article 12, paragraphe 1, du RGPD impose au responsable du traitement de faciliter l'exercice des droits. Il n'existe pas de format obligatoire pour les demandes : la personne concernée peut les soumettre par courrier électronique, formulaire en ligne, courrier postal ou en personne. L'organisation peut prévoir des formulaires spécifiques pour faciliter le processus, mais elle ne peut pas subordonner la validité de la demande à leur utilisation : si quelqu'un envoie un courriel libre décrivant sa demande, cette demande est tout aussi valable.

L'adresse électronique ou le canal prévu pour l'exercice des droits doit figurer dans la politique de confidentialité et, le cas échéant, dans les informations fournies au moment de la collecte des données (mention d'information, art. 13 et 14 RGPD). Si l'organisation dispose d'un délégué à la protection des données (DPO), ses coordonnées doivent également être publiées afin que les personnes concernées puissent le contacter directement.

Quand une demande peut-elle être refusée ou restreinte ?

Le refus d'une demande est possible, mais doit être dûment motivé. Quelques motifs courants :

Dans tous les cas, le refus doit être motivé, notifié dans le délai légal et informer la personne concernée de son droit d'introduire une réclamation auprès de l'AEPD et d'exercer un recours juridictionnel (art. 12, par. 4, RGPD).

Le régime de sanctions applicable

Le non-respect des obligations relatives à l'exercice des droits peut entraîner l'ouverture d'une procédure de sanction. L'article 83, paragraphe 5, du RGPD qualifie d'infraction grave le non-respect des principes de base du traitement et des droits des personnes concernées, passible d'amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. La LOPDGDD (LO 3/2018) complète ce régime aux articles 72 à 74, en qualifiant les infractions de très graves, graves ou mineures en droit espagnol.

Ces seuils ne sont pas automatiques : l'AEPD prend en compte la diligence de l'organisation, le caractère intentionnel ou négligent de l'infraction, les mesures prises pour y remédier et le niveau de coopération manifesté. Disposer de procédures documentées pour le traitement des demandes est un élément dont l'autorité tient compte pour apprécier la responsabilité proactive (accountability) de l'organisation.

Chez Summum Consultoría, nous aidons votre organisation à concevoir et à documenter le canal d'exercice des droits, à adapter les modèles de réponse et à former le personnel chargé de traiter les demandes, afin que le processus soit agile, documenté et conforme au RGPD et à la LOPDGDD.

Questions fréquentes

Le droit à l'effacement est-il la même chose que le droit à l'oubli ?

Dans la pratique, les deux termes sont utilisés comme synonymes, mais le droit à l'oubli est une manifestation spécifique du droit à l'effacement appliquée à l'environnement numérique. L'article 17, paragraphe 2, du RGPD oblige le responsable qui a rendu des données publiques à prendre des mesures raisonnables pour informer les autres responsables qui traitent ces données que la personne concernée a demandé l'effacement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci. Dans la pratique, cette obligation concerne principalement les moteurs de recherche et les plateformes qui indexent du contenu tiers.

Un salarié peut-il exercer des droits ARSULIPO à l'encontre de son employeur ?

Oui. Les travailleurs sont des personnes concernées au sens du RGPD et peuvent exercer n'importe lequel de ces droits à l'égard des données que l'entreprise traite dans le contexte professionnel. Toutefois, l'exercice de certains droits — tels que l'effacement ou la limitation — peut être restreint lorsque le traitement est nécessaire au respect d'obligations légales en matière de droit du travail ou à l'exécution du contrat de travail. La LOPDGDD réglemente spécifiquement les traitements dans le contexte professionnel à ses articles 87 à 91, en complément du cadre du RGPD.

Que se passe-t-il si la personne concernée ne fournit pas suffisamment d'informations pour être identifiée ?

L'article 11, paragraphe 2, du RGPD dispose que, lorsque le responsable du traitement n'est pas en mesure d'identifier la personne concernée, il doit l'en informer. Si la personne fournit des informations supplémentaires permettant son identification, le responsable ne peut pas refuser de donner suite à la demande. Si l'identité ne peut toujours pas être vérifiée avec une certitude raisonnable et que l'exercice du droit pourrait faire peser un risque sur la vie privée de tiers — par exemple, communiquer des données relatives à une autre personne —, le refus peut être justifié. En tout état de cause, la demande d'informations complémentaires suspend le cours du délai de réponse.

Quelle est la différence entre limiter un traitement et s'y opposer ?

Ce sont deux droits distincts aux effets distincts. La limitation du traitement (art. 18 RGPD) suspend temporairement l'utilisation des données : celles-ci ne sont pas supprimées, mais le responsable ne peut pas les traiter pendant la période de limitation, sauf pour les conserver ou avec le consentement de la personne concernée. L'opposition (art. 21 RGPD) vise à mettre fin définitivement au traitement lorsqu'il est fondé sur l'intérêt légitime ou l'exercice de l'autorité publique, sauf si le responsable établit qu'il existe des motifs légitimes impérieux qui prévalent sur les intérêts de la personne concernée. Pour la prospection commerciale, l'opposition est absolue : le responsable doit immédiatement cesser de traiter les données à cette fin, sans qu'il soit possible d'invoquer des motifs susceptibles d'y faire obstacle.