Actus & medias > Actualités >
Florian Viel
Mise à jour le 16 décembre 2022
Gérer les demandes de droit d’accès
C
onsacré en droit français depuis la promulgation de la loi n°78-17 du 6 janvier 1978 relative à l’informatique et aux libertés (Loi informatique et libertés), la gestion des demandes d’exercice de droit d’accès a toujours su challenger les organismes mettant en œuvre des traitements de données personnelles.
Corollaire à l’article 8 de la Charte des droits fondamentaux de l’Union Européenne, le droit d’accès est désormais consacré à l’article 15 du règlement 2016/678 (RGPD).
Il vise en particulier la possibilité pour les personnes physiques d’accéder aux données à caractère personnel qui ont été collectées à leur sujet, afin de prendre connaissance de leur traitement et d’en vérifier la licéité (considérant 63 du RGPD).
Le droit d’accès peut ainsi constituer une première étape importante avant l’exercice d’autres droits sur les données traitées le cas échéant.
Il comprend trois principales composantes :
- La confirmation que les données relatives à la personne en faisant la demande sont traitées ou non par l’organisme ;
- L’accès à ces données personnelles ;
- L’accès aux informations relatives au traitement, telles que la finalité, les catégories de données et les destinataires, la durée du traitement, les droits des personnes concernées et les garanties appropriées en cas de transfert vers un pays tiers.
Si les informations à fournir au demandeur sont claires, la gestion de la demande peut être complexe et doit en tout état de cause respecter le formalisme imposé par le RGPD.
Forme de la demande
Le RGPD n’impose aucune exigence aux personnes concernées en ce qui concerne la forme de leur demande d’accès aux données à caractère personnel adressée à l’organisme.
La demande peut ainsi être adressée sous toute forme et par tous moyens au délégué à la protection des données (DPD – DPO) du responsable du traitement ou à toute personne ou tout service en charge de la gestion des demandes le cas échéant, mais aussi plus généralement à tout autre personnel responsable du traitement avec qui la personne concernée est régulièrement en contact.
En tout état de cause, le responsable du traitement est tenu de faciliter l’exercice du droit d’accès de la personne concernée, notamment en prévoyant un moyen adapté lui permettant d’envoyer facilement sa demande à la personne ou au service en charge de son traitement.
A noter toutefois que l’envoi de la demande par tout autre moyen que celui prévu par l’organisme n’entache en rien la validité de la demande « a fortiori lorsque le contenu de la demande est clair » (CNIL c. TOTALENERGIES ELECTRICITÉ ET GAZ France, n°SAN-2022-011, 23 juin 2022).
Portée de la demande
Sauf indication contraire par la personne concernée, la demande de droit d’accès doit être comprise comme portant sur toutes les données à caractère personnel concernant cette dernière, et sur tous les traitements mis en œuvre en relation avec celles-ci.
Toutefois, lorsqu’un responsable de traitement traite un grand nombre de données relatives au demandeur et que la demande est réalisée en des termes généraux, le responsable du traitement peut demander à la personne concernée de préciser sa demande afin de faciliter l’exercice du droit d’accès.
Cette demande du responsable de traitement ne doit toutefois pas avoir pour objectif de limiter la réponse à la demande de droit d’accès et ne doit en tout état de cause pas être utilisée pour dissimuler des informations sur les données ou les traitements concernant la personne concernée.
Si la personne concernée, qui a été invitée à préciser la portée de sa demande, confirme qu’elle souhaite obtenir toutes les données à caractère personnel la concernant, le responsable du traitement devrait les fournir dans leur intégralité (EDPB, Guidelines 01/2022 on data subject rights – Right of access, 18 janvier 2022).
Cependant, la demande ne doit pas être manifestement infondée ou excessive auquel cas le responsable du traitement peut refuser d’y donner suite. Cela peut notamment être le cas lorsqu’une personne concernée demande à son ancien employeur de lui transmettre une copie de tous ses emails, notes et lettres envoyées ou signées par lui, car la quantité de données personnelles peut être trop importante et essentiellement liée à ses anciennes fonctions « plutôt qu’à sa personne elle-même » (Datatilsynet, n° 2021-32-2438, 31 mars 2022).
En ce cas, l’employeur peut demander à la personne concernée de préciser la nature des emails visés par la demande, ou alors « trier les emails en catégories privées et professionnelles ». (Nemzeti Adatvédelmi és Információszabadság Hatóság, n° NAIH/2020/34/3, 8 juin 2020).
Délai de réponse
La demande de droit d’accès doit être satisfaite par le responsable du traitement dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande.
Le cas échéant, lorsque le responsable du traitement demande à la personne concernée de préciser sa demande, le délai d’un mois est suspendu jusqu’à la réponse de cette dernière, sous réserve que la demande de précision ne soit pas réalisée sans retard excessif (EDPB, Guidelines 01/2022 on data subject rights – Right of access, 18 janvier 2022).
Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre de demandes. La personne concernée doit alors être informée de la raison du retard dans les meilleurs délais par le responsable du traitement.
