Comment répondre correctement à une demande d’accès ?

Le droit d’accès et le droit à obtenir une copie des données

Comme expliqué dans notre précédente news Comment reconnaître une demande d’accès aux données ?, le RGPD octroie à chaque personne un droit d’accès sur ses propres données à caractère personnel.

Ce droit d’accès permet à chaque individu :

D’interroger une organisation pour que cette dernière confirme si oui ou non elle traite des données à caractère personnel relatives à la personne concernée ;
De demander à l’organisation de fournir toute une série d’informations sur la manière dont ces données sont traitées ;
D’exiger de l’organisation qu’elle transmette une copie des données à caractère personnel dont cette organisation dispose à son sujet.

Que répondre à une demande d’accès ?

L’organisation doit répondre à la demande d’accès gratuitement et préciser :

Si l’organisation traite ou non des données à caractère personnel concernant la personne qui l’interroge ;
Et dans l’affirmative :
- Quelles données sont traitées par l’organisation ;
- Les finalités du traitement ;
- Les catégories de données ;
- Les destinataires auxquels les données ont été communiquées ;
- La durée de conservation des données ;
- La source des données ;
- L’existence d’une prise de décision automatisée ;
- Le fait que les données sont transférées ou non vers des pays tiers ainsi que le mécanisme de transfert mis en œuvre;
- Rappeler à la personne concernée son droit de rectification, d’effacement, de limitation du traitement, d’opposition ainsi que son droit de déposer une plainte auprès de l’autorité de protection des données.

Comment répondre à la demande d’obtenir une copie de ses données ?

Si la personne concernée en fait la demande, elle a également le droit de se faire remettre une copie de ses données à caractère personnel de la part du responsable du traitement.

Quelle est l’étendue de cette copie ?

Dans un arrêt récent du 4 mai 2023, la Cour de Justice de l’Union européenne a précisé que la personne concernée a le droit d’obtenir une reproduction fidèle, complète et intelligible de l’ensemble de ses données. Elle peut donc obtenir sur cette base la copie d’extraits de documents, voire de documents entiers, ou encore d’extraits de bases de données si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD. Le responsable du traitement ne peut donc pas se contenter de fournir une copie « synthétique » ou une description générale des données dont il dispose.

Enfin, si la demande est formulée par voie électronique comme c’est souvent le cas, les informations doivent être fournies dans un format lisible pour la personne concernée.

Y a-t-il des exceptions au droit d’accès ?

Effectivement, le droit à obtenir un accès et/ou une copie des données connaît certaines limitations.

Le respect des droits des tiers

Le responsable du traitement doit refuser ou limiter le droit d’accès lorsqu’il implique une atteinte aux droits d’autrui.

Par exemple, fournir à la personne concernée qui en fait la demande l’ensemble des images de caméras de surveillance sur lesquelles elle apparaît peut porter atteinte aux droits à la vie privée des autres personnes qui apparaîtraient sur ces images et justifier le refus de transmettre les enregistrements vidéo à la personne concernée. Dans ce cas, seul un visionnage sans remise des images pourra avoir lieu.

Ce sera également le cas si la fourniture d’une copie des données porte atteinte à un secret d’affaires, à la confidentialité des correspondances ou encore aux droits de propriété intellectuelle d’autrui.

Le conflit avec une autre législation

D’autres législations nationales peuvent limiter la possibilité pour le responsable du traitement de transmettre certaines informations que demanderait la personne concernée (par exemple pour protéger le secret d’une enquête administrative).

Cependant, il ne peut pas s’agir d’une interdiction totale et sans durée précise.

L’abus de droit

Le droit d’accès est parfois employé à des fins détournées, entre des parties en litige, afin de se procurer des éléments de preuve.

La Cour des marchés estime qu’il faut examiner les motifs réels de la demande d’accès, dès lors qu’une fishing expedition peut constituer un abus de droit.

Comment informer la personne concernée en cas de refus ?

Si le responsable du traitement décide de ne pas faire totalement ou partiellement droit à la demande de la personne concernée, il doit l’informer au plus tard dans un délai d’un mois à compter de la réception de la demande de son refus, des motifs de son refus, ainsi que de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

Our advice:

Veillez à :

Déterminer le contour des demandes de la personne et de lui apporter les informations requises ;
Informer la personne sur les autres droits que lui octroie le RGPD, en ce compris le droit de porter plainte auprès de l’Autorité de protection des données ;
Redoubler de prudence lorsque l’exercice du droit d’accès se heurte aux droits d’autrui ou à une autre législation.

Fanny COTON fera également le point sur les droits des individus, à la lumière de la jurisprudence belge et européenne le 15 juin 2023 (renseignements).

