Tout ce que vous devez savoir sur le droit d'accès

Author info

Le 28 janvier 2022, le Comité européen de protection des données ("EDPB") a publié un projet de lignes directrices sur le droit d'accès (article 15 du RGPD), qui est considéré comme l'un des droits fondamentaux de la personne concernée en vertu du RGPD. Pour la plupart des entreprises, se conformer au droit d'accès peut être un véritable défi, surtout si elles traitent de grandes quantités de données personnelles (pensez par exemple aux sociétés de marketing qui utilisent des technologies de profilage amélioré). Pour cette raison, l'EDPB a décidé de clarifier certains aspects du droit d'accès.

Ce billet de blog résumera les principaux points des lignes directrices et mettra en évidence certains points de discussion qui demeurent.

Qu'est-ce que le droit d'accès ?

D'une manière générale, le droit d'accès donne à la personne concernée la possibilité de savoir si des données la concernant sont traitées ou non, d'avoir accès à ces données personnelles et d'accéder aux informations sur le traitement lui-même (finalité, durée, droits des personnes concernées et mesures appropriées pour les transferts vers des pays tiers).

L'objectif du droit d'accès est double :

  1. D'une part, elle donne à la personne concernée le droit de demander au responsable du traitement des données si des données à caractère personnel la concernant sont traitées.
  2. D'autre part, elle offre à la personne concernée la possibilité d'accéder à ses données personnelles et de les vérifier (en lui fournissant une copie).

Quel est l'objectif du droit d'accès ?

L'objectif du droit d'accès est de fournir aux personnes des informations suffisantes, transparentes et facilement accessibles sur le traitement de leurs données personnelles de manière à ce qu'elles puissent prendre connaissance et vérifier la licéité du traitement et l'exactitude des données personnelles. En outre, il facilitera également l'exercice d'autres droits prévus par le RGPD (tels que le droit à l'effacement ou le droit à la rectification).

Quelle est l'étendue du droit d'accès ?

1.     Droit de recevoir la confirmation que des données à caractère personnel sont ou ne sont pas traitées.

Il est important de noter qu'il est possible que le responsable du traitement ne traite en fait aucune information concernant la personne concernée qui demande l'accès. Dans ce cas, le responsable du traitement peut simplement confirmer qu'il ne traite aucune donnée personnelle relative à la personne concernée.

2.     Droit d'accès aux données personnelles traitées

C'est là le cœur du droit d'accès. Le responsable du traitement devra fournir l'accès aux données personnelles réelles elles-mêmes, un résumé général des données ou une simple référence aux catégories qui sont traitées n’étant pas suffisant, selon l'EDPB.

En principe, une personne concernée a le droit d'accéder à toutes les données traitées la concernant, ou à une partie de ces données (si elle l'a spécifié, ou si cela est restreint par l'une des limitations de l'article 15 du RGPD).

3.     Droit d'accès aux informations concernant le traitement et concernant les droits de la personne concernée

Le responsable du traitement doit fournir les informations visées à l'article 15, paragraphes 1 et 2, du RGPD, qui seront généralement couvertes dans la déclaration de confidentialité ou le registre des activités de traitement du responsable du traitement.

En ce qui concerne les modalités d'accès à l'information, l’EDPB précise qu'un responsable du traitement doit fournir une première copie gratuite des données à caractère personnel traitées, même si le coût de reproduction est élevé. Cette copie doit être complète (elle doit contenir toutes les informations demandées) et durable (la personne concernée doit pouvoir y revenir ultérieurement). Pour toute copie supplémentaire, le responsable du traitement peut demander une rémunération raisonnable.

Toutefois, avant d'envisager de facturer de tels frais, il est conseillé d'examiner la demande et d'évaluer s'il s'agit ou non d'une "nouvelle" demande. Ce n'est que lorsque la demande n'est pas "nouvelle" et que la personne concernée demande à nouveau la même copie qu'il est permis de facturer des frais. En tout état de cause, la demande doit être considérée comme "nouvelle" lorsque la personne concernée demande des informations sur des données qui ont été traitées à un moment différent ou qui concernent un ensemble de données différent de celui initialement demandé. Si les informations concernent le même ensemble de données à caractère personnel que la demande initiale, on pourrait considérer qu'il s'agit d'une demande de copie supplémentaire (et l'on devrait alors être autorisé à facturer des frais raisonnable).

