Droit d'accès

Droit d'accès aux données personnelles

Toute personne physique a le droit de consulter les données personnelles qui la concernent auprès d'un organisme, qu'il soit public ou privé.

Quelles sont les étapes à suivre pour répondre à une demande de droit d’accès ?
Et quels sont les délais à respecter

Depuis son entrée en vigueur en mai 2018, le RGPD est venu renforcer la loi Informatique et Libertés qui permet à toute personne d’accéder à ses données personnelles. En effet, toute personne physique a le droit d’accéder aux données personnelles qui la concernent, afin de pouvoir exercer son droit de rectification ainsi que son droit d’effacement. Vous pouvez exercez votre droit d’accès auprès d’une société dont vous êtes client, auprès de votre employeur, ou auprès de votre médecin pour obtenir des données de votre dossier médical.

📌 Le droit d’accès : c’est quoi ?

Est considéré comme droit d’accès la possibilité de savoir si vos données sont traitées et d’en obtenir la communication dans un format compréhensible. Le droit d’accès vous permet donc de savoir quelles sont les données personnelles que les administrations et les entreprises privées détiennent sur vous. Vous avez donc le droit d’accéder à toutes les données personnelles qui vous concernent, peu importe l’organisme qui les détiennent.

Vous pouvez exercer votre droit d’accès de manière directe ou indirecte :

 

Le droit d’accès direct 

Dans la majeure partie des cas, vous pouvez avoir accès à vos informations directement auprès des organismes qui les détiennent ;

Sur votre demande, le responsable du traitement doit vous communiquer une copie de toutes les informations qu’il détient sur vous en identifiant, bien entendu, leurs sources. Il faut noter que l’article 12.5 a prévu un principe de gratuité dans le cadre d’exercice du droit d’accès.

 

Le droit d’accès indirect 

Dans certains cas, vous pouvez accéder aux données personnelles qui vous concernent, mais de façon indirecte : pour des fichiers publics, il faut que vous vous adressiez à la CNIL, c’est ce que l’on appelle le droit d’accès indirect ;

Dans d’autres cas, demander à la CNIL d’intervenir n’est plus nécessaire depuis le 3 août 2018. Autrement dit, vous avez un droit d’accès et de rectification aux fichiers TAJ ((Traitement des antécédents judiciaires), SIS (Système d’information Schengen) et FPR (Fichier des personnes recherchées).

🚀 Les quatre étapes à suivre pour répondre à une demande de droit d’accès

Comme déjà mentionné, toute personne physique a le droit, non seulement, de demander un accès à l’information sur le traitement des données personnelles la concernant, mais aussi, d’obtenir une copie des ces données.

Vérifier l’identité
de la personne qui exerce la demande

Pour accepter de répondre à une demande d’accès, vous devez, d’abord, être sûr de l’identité de la personne qui exerce la demande. Vous devez donc procéder à la vérification de son identité, et de lui demander donc des pièces faisant l’objet de justificatifs dont on va parler un peu plus loin.

Demander sur
quelle opération de traitement porte la demande

En ce qui concerne ce point, il faut souligner que certaines demandes peuvent concerner l’ensemble des données, qui sont traitées par l’organisme, auprès duquel la personne concernée demande un droit d’accès. Dans le cas où la demande concerne une grande quantité de données, l’article 63 du RGPD, exige à ce que la personne concernée précise sur quelles opérations de traitement porte sa demande. Cependant, vous êtes dans l’obligation de revenir vers elle dans un délai d’un mois.

S’assurer
que la demande ne concerne pas un tiers

Il va sans dire qu’en appliquant le droit d’accès, vous ne devez surtout pas négliger le droit des tiers. Autrement dit, il n’est possible de demander des informations concernant un collègue au travail, ou des données relatives à son conjoint.

Pareil pour le droit d’accès qui peut porter atteinte au secret des affaires ou à la propriété intellectuelle : un droit d’auteur qui protège un logiciel à titre d’exemple.

La personne concernée pourra, quand même, avoir les informations qu’elle cherche, mais cela va, cependant, conduire à masquer l’identité des tiers, ou du moins, des informations qui permettent de les identifier.

Répondre à la demande et respecter les délais

Concernant ce point, on distingue deux cas différents : la personne concernée pourrait demander soit des informations la concernant, soit une copie de ces données là.

Les articles 13 et 14 du RGPD, ont prévus les informations que vous, en tant que responsable de traitement, devez communiquer à la personne concernée. C’est des informations qui figurent sur tout support de collecte que vous utilisez.

En revanche, que les informations soient enregistrées sur un document papier ou électronique, un enregistrement vidéo ou sonore, vous êtes dans l’obligation de les communiquer si la personne concernée vous demande une copie de celles-ci. Autrement dit, peu importe le support que vous utilisez pour stocker les données, cela ne les rendra, en aucun cas, non communicables. De plus, il ne faut pas oublier de prendre en considération le droit des tiers, déjà cité.

💼 Puis-je refuser
de répondre à un droit d’accès ?

Il est vrai que, dés lors que vous traitez des données à caractère personnel, vous êtes dans l’obligation de les communiquer, sur demande de la personne concernée. En revanche, dans certains cas, vous pouvez ne pas accepter de répondre à une demande d’accès, à conditions que votre décision doit être justifiée.