Notre équipe reste bien entendu à votre disposition pour vous assister face à une demande d’accès.

Cookie	Type	Duration	Description
_wpas_session	session	30 minutes	This cookie is used by Awesome Support (online consultation / SOS) to keep track of website state between page loads and to store temporary information essential to the website's ability to work properly.More info: https://getawesomesupport.com/documentation/awesome-support/cookies/
cookielawinfo-checkbox-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-non-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Non-Necessary'.
PHPSESSID	session		This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookie and is deleted when all the browser windows are closed.
pll_language	persistent	1 year	This cookie is set by Polylang and is used to remember the language selected by the user when he comes back to visit again the website. This cookie is also used to get the language information when not available in another way. Examples are ajax requests or the login page.More info: https://polylang.pro/doc/is-polylang-compatible-with-the-eu-cookie-law/
viewed_cookie_policy	persistent	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
woocommerce_cart_hash	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart_	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wordpress_[hash]	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info : https://wordpress.org/support/article/cookies/
wordpress_logged_in_[hash]	persistent	14 days	This cookie is set by Wordpress and is used to indicate when you are logged in, and who you are. This cookie is maintained on the front-end of the website as well when logged in.More info: https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info: https://wordpress.org/support/article/cookies/
wp_woocommerce_session_	persistent	2 days	This cookie is set by WooCommerce. It contains a unique code for each customer so that it knows where to find the cart data in the database for each Customer.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wp-settings-{time}-[UID]	persistent	1 year	This cookie is set by Wordpress and is used to customize the view of your admin interface and the front-end of the website. The value represented by [UID] is the individual user ID of the user as given to them in the users' database table.More info: https://wordpress.org/support/article/cookies/

Cookie	Type	Duration	Description
_ga	third party	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assigns a randomly generated number to identify unique visitors.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_gat	third party	1 minute	This cookie is installed by Google Universal Analytics to throttle the request rate to limit the collection of data on high traffic sites.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_gid	third party	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visited in an anonymous form.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Cookie	Type	Duration	Description
GPS	third party	30 minutes	This cookie is set by YouTube and registers a unique ID for tracking users based on their geographical locationMore info: https://policies.google.com/technologies/types?hl=en
IDE	third party	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.More info: https://policies.google.com/technologies/types?hl=en
VISITOR_INFO1_LIVE	third party	5 months	This cookie is set by YouTube. Used to track the information of the embedded YouTube videos on a website.More info: https://policies.google.com/technologies/types?hl=en
YSC	third party		This cookie is set by YouTube and is used to track the views of embedded videos.More info: https://policies.google.com/technologies/types?hl=en

Cookie	Type	Duration	Description
__atuvc	third party	1 year	This cookie is set by Addthis to make sure you see the updated count if you share a page and return to it before our share count cache is updated.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
__atuvs	third party	30 minutes	This cookie is set by Addthis to make sure you see the updated count if you share a page and return to it before our share count cache is updated.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
bt2	third party	8 months	Set by AddThis. (Purpose not known)Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
di2	third party	1 year	This cookie is set by AddThis on sites that allows sharing on social media. The cookie is used to track user behavior anonymously to generate usage trends to improve relevance to their services and advertising.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
loc	third party	1 year	This cookie is set by Addthis. This is a geolocation cookie to understand where the users sharing the information are located.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
mus	third party	1 year	Set by AddThis. (Purpose not known)Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
na_id	third party	1 year	This cookie is set by AddThis to enable sharing of links on social media platforms like Facebook and TwitterOpt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
notice_test	third party	1 year	Set by AddThis. (Purpose not known)Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
ouid	third party	1 year	The cookie is set by Addthis which enables the content of the website to be shared across different networking and social sharing websites.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
sshs	third party	1 year	Set by AddThis. (Purpose not known)Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
uid	third party	1 year	This cookie is set by Addthis. This cookie is used to measure the number and behavior of the visitors to the website anonymously. The data includes the number of visits, average duration of the visit on the website, pages visited, etc. for the purpose of better understanding user preferences for targeted advertisements.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
um	third party	1 year	Set by AddThis. (Purpose not known)Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
uvc	third party	1 year	The cookie is set by addthis.com to determine the usage of AddThis service.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
vc	third party	1 year	This cookie is set by AddThis on sites that allow sharing on social media.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6
xtc	third party	1 year	This cookie is set by AddThis and is used to Anonymously tracks user behaviour on the websites that allow a user to share pages on social media using the AddThis tool. AddThis log the anonymous use to generate usage trends to improve the relevance of their services and advertising.Opt-out: https://datacloudoptout.oracle.com.More info: https ://www.oracle.com/legal/privacy/addthis-privacy-policy.html#section6

RGPD : Comment répondre correctement à une demande d’accès ?