Le droit d’accès et le droit à obtenir une copie des données
Comme expliqué dans notre précédente news Comment reconnaître une demande d’accès aux données ?, le RGPD octroie à chaque personne un droit d’accès sur ses propres données à caractère personnel.
Ce droit d’accès permet à chaque individu :
- D’interroger une organisation pour que cette dernière confirme si oui ou non elle traite des données à caractère personnel relatives à la personne concernée ;
- De demander à l’organisation de fournir toute une série d’informations sur la manière dont ces données sont traitées ;
- D’exiger de l’organisation qu’elle transmette une copie des données à caractère personnel dont cette organisation dispose à son sujet.
Que répondre à une demande d’accès ?
L’organisation doit répondre à la demande d’accès gratuitement et préciser :
- Si l’organisation traite ou non des données à caractère personnel concernant la personne qui l’interroge ;
- Et dans l’affirmative :
- Quelles données sont traitées par l’organisation ;
- Les finalités du traitement ;
- Les catégories de données ;
- Les destinataires auxquels les données ont été communiquées ;
- La durée de conservation des données ;
- La source des données ;
- L’existence d’une prise de décision automatisée ;
- Le fait que les données sont transférées ou non vers des pays tiers ainsi que le mécanisme de transfert mis en œuvre ;
- Rappeler à la personne concernée son droit de rectification, d’effacement, de limitation du traitement, d’opposition ainsi que son droit de déposer une plainte auprès de l’autorité de protection des données.
Comment répondre à la demande d’obtenir une copie de ses données ?
Si la personne concernée en fait la demande, elle a également le droit de se faire remettre une copie de ses données à caractère personnel de la part du responsable du traitement.
- Quelle est l’étendue de cette copie ?
Dans un arrêt récent du 4 mai 2023, la Cour de Justice de l’Union européenne a précisé que la personne concernée a le droit d’obtenir une reproduction fidèle, complète et intelligible de l’ensemble de ses données. Elle peut donc obtenir sur cette base la copie d’extraits de documents, voire de documents entiers, ou encore d’extraits de bases de données si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD. Le responsable du traitement ne peut donc pas se contenter de fournir une copie « synthétique » ou une description générale des données dont il dispose.
Enfin, si la demande est formulée par voie électronique comme c’est souvent le cas, les informations doivent être fournies dans un format lisible pour la personne concernée.
Y a-t-il des exceptions au droit d’accès ?
Effectivement, le droit à obtenir un accès et/ou une copie des données connaît certaines limitations.
- Le respect des droits des tiers
Le responsable du traitement doit refuser ou limiter le droit d’accès lorsqu’il implique une atteinte aux droits d’autrui.
Par exemple, fournir à la personne concernée qui en fait la demande l’ensemble des images de caméras de surveillance sur lesquelles elle apparaît peut porter atteinte aux droits à la vie privée des autres personnes qui apparaîtraient sur ces images et justifier le refus de transmettre les enregistrements vidéo à la personne concernée. Dans ce cas, seul un visionnage sans remise des images pourra avoir lieu.
Ce sera également le cas si la fourniture d’une copie des données porte atteinte à un secret d’affaires, à la confidentialité des correspondances ou encore aux droits de propriété intellectuelle d’autrui.
- Le conflit avec une autre législation
D’autres législations nationales peuvent limiter la possibilité pour le responsable du traitement de transmettre certaines informations que demanderait la personne concernée (par exemple pour protéger le secret d’une enquête administrative).
Cependant, il ne peut pas s’agir d’une interdiction totale et sans durée précise.
- L’abus de droit
Le droit d’accès est parfois employé à des fins détournées, entre des parties en litige, afin de se procurer des éléments de preuve.
La Cour des marchés estime qu’il faut examiner les motifs réels de la demande d’accès, dès lors qu’une expédition de pêche peut constituer un abus de droit.
Comment informer la personne concernée en cas de refus ?
Si le responsable du traitement décide de ne pas faire totalement ou partiellement droit à la demande de la personne concernée, il doit l’informer au plus tard dans un délai d’un mois à compter de la réception de la demande de son refus, des motifs de son refus, ainsi que de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
Our advice:
Veillez à :
- Déterminer le contour des demandes de la personne et de lui apporter les informations requises ;
- Informer la personne sur les autres droits que lui octroie le RGPD, en ce compris le droit de porter plainte auprès de l’Autorité de protection des données ;
- Redoubler de prudence lorsque l’exercice du droit d’accès se heurte aux droits d’autrui ou à une autre législation.
Fanny COTON fera également le point sur les droits des individus, à la lumière de la jurisprudence belge et européenne le 15 juin 2023 (renseignements).
Notre équipe reste bien entendu à votre disposition pour vous assister face à une demande d’accès.