RGPD : QUELQUES ASPECTS PRATIQUES LIÉS AU DROIT D'ACCÈS1
Le droit d'accès, consacré à l'article 15 du Règlement Général sur la Protection des Données (RGPD), a pour objectif de fournir à la personne qui en fait la demande des informations transparentes, accessibles et claires afin de lui permettre de vérifier si des données à caractère personnel la concernant sont traitées, l'exactitude de ces données, la licéité des traitements effectués et faciliter l'exercice d'autres droits.
Cela dit, dans l'affaire C-307/22 FT (Copies du dossier médical), la Cour de Justice de l'Union Européenne (CJUE) a affirmé que l'article 15 du RGPD impose de fournir à la personne concernée une copie des données à caractère personnel faisant l'objet d'un traitement même si la demande d'accès est formulée à des fins étrangères à la protection des données.
Le 28 mars 2023, le Comité Européen de la Protection des Données (CEPD) a adopté la version 2.0 de ses lignes directrices 01/2022 sur le droit d'accès. Ouverte à consultation publique en 2022, la guidance a été modifiée pour répondre à certaines interrogations. L'occasion de revenir sur quelques questions liées au droit d'accès.
A. Les 3 composantes du droit d'accès
Le droit d'accès se compose de trois éléments qu'il convient de communiquer à la personne concernée :
- La confirmation que des données personnelles sont traitées ou non par le responsable de traitement.
- L'accès aux données personnelles de la personne concernée (c'est-à-dire une copie des données à caractère personnel faisant l'objet d'un traitement).
- Les informations supplémentaires listées à l'article 15 du RGPD (finalités du traitement, destinataires, etc.).
Le droit d'accès doit être mis en balance avec les droits et libertés d'autrui (donc ne pas communiquer les données si la communication peut nuire à autrui par exemple), et n'est pas dû en cas de demande excessive ou manifestement infondée.
B. Modalités de la demande d'accès
Objet : les données relatives à la personne du demandeur ou, en cas de représentation, celles du mandant.
Forme : le RGPD n'impose aucun formalisme et la base légale de la demande ne doit pas être explicitement mentionnée.
Objectif poursuivi : le demandeur ne doit pas justifier l'objectif de sa démarche.
C. Modalités de réponse
Contenu : confirmation que des données relatives au demandeur sont traitées ou non et, le cas échéant, la copie des données et les informations supplémentaires listées à l'article 15 du RGPD. Sauf précision dans la demande, il faut en principe communiquer toutes les données, y compris celles détenues par un ou des sous-traitants.
Faut-il fournir une copie des documents contenant les données ou seulement les données qu'ils contiennent ?
La CJUE a clarifié la notion de « copie » dans l'affaire C-487/21 Österreichische Datenschutzbehörde en indiquant que le droit d'accès implique une reproduction fidèle et intelligible de l'ensemble des données. Ce droit suppose que la personne concernée peut obtenir la fourniture d'un extrait de document, voire de documents entiers, ou encore de bases de données contenant, entre autres, lesdites données, si cela est indispensable pour permettre à la personne concernée l'exercice effectif de ses droits. La Cour n'exclut donc pas que, dans certaines circonstances, une copie des données et non pas du document in extenso puisse suffire.
Forme : sur un support durable, généralement dans une forme électronique couramment utilisée et de manière concise, transparente, intelligible. La technique de l'approche par « couches » peut être utilisée si cela facilite la compréhension des nombreuses données à communiquer, mais il faut pouvoir justifier de la pertinence d'un tel choix.
Délai : dans les meilleurs délais et au plus tard dans le mois de la demande, sauf exceptions. La réponse doit refléter la situation au jour de la demande d'accès.
Footnote
1. Addenda : la Commission Nationale pour la Protection des Données (CNPD) a mis à jour son guide et publié une fiche pratique à ce sujet après que l'épreuve du présent article ait été finalisée. Nous vous invitons à consulter le site internet de la CNPD pour plus information (www.cnpd.lu).
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.