Comment faciliter l'exercice du droit d'accès conformément au RGPD ?


Comment faciliter l'exercice du droit d'accès conformément au RGPD ?



Si la loi Informatique et libertés prévoyait déjà des droits liés à la protection des données,  ces derniers sont renforcés par le Règlement Européen sur la protection des données (RGPD). Ils visent à permettre aux personnes de conserver la maîtrise de leurs données personnelles et de protéger leur vie privée.

Le RGPD consacre le chapitre 3 aux droits des personnes, parmi lesquels figure le droit d’accès. Ce droit autorise les personnes concernées à demander à un organisme s’il traite leurs données personnelles, lesquelles et pourquoi. 

De plus, le RGPD encadre l’exercice de ce droit pour garantir aux personnes que leurs demandes seront bien traitées. Nous verrons dans cet article :

  • En quoi consiste le droit d’accès aux données personnelles ;
  • Les personnes concernées par l’exercice de ce droit ;
  • Les bonnes pratiques pour faciliter les demandes d’exercices du droit d’accès ;
  • Les limites de ce droit RGPD ; 
  • Les sanctions en cas de non-respect.

 


1- Qu’est-ce que le droit d’accès au sens du RGPD ?


Avant de nous intéresser plus spécifiquement au droit d’accès, voici un récapitulatif des différents droits protégés au titre du RGPD : 

Les différents types de droits des personnes concernées au sens du RGPD 


Les droits de la personne concernée sont listés au chapitre 3, dans les articles 15 à 22 du RGPD.

 A ce titre, toute personne dont vous collectez les données personnelles peut exercer les droits suivants :


La définition du droit d’accès 

Il est défini à l’article 15 du RGPD


Ce droit permet aux personnes concernées de demander à un organisme : 

  1. s'il détient des données sur elles,
  2. si oui : à ce que ces données leur soient communiquées pour en vérifier le contenu.  

Le droit d’accès permet de contrôler l'exactitude des données avant d’exercer son droit de rectification ou d’effacement si nécessaire.

🔎Exemples : 

Il est possible de demander à son médecin l’accès aux données présentes dans son dossier médical : résultats d'examen, diagnostic, rendez-vous médicaux, antécédents, avis du médecin, etc.


Un utilisateur peut demander à un réseau social les informations détenues sur lui. Il est parfois possible d’ obtenir une copie soi-même de ses données. Par exemple, sur Facebook, il suffit de cliquer sur l'onglet « général » puis d'en télécharger une copie. 

  

Droit d’accès : quelles informations doivent être fournies ? 


L’article 15 précise qu’un certain nombre d’informations doivent être mises à la disposition de la personne concernée.

Vous devez obligatoirement informer les personnes sur les points suivants : 

  1. Les finalités du traitement : c’est-à-dire les objectifs pour lesquels sont traitées les données.
  2. Les catégories de données collectées : il peut s’agir de l’identité des personnes (nom, prénom etc.), de leurs données financières (salaire, RIB ect) de leurs données de navigation sur un site internet (navigateur utilisé, adresse IP), etc.
  3. L’identité des destinataires auprès desquels les données sont ou seront communiquées : surtout s’il s’agit de destinataires en dehors de l’Union européenne (UE). En cas de transfert de données personnelles vers un pays hors UE, la personne concernée doit pouvoir être informée des garanties entourant ce transfert. 

🔎 Exemple  :  l’utilisateur d’une application doit pouvoir savoir si le transfert est réalisé dans le cadre du Data Privacy Framework en cas de transfert vers les USA.

  1. La durée de conservation des données ou les critères utilisés pour déterminer cette durée. 
  2. La liste des droits que la personne concernée peut exercer sur ses données personnelles ainsi que la possibilité d’adresser une plainte à la CNIL. 
  3. L’origine des données, lorsque le responsable de traitement ne les a pas récolté directement auprès de la personne concernée. 

🔎 Exemple : Si les données ont été collectées auprès d'un revendeur de données ("Data Brocker"), la personne doit en être informée.

  1. L’existence d’une prise de décision automatisée ou d'un profilage, son fonctionnement, ainsi que les conséquences possibles pour la personne concernée. Ces décisions automatisées ou profilage sont des décisions prises grâce à un algorithme afin d’évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement. 


🔎 Exemple : l’algorithme des réseaux sociaux traite beaucoup de données relatives au comportement des utilisateurs afin de leur proposer des services adaptés. Il s'agit d'un profilage.  


2- Qui est concerné par l’exercice du droit d’accès ? 


L’article 15 du RGPD autorise les personnes concernées par un traitement de données personnelles, à former une demande d’accès auprès du responsable de traitement.

📝 Un traitement est toute opération concernant une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, destruction etc. (article 4 RGPD).