Limites de la demande
Le droit d’obtenir une copie des données, dans le cadre d’une demande de droit d’accès, ne doit pas porter atteinte aux droits et libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle du responsable de traitement ou de tiers.
Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée, et plus généralement à un refus général de donner une suite favorable à la demande de droit d’accès.
Le droit à la confidentialité des correspondances doit par exemple être pris en compte lors de la réponse à une demande de droit d’accès, en particulier lorsque cette dernière porte notamment sur des courriers électroniques échangés avec le responsable du traitement.
En tout état de cause, il revient au responsable du traitement de démontrer que les droits ou libertés d’autrui seraient effectivement affectés. Ce dernier doit mettre en balance les droits et libertés de la personne concernée formulant la demande de droit d’accès, avec ceux des tiers éventuellement affectés par celle-ci, en particulier la probabilité et la gravité des risques en relation avec la communication des données.
Le responsable du traitement doit s’efforcer de concilier autant que possible les droits contradictoires, en particulier par la mise en œuvre de mesures appropriées visant à atténuer le risque pour les droits et libertés des tiers qui seraient affectés par la demande de droit d’accès.
À ce titre, le responsable du traitement pourrait anonymiser les données de tiers avant la transmission de la copie des données visées par la demande de droit d’accès, notamment « en rendant les passages de texte correspondants méconnaissables ou en les noircissant », plutôt que de refuser la transmission (voir notamment Hessisches Landesarbeitsgericht, n° 9 Sa 1431/19, 10 juin 2021).
Dans tous les cas, le droit à obtenir la copie des données s’étend aux courriers électroniques – y compris échangés entre les employés du responsable du traitement et des tiers – dès lors que ces courriers électroniques comprennent des données à caractère personnel relatives à la personne concernée exerçant son droit d’accès. Ces données peuvent être directement identifiantes (le nom et le prénom de la personne concernée), mais également indirectement identifiantes (les caractéristiques et le comportement de la personne concernée), « parce que c’est le moyen le plus efficace de remplir l’obligation de fournir des informations aussi complètes et claires que possible » (voir notamment Rechtbank Midden-Nederland c. Nederlandse Organisatie voor Wetenschappelijk Onderzoek, n° C/16/502323 / HA RK 20-122, 24 mars 2021).
En cas de refus de communication de la copie complète des données de la personne concernée, l’exposé des motifs du refus doit obligatoirement faire référence aux circonstances concrètes ayant motivé ce refus par l’organisme concerné. Cela permet ainsi à la personne à l’origine de la demande de droit d’accès d’évaluer si elle veut prendre des mesures contre celui-ci le cas échéant. L’organisme visé par la demande doit par ailleurs informer la personne concernée sur la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ainsi que d’engager une action judiciaire.
Formes de la réponse
L’appréciation de la demande de droit d’accès aux données doit refléter la situation au moment où elle a été reçue par l’organisme concerné, y compris si des données sont traitées illicitement par celui-ci.
Les informations transmises à la personne concernée à l’origine de la demande de droit d’accès doivent l’être d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
En tout état de cause, la copie des données doit porter sur les données effectivement traitées par l’organisme et peut prendre la forme souhaitée par celui-ci, sous réserve de leur accessibilité par la personne à l’origine de la demande.
Afin d’éviter de fournir des informations incomplètes, en particulier lorsque l’organisme traite un nombre important de données personnelles relatives au demandeur, le responsable de traitement ne peut envisager de limiter la demande d’accès de la personne concernée que s’il est strictement certain que cette limitation correspond bien à la volonté de cette dernière. En tout état de cause, la personne concernée ne devrait pas avoir à réitérer sa demande de transmission de toutes les données dont elle souhaite obtenir la copie, auquel cas le responsable du traitement n’a pas répondu correctement à la demande initiale de droit d’accès formulée par la personne concernée.
En cas de difficulté dans le cadre de la gestion d’une demande de droit d’accès par un organisme, ou de l’exercice de celui-ci par une personne concernée, le recours à des professionnels du droit de la protection des données personnelles peut s’avérer nécessaire, tant pour limiter les risques d’inconformité au RGPD que pour protéger les droits et libertés des personnes physiques.
Actus récentes
La disponibilité du signe
Mise à jour le 07/01/2021
Pour être déposé à titre de marque, le signe choisi doit, en plus d’être licite et distinctif, être disponible(…)
Comment une marque banale peut ou non devenir notoire, VENTEPRIVEE.COM un futur cas d’école ?
Mise à jour le 16/12/2021
La marque VENTE PRIVEE.COM a été adoptée sans que le titulaire ne se pose apparemment la question de son caractère distinctif(…)
L’usage de photographies de tiers sans autorisation
Mise à jour le 24/12/2021
Les photographies sont considérées, selon l’article L.112-2 9° du Code de la propriété intellectuelle comme étant des œuvres de l’esprit.(…)
L’utilisation du produit d’un tiers dans une publicité : l’appréciation du caractère accessoire par les Tribunaux.
Mise à jour le 23/12/2021
Il arrive fréquemment que les annonceurs utilisent dans leurs publicités des produits de sociétés tierces qui sont des créations protégées au titre des droits d’auteurs(…)