Selon l’article 15 du RGPD et conformément à l’article 8.2 de la Charte des droits fondamentaux de l’Union européenne, chaque personne concernée a le droit d’obtenir du responsable du traitement des confirmations sur le fait que des données à caractère personnel la concernant sont ou non traitées et, lorsque c’est le cas, l’accès aux données à caractère personnel et aux informations suivantes :
- La finalité du traitement ;
- Les catégories de données personnelles concernées ;
- Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées ;
- La période de conservation des données. Si l’établissement de cette période n’est pas possible, les critères utilisés pour la déterminer doivent être fixés ;
- Tous les droits de la personne concernée, y compris le droit de déposer une plainte auprès d’une autorité de contrôle ;
- L’origine des données personnelles, si elles ne sont pas collectées directement auprès de la personne concernée ;
- L’existence d’une prise de décision automatisée, à savoir les décisions prises à l’aide de données à caractère personnel traitées uniquement par des moyens automatiques sans intervention humaine.
- L’existence de toutes les mesures de protection prises pour transférer éventuellement les données à caractère personnel en dehors de l’UE.
À la demande des personnes concernées, le responsable du traitement doit leur fournir une copie des données personnelles traitées, sans frais. Pour toute copie supplémentaire demandée par les personnes concernées, l’article 15.3 du RGPD permet au responsable du traitement de facturer potentiellement des frais raisonnables basés sur les coûts administratifs. Dans ce scénario, le responsable du traitement doit entrer rapidement en contact avec les personnes concernées, afin de les informer du coût.
Les personnes concernées n’ont qu’un droit d’accès à leurs données personnelles, sauf si ces dernières sont entrelacées avec celles d’autres personnes. Si les données à caractère personnel comprennent des informations sur d’autres personnes, la divulgation suivante dépendra de l’équilibre entre le droit d’accès des personnes concernées et les droits fondamentaux du tiers conformément à l’article 15.4 du RGPD. Par exemple, toute obligation de secret professionnel, la nature des données personnelles, etc. doivent être prises en considération lors de la réalisation de recherches. Dans ce scénario, le responsable du traitement pourrait dissimuler des données susceptibles de nuire à autrui, par exemple en noircissant certaines informations[1] .
Le RGPD n’empêche pas une personne d’agir potentiellement pour le compte des personnes concernées, tout en le prouvant, par exemple, par une procuration[2] . En cas de doute, le responsable du traitement peut demander aux personnes concernées de s’identifier. Toutefois, comme nous l’avons déjà dit, ce processus doit être proportionné. En outre, le responsable du traitement peut demander aux personnes concernées de préciser leur demande, en fournissant des détails supplémentaires qui permettront d’identifier les informations demandées. Néanmoins, la demande de précisions du responsable du traitement n’affecte pas le délai d’un mois.
Le RGPD ne prévoit pas de procédure pour l’exercice du droit d’accès. Par conséquent, le responsable du traitement pourrait fournir un formulaire spécifique que les personnes concernées pourraient facilement remplir et soumettre. L’établissement d’une procédure, quelle qu’elle soit, ne permet toutefois pas au responsable du traitement de s’abstenir d’accepter des demandes qui ont été soumises par d’autres moyens.
De même, le RGPD ne dit rien sur la manière dont le responsable du traitement doit fournir les informations aux personnes concernées. En général, la fourniture de toute information doit se faire dans un format électronique couramment utilisé (par exemple, un courrier électronique auquel est joint un fichier PDF), si la demande a été faite par voie électronique et si les personnes concernées n’ont pas demandé autre chose. Toutefois, le considérant 63 du RGPD suggère au responsable du traitement de fournir aux personnes concernées un accès à distance à un système auto-sécurisé, afin qu’elles puissent accéder directement à leurs données personnelles ; par exemple, en accédant à la base de données du responsable du traitement via un VPN.
Liste de contrôle pour le traitement d’une demande d’accès : L’exercice du droit d’accès est-il conforme au RGPD ? ☐ Avez-vous reçu une demande d’accès de la part d’une personne morale ? Dans l’affirmative, veuillez indiquer que la demande n’a pas été introduite par une personne physique et refuser la demande ; ☐ Les personnes concernées se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ; ☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande (sans dépasser les délais prévus par le RGPD, voir section 6) ; ☐ La demande doit être satisfaite. Comment se conformer davantage à toutes les obligations liées au RGPD : ☐ Fournissez toutes les informations énumérées à l’article 15.1-2 du RGPD ; ☐ Si les informations s’entremêlent avec celles d’autres individus, veuillez effectuer un test d’équilibre pour déterminer si la divulgation à l’individu qui a déposé la demande n’affecte pas les données à caractère personnel de l’autre individu ; ☐ Fournissez à la personne concernée une copie des données personnelles traitées. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut facturer des frais raisonnables. Les bonnes pratiques : ☐ Fournissez un formulaire spécifique que la personne concernée pourra facilement remplir et soumettre ; ☐ Fournissez toutes les informations dans un format électronique communément utilisé, à moins que la personne concernée n’en fasse la demande. |
- P. Voigt & A. von dem Bussche, Le règlement général sur la protection des données de l’UE (RGPD). Un guide pratique, Cham : Springer, 2017, p. 153 ↑
- Bureau du commissaire à l’information, Guide du règlement général sur la protection des données (RGPD), 2019, p. 108, disponible sur : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-RGPD/ [dernier accès : 30.10.2020]. ↑