Le droit à une information complète et comment éviter une surcharge d'informations ?

En principe, le responsable du traitement doit fournir les informations sur le traitement de manière complète, correcte et à jour. Cette obligation pourrait être assez lourde pour les responsables du traitement qui traitent de grandes quantités de données à caractère personnel concernant les personnes concernées (d'autant plus si l'on tient compte de la forte augmentation des demandes d'accès ces dernières années). L'EDPB reconnaît cette charge potentielle en déclarant : "Le responsable du traitement est alors confronté au problème de savoir comment donner une réponse complète tout en évitant simultanément la création d'un trop-plein d'informations pour la personne concernée, informations qui ne l'intéressent pas et qu'elle ne peut pas traiter efficacement". La solution proposée par l'EDPB consiste à fournir un "outil de libre-service" dans les contextes en ligne.

Si cela n'est pas possible, une autre possibilité est de demander à la personne concernée de préciser les informations ou le traitement sur lesquels porte la demande avant de fournir toutes les informations. Toutefois, si la personne concernée demande quand même les informations en termes généraux, l'EDPB indique que le responsable du traitement doit fournir toutes les informations relatives au traitement des données personnelles de cette personne.

Comment les responsables du traitement peuvent-ils déterminer l'identité de la personne concernée qui fait la demande d'accès ?

Il s'agit d'une question à laquelle le RGPD ne répond pas. L'EDPB précise qu'"en règle générale, le responsable du traitement ne peut pas demander plus de données à caractère personnel que ce qui est nécessaire pour permettre cette identification, et l'utilisation de ces informations doit être strictement limitée à la satisfaction de la demande de la personne concernée". 

L'article 12, paragraphe 6, du RGPD donne aux responsables du traitement la possibilité (lorsqu'ils ont des doutes raisonnables concernant l'identité de la personne physique qui fait la demande) de demander à la personne concernée de fournir des informations supplémentaires pour confirmer son identité.

L'EDPB fournit des conseils importants sur la demande d'une copie d'un document d'identité dans le cadre du processus d'authentification. Selon l'EDPB, cela peut créer un risque pour la sécurité des données personnelles et peut conduire à un traitement non autorisé ou illégal. Par conséquent, elle ne peut être mise en œuvre que si elle est strictement nécessaire, appropriée et conforme à la législation nationale. En tout état de cause, lorsqu'une copie d'une carte d'identité est utilisée pour confirmer l'identité de la personne concernée, il devrait être possible pour les personnes concernées de noircir certaines informations qui ne sont pas nécessaires à l'identification. L'EDPB indique qu'en principe, la date de délivrance ou d'expiration, l'autorité de délivrance et le nom complet de la personne devraient être suffisants. L'EDPB suggère même que "si la personne concernée ne sait pas comment ou n'est pas en mesure de noircir ces informations, il est de bonne pratique que le responsable du traitement les noircisse à la réception du document, si cela lui est possible, compte tenu des moyens dont il dispose dans les circonstances données." Après avoir confirmé l'identité de la personne concernée en vérifiant la copie de la carte d'identité, le responsable du traitement doit immédiatement effacer la copie car son stockage pourrait constituer une violation des principes de limitation de la finalité et de limitation du stockage (art. 5.1(b) et (e) RGPD). L'EDPB recommande, à titre de bonne pratique, que le responsable du traitement, après avoir vérifié la carte d'identité, inscrive une note, par exemple "la carte d'identité a été vérifiée", afin d'éviter de copier ou de stocker inutilement des copies de cartes d'identité. A cet égard, il convient de faire également référence à l'article 11 du RGPD, selon lequel il n'est pas nécessaire de conserver des données à caractère personnel dans le seul but de démontrer la conformité avec le RGPD.

Existe-t-il des limites et des restrictions au droit d'accès ?

L’EDPB évoque un certain nombre de cas dans lesquels le droit d'accès peut être restreint, mais il leur donne une portée plutôt limitée. Il convient de souligner que l'EDPB indique clairement que "le droit d'accès ne peut être limité ou restreint dans le cadre d'un contrat conclu avec la personne concernée".

Un premier cas où le droit d'accès peut être restreint est celui où la fourniture d'une copie porterait atteinte aux "droits et libertés d'autrui". Le Considérant 63 du RGPD donne quelques exemples de "droits et libertés d'autrui" tels que :

  • les secrets commerciaux,
  • la propriété intellectuelle et
  • le droit d'auteur protégeant le logiciel.

L'EDPB précise que "ceux-ci doivent être considérés comme des exemples, car en principe, tout droit ou liberté fondé sur le droit de l'Union ou des États membres peut être considéré comme invoquant la limitation de l'art. 15(4) DU RGPD". Les autres exemples qui sont mentionnés dans les lignes directrices sont :

  • le droit à la protection des données à caractère personnel (article 8 de la Charte européenne des droits fondamentaux),
  • le droit à la confidentialité de la correspondance (important dans le contexte de l'emploi). Dans ce cas, une évaluation de la proportionnalité doit être effectuée par les responsables du traitement. Si le responsable du traitement arrive à la conclusion que la demande a des effets négatifs sur les droits et libertés d'un autre participant, l'intérêt des participants doit être mis en balance en tenant compte des circonstances spécifiques de l'affaire et notamment de la probabilité et de la gravité des risques présents dans la communication des données.

Deuxièmement, un responsable du traitement peut passer outre une demande d'accès qu'il juge infondée ou excessive. Le terme "excessif" est lié à la quantité de demandes de droit d'accès formulées par la personne concernée. L'EDPB défend l'idée que si une demande exige "beaucoup de temps et d'efforts" pour être satisfaite, cela ne la rend pas en soi excessive. L'EDPB fournit toutefois quelques exemples de ce qui peut être excessif. Par exemple :

  • lorsqu'une personne concernée fait une demande, mais offre en même temps de la retirer en échange d'un autre type d'avantage, ou
  • lorsque la personne concernée a explicitement indiqué, dans la demande elle-même ou dans d'autres communications, qu'elle avait l'intention de provoquer des perturbations.

Les lignes directrices de l’EDPB adoptent une position ferme et indiquent qu'au-delà des limitations spécifiques mentionnées, il n'existe aucune limitation de proportionnalité quant à la recherche visant à répondre à la demande d'accès. Par conséquent, le responsable du traitement devra rechercher, dans tous les systèmes informatiques et d'archivage non informatiques, les informations sur le traitement des données à caractère personnel de la personne concernée qui fait la demande. Cette position pourrait être considérée comme assez controversée, car le concept de proportionnalité est un principe établi du droit de l'UE (voir l'article 5, paragraphe 4, du TFUE).

Certaines questions restent ouvertes

Les lignes directrices de l'EDPB sont les bienvenues, mais certaines questions restent ouvertes. Par exemple, une question qui reste sans réponse est celle de savoir ce qu'il faut faire lorsqu'un employé veut obtenir une copie de tous les courriels qui mentionnent son nom ? Un tribunal fédéral allemand du travail a jugé précédemment que ces types de demandes ne sont pas suffisamment précises.

Il sera intéressant de voir si la Cour de justice suivra les orientations fournies par l'EDPB dans certaines procédures préliminaires actuellement en cours. Il s'agit notamment de :

  • Affaire C-579/21 Pankki S : sur la question de savoir si une personne concernée doit obtenir l’accès aux données de journalisation de l’utilisateur collectées par le responsable du traitement ;
  • Affaire C-487/21, Österreichische Datenschutzbehörde et CRIF : sur la question de savoir si une copie doit être interprétée comme signifiant une photocopie, un fac-similé ou une copie électronique de données, ou si elle couvre également un "Abschrift", un "double" (duplicata) ou une "transcription" ? De même, la copie signifie-t-elle un droit général d'obtenir une copie de documents entiers dans lesquels les données à caractère personnel des personnes concernées sont traitées, ou de recevoir une copie d'un extrait de base de données ? Ou s'agit-il d'une reproduction exacte des données à caractère personnel ?

La période de consultation se terminera le 11 mars 2022. Il reste à voir si des changements seront apportés à la version finale des lignes directrices. Vous souhaitez rester au courant de l'actualité sur ce sujet ? Suivez-nous sur LinkedIn !

Vous avez des questions et vous souhaitez un entretien de présentation ? Réservez un appel gratuit de 15 minutes avec Bernd à l'adresse suivante bernd.lawyer.brussels (réservé aux organisations).