Le droit d’accès

Publié le par Nournh75
plan de mise en conformité rgpd pour pme

Il veut tout savoir ou presque et il a le droit.

Le droit d’accès de la personne concernée.

Le RGPD (Règlement Général sur la Protection des données) est entré en vigueur depuis le 25 mai 2018 voilà bientôt trois ans et comme nous le disons souvent : ce règlement n’est pas une nouveauté. La plupart des obligations issues du RGPD sont applicables en droit français depuis 1978 avec la Loi Informatique et Libertés. Néanmoins, nous pouvons souligner de nouvelles obligations pour les entreprises et de nouveaux droits pour les utilisateurs. Parmi celles-ci, nous pouvons parler de la tenue d’un registre de traitement ou de l’obligation, dans certains cas, de désigner un DPO/DPD. Il est également important de souligner la fin du système déclaratif auprès de la CNIL au profit de l’accountability, autrement dit, la responsabilisation des acteurs.

Aujourd’hui, nous allons aborder le sujet du droit d’accès de la personne concernée. Par cela, le règlement entend : le droit de la personne à connaitre et à demander une copie de toutes les données qu’une entreprise collecte ou a collecté à son sujet.

Les demandes de droits d’accès risquent d’être contraignantes pour les entreprises qui n’y sont pas préparées et n’ayant pas mis en place les procédures nécessaires. A savoir, le délai légal pour répondre à une telle demande est d’un mois. Il existe deux cas de figure : les informations que vous détenez ont été collectées directement auprès de la personne ou par un autre biais (achat ou récupération d’un fichier par exemple). Dans tous les cas, le Responsable de Traitement est dans l’obligation d’y donner suite, et cela, sans exiger aucune compensation financière au demandeur.

Les informations, en réponse à la demande formulée, doivent être concises, compréhensibles et aisément accessibles, en des termes clairs et simples, dans la langue du demandeur comme le dispose la loi. Les informations sont fournies par écrit ou par d’autres moyens. Lorsque c’est approprié, par voie électronique. Si la personne concernée en fait la demande, les informations peuvent être fournies oralement. Précisons qu’il est indispensable de vérifier l’identité de la personne qui fait la demande et qu’il est interdit de communiquer ce type d’informations à une autre personne que le demandeur dont l’identité devra être vérifiée.

La personne concernée a le droit d’obtenir du Responsable du Traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsqu’elles le sont, l’accès aux dites données à caractère personnel ainsi que les informations suivantes sont à lui communiquer :

  • Les finalités du traitement ;
  • Les catégories de données à caractère personnel concernées ;
  • Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires établis dans des pays tiers ou les organisations internationales. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, concernant ce transfert ;
  • Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • L’existence du droit de demander au Responsable du Traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

Comme dit en introduction, il n’est pas facile pour une entreprise qui n’a pas anticipé cette obligation d’y répondre facilement, voici quelques pistes sur les endroits où pourraient se trouver les données demandées :

  • Les bases clients (commandes, contrats, transactions, après-vente…) ;
  • Les campagnes marketing (consentement, campagnes envoyées, clics, désinscription…) ;
  • Les archives.

A savoir :

Le Responsable du Traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le Responsable du Traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée.

Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

Lorsque la fourniture de l’ensemble des informations demandées est compliquée, le délai peut être rallongé de deux mois. Dans ce cas, le Responsable de Traitement devra en informer le demandeur dans un délai maximum d’un mois et justifier de son choix. Si le Responsable du Traitement ne donne pas suite à la demande formulée par la personne concernée, il en informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, il est indispensable de lui fournir toute information disponible quant à leur source et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.

Nos conseils :

Cet article a été rédigé par Nour Habita www.nouvelhorizonconseil.com
Besoin d’aide, contactez-nous, nos experts se feront un plaisir de répondre à vos demandes.