Les organismes concernés par l’obligation de répondre aux demandes d’exercice des droits sont :

  1. Toute organisation (entreprises privées et acteurs publics) établie en Union Européenne, traitant des données personnelles, peu important le lieu de traitement des données des personnes ;
  2. Toute organisation établie en dehors de l’Union Européenne mais proposant des produits et services à destination de personnes situées sur le territoire de l'Union Européenne

De ce fait, dès lors qu’une organisation traite des données à caractère personnel, celui-ci a l’obligation de répondre à un exercice du droit d’accès conformément au RGPD. 



4- Exercice du droit d’accès : les bonnes pratiques 

Pour répondre faciliter l’exercice de ce droit, vous devez :

Bonne pratique n°1 : Définir une procédure de demande de droit d’accès 

Pour être en capacité de répondre aux demandes d’accès, le responsable de traitement doit mettre en place un processus interne fiable et efficace.


Les modalités pratiques pour transmettre une demande d’accès doivent être simples et facilement activables, comme : 

  • Une adresse mail spécifique pour recueillir les demandes d’exercice des droits ;
  • Un numéro de téléphone dédié ;
  • Un formulaire en ligne ;
  • Un portail dédié sur un site web ou une application.

 

Le responsable de traitement doit allouer des moyens à la traitement des demandes : 

  • Vérifier régulièrement la boîte mail dédiée,
  • Allouer des ressources humaines et du temps pour la prise en charge des demandes d’accès ;
  • Prévoir une remontée des demandes d’accès vers les interlocuteurs qualifiés ; 
  • Etc.


Bonne pratique n°2 : Informer les personnes sur leur droit d’accès et la manière de l’exercer


Le responsable de traitement doit informer les personnes concernées : 

  1. de l’existence de leur droit d’accès lors de la collecte des données personnelles collectées. Il s’agit généralement de transmettre la liste des droits (article 15 à 22 du RGPD) dans une mention d'information.  
  2. des moyens pour permettre de demander l’accès aux informations qu'une organisation détient à leur sujet. 


Ces informations sont transmises à la personne concernée en même temps que les autres informations listées à l’article 13 du RGPD de façon claire et transparente.

🔎 Exemple : si vous collectez des données par un formulaire, une première mention d'information peut être visible sur la questionnaire puis un renvoi vers votre politique de confidentialité plus complète peut être intégré.


Bonne pratique n°3 : Répondre aux demandes d’accès aux données

L’article 12 du RGPD exige que la réponse à une demande d’exercice de droits d’accès soit : concise, transparente, compréhensible, et aisément accessible.


En principe, le responsable de traitement doit obligatoirement apporter une réponse écrite (par voie électronique notamment) sauf si : 

  • la personne concernée demande à ce que la réponse lui soit faite oralement.


⏳ Une réponse doit obligatoirement être apportée aux personnes concernées dans les délais suivants : 

  • 1 mois à compter de la réception de la demande ;
  • 3 mois en cas de demande complexe ou d’un grand nombre de demandes (délai initial prolongé de deux mois) à condition d’en informer la personne.  

Ces délais doivent être intégrés dans le processus de gestion des demandes d’accès. 


5- Les limites du droit d’accès


En principe, il n’est pas possible de refuser une demande d’accès ni de restreindre le droit des personnes concernées à accéder aux données que vous détenez sur elles.

Cependant, il existe quelques exceptions :

  • Celui-ci démontre qu’il n'est pas en mesure d'identifier la personne concernée ; 
  • La demande d’accès porte sur les données personnelles d’un tiers; 
  • La demande porte atteinte à la propriété intellectuelle ; 
  • La demande porte atteinte au secret des affaires,
  • Etc.

🔎 Exemple : les particuliers ne sont pas autorisés à accéder directement aux informations contenues dans certains fichiers de police ou intéressant la sûreté de l'État. Pour y accéder, les personnes concernées doivent faire une demande via la CNIL. Les organismes peuvent cependant refuser l’accès s’ils prouvent que la demande est infondée ou excessive.

6- Non respect de l’exercice du droit d’accès : les sanctions 


Lorsque la personne concernée est fondée à demander l’accès à ses données personnelles, le responsable du traitement doit lui donner une réponse.

Il contrevient à son obligation en cas : 

  • de refus sans fondement d’une demande d’exercice de droit ;
  • de refus d’une demande d’exercice de droit sans en informer la personne concernée et/ou sans lui indiquer les motifs ;
  • d’absence de réponse à une demande d'accès aux données personnelles dans les délais impartis,
  • d’absence d’information des personnes concernées de l’existence du droit d’accès ou des modalités pour l’exercer ;
  • Etc.

Les personnes concernées peuvent alors faire une réclamation auprès de la CNIL et former un recours juridictionnel contre l’organisme en question. 


Ainsi, l’organisme s’expose :

  • à un contrôle de la CNIL;
  • ainsi qu’à une sanction : le montant des sanctions financières peut s'élever jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

💡 Gérez facilement vos demandes d’accès aux données personnelles grâce au portail dédié à l’exercice des droits RGPD du logiciel RGPD Leto

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre