Le droit d’accès

plan de mise en conformité rgpd pour pme

« Il veut tout savoir ou presque ! »

« Oui, il en a le droit ! »

Le droit d’accès de la personne concernée.

Voilà bientôt sept ans que le RGPD (Règlement Général sur la Protection des données) est entré en vigueur et nous n’avons de cesse de le répéter : ce règlement n’est pas une nouveauté. La plupart des obligations issues du RGPD sont applicables en droit français depuis 1978 avec la Loi Informatique et Libertés. Néanmoins, nous pouvons souligner de nouvelles obligations pour les entreprises et de nouveaux droits pour les utilisateurs. Nous pouvons par exemple parler de la tenue d’un registre de traitement ou de l’obligation, dans certains cas, de désigner un DPO/DPD. Il est également important de souligner la fin du système déclaratif auprès de la CNIL au profit de l’accountability, autrement dit, la responsabilisation des acteurs.

Aujourd’hui, nous allons aborder le sujet du droit d’accès de la personne concernée. Par cela, le règlement entend : le droit de la personne de savoir si ses données personnelles sont traitées et le cas échéant, d’obtenir la communication d’une copie dans un format compréhensible. Il permet par la même de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

Les demandes de droits d’accès peuvent être contraignantes pour les entreprises qui n’y sont pas préparées ou qui n’ont pas mis en place les procédures adéquates. Pour rappel, le délai légal de réponse à une telle demande est d’un mois et dans tous les cas, le Responsable de Traitement est dans l’obligation d’y donner suite, sans exiger aucune compensation financière au demandeur, que les informations détenues aient été collectées directement auprès de la personne ou qu’elles aient été collectées par un autre biais (achat ou récupération d’un fichier par exemple).

Les informations fournies en réponse à la demande doivent être concises, compréhensibles, aisément accessibles et rédigées dans la langue du demandeur en des termes clairs et simples, que ce soit par écrit ou par d’autres moyens. Lorsque cela est approprié, la communication peut même se faire par voie électronique. A noter que si la personne concernée en fait la demande, les informations peuvent aussi être fournies oralement.

Attention ! Il est indispensable de vérifier l’identité du demandeur et strictement interdit de communiquer les informations à une autre personne que la personne concernée par la demande et dont l’identité aura été préalablement vérifiée.

La personne concernée a le droit d’obtenir du Responsable du Traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsqu’elles le sont, l’accès aux dites données à caractère personnel ainsi que les informations suivantes doivent lui être communiquées :

  • Les finalités du traitement ;
  • Les catégories de données à caractère personnel concernées ;
  • Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires établis dans des pays tiers ou les organisations internationales. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, concernant ce transfert ;
  • Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • L’existence du droit de demander au Responsable du Traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
  • Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, il est indispensable de lui fournir toute information disponible quant à leur source et, le cas échéant, une mention indiquant si elles sont issues de sources accessibles au public ou non.

Comme énoncé en introduction, il n’est pas facile pour une entreprise qui n’a pas anticipé cette obligation d’y répondre facilement. Voici quelques pistes sur les endroits où pourraient se trouver les données demandées :

  • Les bases clients (commandes, contrats, transactions, après-vente…) ;
  • Les campagnes marketing (consentement, campagnes envoyées, clics, désinscription…) ;
  • Les archives ;
  • Etc.

A savoir

A la demande de la personne concernée, le Responsable du Traitement fournit une copie de ses données à caractère personnel faisant l’objet d’un traitement. Il peut cependant exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée formule sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

Lorsque la fourniture de l’ensemble des informations demandées s’avère compliquée, le délai peut être rallongé de deux mois. Dans ce cas, le Responsable de Traitement en informe le demandeur dans un délai maximum d’un mois et justifie son choix. Si le Responsable du Traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction, de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

Nos conseils

    Cet article a été rédigé par Nour Habita www.nouvelhorizonconseil.com
    Besoin d’aide, contactez-nous, nos experts se feront un plaisir de répondre à vos demandes.