En effet, la CNIL a identifié deux cas, dans lesquels vous pouvez ne pas répondre :

  • Si la demande d’accès que vous avez eu est excessive par son caractère répétitif. Exemple: des demandes aussi nombreuses que variées, et rapprochées dans le temps d’une copie déjà fournie ;
  • Si les informations demandées ont été supprimées. Le responsable de traitement ne pourra pas les consulter, l’accès sera donc impossible.

Exemple : les enregistrements de vidéosurveillance doivent être supprimées après un délai de 30 jours maximum.

 

Attention : Une demande d’accès d’informations dont la personne concernée en dispose déjà, n’est, en aucun cas, considéré comme étant une demande excessive. Il faut donc prendre en considération le délai entre chaque demandes.

De plus, dans le cas où vous ne donnez pas suite à une demande de droit d’accès, vous devez justifier votre décision de telle sorte qu’elle doit être motivée. Par ailleurs, vous devez informer la personne concernée de la manière et du délai à respecter, au cas où elle aura envie de faire un recours pour contester votre décision.

Cependant, du côté de la personne concernée, vous devez savoir qu’exercer son droit d’accès n’est pas conditionné. Autrement dit, à la différence de votre décision qui doit être motivée, celle de la personne concernée ne doit en aucun cas être justifiée. 

La seule et unique condition à devoir prendre en compte, c’est le respect du droit des tiers.

droit d'accès rgpd

📕 Quels sont les justificatifs à demander en cas de demande de droit d’accès ?

L’une des quatre étapes à suivre pour répondre à une demande de droit d’accès, il y a la vérification de l’identité du demandeur. Cependant, il y a un principe au RGPD qui stipule : « Pas de pièce d’identité, sauf en cas de doute raisonnable. »

En tant que responsable de traitement, pour donner suite aux demandes d’accès que vous recevez, il faut que vous vous assurez de l’identité des demandeurs, tout en respectant, bien entendu, le droit des tiers. En général, il s’agit d’une information qui pourrait être justifiée par tous les moyens. Il n’est pas nécessaire pour le demandeur de joindre une photocopie de sa carte d’identité, dés lors que les informations fournies sont suffisantes pour l’identifier.

Par ailleurs, du moment où la personne concernée s’est authentifiée dans un espace, dans le cadre d’un environnement numérique, cela peut être largement suffisant pour exercer son droit d’accès (exemple : FranceConnect).

En revanche, le principe du RGPD a prévu un « cas de doute raisonnable » dans le lequel, vous pouvez demander au demandeur d’accès de joindre un document supplémentaire qui permet de prouver son identité. Ce document peut donc être une pièce d’identité.

De ce qui précède, en tant que responsable de traitement, vous devez définir la nature de la demande ainsi que le contexte dans lequel celle-ci a été faite, sans oublier la sensibilité des informations demandées. Comme ça, vous allez être en mesure de définir le niveau de vérifications à effectuer.

⚠️ Quels sont les délais à respecter pour répondre à une demande de droit d’accès ?

Pour répondre à la question du respect du droit d’accès, la CNIL a prévu un principe qui comporte trois points pour trois situations différentes :

  • 1 mois maximum pour une demande simple ;
  • 3 mois maximum pour une demande complexe (par exemple si une personne demande une copie de l’intégralité de ses données) ;
  • 8 jours maximum pour des données de santé.

Peu importe la situation, vous êtes tenus d’informer le demandeur des suites sous un mois maximum.

 

droit d'accès rgpd

🚀 Le droit de rectification et le droit à l’effacement : c’est quoi ?

Comme son l’indique, le droit de rectification permet de modifier des informations qui concerne le demandeur d’accès, en vue de les corriger ou de les compléter en cas de besoin. Vous devez, en tant que responsable de traitement, informer les autres destinataires des données qu’il y a eu des rectifications qui ont été apportées, à moins que cela exigerait des efforts excessifs.

Exemples de situations dans lesquels la personne concernée a le droit de demander de rectifier ses informations :

  • La personne concernée pourrait exercer son droit de rectification auprès de son ancien employeur, si jamais il y avait eu des données qui ne devraient plus figurer dans ses fichiers ;
  • Un réseau social bloque un compte car il pense que l’utilisateur n’a pas l’âge requis ;

Généralement, on peut demander son droit de rectification dés lors qu’une information de du dossier est erronée. Autrement dit, une mauvaise donnée dans un formulaire peut conduire une société à effectuer un calcul qui peut vous porter préjudice.

Le droit à l’effacement, quant à lui, permet à toute personne physique de demander à un organisme qui détient des données personnelles la concernant de les supprimer. Dans ce cas, une donnée personnelle peut être une photo gênante, ou, du moins, une information que la personne concernée considérera comme étant inutile. Cette dernière a le droit de demander son effacement si l’une ou plusieurs des ces situations se présentent :

  • ses données sont utilisées à des fins de prospection ;
  • les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
  • le demandeur a retiré son consentement à l’utilisation de ses données ;
  • ses données font l’objet d’un traitement illicite ;
  • les données ont été collectées lorsque le demandeur était mineur ;
  • les données doivent être effacées pour respecter une obligation légale ;
  • la personne concernée s’est opposée au traitement de ses données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande (la décision doit être motivée, comme déjà cité).

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Lire la vidéo sur Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.