ARTICLE
18 November 2024

RGPD : Quelques Aspects Pratiques Liés Au Droit D'accès

EH
ELVINGER HOSS PRUSSEN, société anonyme

Contributor

ELVINGER HOSS PRUSSEN, société anonyme logo
Independent in structure and spirit, Elvinger Hoss Prussen guides clients on their most critical Luxembourg legal matters. Committed to excellence and creativity in legal practice, our firm delivers the best possible advice for businesses, institutions and entrepreneurs, playing a unique role in the development of Luxembourg as a financial centre.
Le droit d'accès, consacré à l'article 15 du Règlement Général sur la Protection des Données (RGPD), a pour objectif de fournir à la personne qui en fait la demande des...
Luxembourg Privacy

RGPD : QUELQUES ASPECTS PRATIQUES LIÉS AU DROIT D'ACCÈS1

Le droit d'accès, consacré à l'article 15 du Règlement Général sur la Protection des Données (RGPD), a pour objectif de fournir à la personne qui en fait la demande des informations transparentes, accessibles et claires afin de lui permettre de vérifier si des données à caractère personnel la concernant sont traitées, l'exactitude de ces données, la licéité des traitements effectués et faciliter l'exercice d'autres droits.

Cela dit, dans l'affaire C-307/22 FT (Copies du dossier médical), la Cour de Justice de l'Union Européenne (CJUE) a affirmé que l'article 15 du RGPD impose de fournir à la personne concernée une copie des données à caractère personnel faisant l'objet d'un traitement même si la demande d'accès est formulée à des fins étrangères à la protection des données.

Le 28 mars 2023, le Comité Européen de la Protection des Données (CEPD) a adopté la version 2.0 de ses lignes directrices 01/2022 sur le droit d'accès. Ouverte à consultation publique en 2022, la guidance a été modifiée pour répondre à certaines interrogations. L'occasion de revenir sur quelques questions liées au droit d'accès.

A. Les 3 composantes du droit d'accès

Le droit d'accès se compose de trois éléments qu'il convient de communiquer à la personne concernée :

  1. La confirmation que des données personnelles sont traitées ou non par le responsable de traitement.
  2. L'accès aux données personnelles de la personne concernée (c'est-à-dire une copie des données à caractère personnel faisant l'objet d'un traitement).
  3. Les informations supplémentaires listées à l'article 15 du RGPD (finalités du traitement, destinataires, etc.).

Le droit d'accès doit être mis en balance avec les droits et libertés d'autrui (donc ne pas communiquer les données si la communication peut nuire à autrui par exemple), et n'est pas dû en cas de demande excessive ou manifestement infondée.

B. Modalités de la demande d'accès

Objet : les données relatives à la personne du demandeur ou, en cas de représentation, celles du mandant.

Forme : le RGPD n'impose aucun formalisme et la base légale de la demande ne doit pas être explicitement mentionnée.

Objectif poursuivi : le demandeur ne doit pas justifier l'objectif de sa démarche.

C. Modalités de réponse

Contenu : confirmation que des données relatives au demandeur sont traitées ou non et, le cas échéant, la copie des données et les informations supplémentaires listées à l'article 15 du RGPD. Sauf précision dans la demande, il faut en principe communiquer toutes les données, y compris celles détenues par un ou des sous-traitants.

Faut-il fournir une copie des documents contenant les données ou seulement les données qu'ils contiennent ?

La CJUE a clarifié la notion de « copie » dans l'affaire C-487/21 Österreichische Datenschutzbehörde en indiquant que le droit d'accès implique une reproduction fidèle et intelligible de l'ensemble des données. Ce droit suppose que la personne concernée peut obtenir la fourniture d'un extrait de document, voire de documents entiers, ou encore de bases de données contenant, entre autres, lesdites données, si cela est indispensable pour permettre à la personne concernée l'exercice effectif de ses droits. La Cour n'exclut donc pas que, dans certaines circonstances, une copie des données et non pas du document in extenso puisse suffire.

Forme : sur un support durable, généralement dans une forme électronique couramment utilisée et de manière concise, transparente, intelligible. La technique de l'approche par « couches » peut être utilisée si cela facilite la compréhension des nombreuses données à communiquer, mais il faut pouvoir justifier de la pertinence d'un tel choix.

Délai : dans les meilleurs délais et au plus tard dans le mois de la demande, sauf exceptions. La réponse doit refléter la situation au jour de la demande d'accès.

Footnote

1. Addenda : la Commission Nationale pour la Protection des Données (CNPD) a mis à jour son guide et publié une fiche pratique à ce sujet après que l'épreuve du présent article ait été finalisée. Nous vous invitons à consulter le site internet de la CNPD pour plus information (www.cnpd.lu).

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More