Privacy Talk

Version pdf Archives Inscrivez-vous
Vos activités • Février 2022

Demande d’accès - une mise à jour

Ce que vous devez savoir.

Le Comité Européen de la Protection des Données a récemment publié un projet de lignes directrices (en anglais) sur le droit d'accès aux données à caractère personnel (article 15 du RGPD). Le droit d'accès aux données à caractère personnel est un droit crucial dans le cadre du RGPD. En effet, il constitue une "porte d'entrée" pour l'exercice des autres droits que le RGPD accorde aux personnes concernées. Les lignes directrices contiennent des recommandations sur la manière de mettre en œuvre une demande d'accès en pratique. Il est donc temps de mettre à jour notre précédent Privacy Talk concernant le droit d'accès aux données à caractère personnel. Pour rafraîchir vos connaissances, nous résumons brièvement ci-dessous l'essence du droit d’accès.

S’agissant de son contenu, le droit d’accès aux données à caractère personnel comporte trois aspects. Les personnes concernées ont le droit (i) de demander si des données à caractère personnel les concernant sont traitées ou non, (ii) d'accéder aux données à caractère personnel les concernant - une description générale ou une référence aux catégories de données à caractère personnel n'est pas suffisante, et (iii) d'obtenir des informations supplémentaires sur le traitement de leurs données à caractère personnel (telles que les finalités du traitement, les destinataires impliqués, les durées de conservation, etc.), adaptées à la personne concernée qui fait la demande d’accès.

L'article 15.3 du RGPD précise encore les modalités que doit respecter une réponse à une demande d'accès. Ce faisant, il complète l'article 12 du RGPD. Ainsi, la personne concernée a toujours le droit de recevoir gratuitement une première copie de ses données à caractère personnel. Si la personne concernée demande par la suite des copies supplémentaires, c'est-à-dire concernant les mêmes données à caractère personnel et la même période de traitement, les entreprises peuvent facturer des frais raisonnables basés sur les coûts administratifs spécifiquement associés à la demande. Lorsque la personne concernée présente la demande d'accès par voie électronique, et sauf demande contraire de sa part, les informations devraient en principe être fournies sous une forme électronique d’usage courant, c'est-à-dire dans un format qui ne nécessite pas l'acquisition d'un logiciel spécifique par la personne concernée.

En principe, une demande d’accès ne peut être refusée. Toutefois, certaines exceptions limitées sont prévues. Ainsi, l'article 15.4 du RGPD prévoit que le droit d'obtenir une copie (deuxième élément du droit d’accès) ne porte pas atteinte aux droits et libertés d'autrui, y compris ceux de l'entreprise concernée (par exemple dans le domaine des secrets d'affaires, des droits de propriété intellectuelle, etc.) Dans ce cas, la personne concernée ne peut recevoir qu'une copie dans laquelle ces informations sont rendues illisibles. Les entreprises peuvent également refuser une demande d'accès en vertu de l'article 12.5 du RGPD, si la demande est manifestement infondée ou excessive, par exemple en cas de demandes répétées (en tenant compte de la fréquence de modification des données à caractère personnel et de la charge d'une telle demande pour l'entreprise).

Ce que vous devez faire.

En principe, vous devez répondre à une demande d'accès, quelle que soit la manière dont la demande vous est adressée. Par conséquent, la personne concernée ne peut être obligée d'utiliser les canaux de communication spécifiquement fournis par votre entreprise à cette fin. Une demande peut être adressée à tout point de contact officiel de votre entreprise, comme l'adresse électronique d'un chargé de dossiers. Le délai de réponse de 1 mois plus 2 commence alors à courir, en principe, selon les dispositions du Règlement 1182/71 du Conseil du 3 juin 1971. En revanche, si une demande d'accès est envoyée à une adresse totalement aléatoire ou manifestement incorrecte, vous n'êtes pas tenu d'y répondre, comme par exemple l'adresse électronique du personnel de nettoyage. 

Les entreprises doivent vérifier l'identité de la personne qui fait la demande et, en cas de doute, demander des informations supplémentaires. Ces informations supplémentaires ne peuvent pas dépasser ce qui est nécessaire pour vérifier l'identité de la personne concernée, compte tenu de la nature des données à caractère personnel traitées par votre entreprise, des dommages qui pourraient résulter d'une divulgation non autorisée des données à caractère personnel, etc. Ne demandez pas de copie de la carte d'identité par défaut. Ce serait disproportionné. En effet, une copie de la carte d'identité peut ne pas être nécessaire pour vérifier l'identité d'une personne concernée qui n'a jamais eu à présenter sa carte d'identité en premier lieu. Dans ce cas, votre entreprise peut, par exemple, poser des questions de sécurité (non intrusives). Si la personne concernée ne donne pas suite à la demande d'informations supplémentaires, vous pouvez refuser la demande d’accès.

Sauf indication contraire explicite, une demande d'accès doit être réputée couvrir toutes les données à caractère personnel relatives à la personne concernée. Si vous traitez de grandes quantités de données à caractère personnel et que vous avez des doutes sur le fait que la demande vise réellement l'ensemble des traitements concernant la personne concernée, vous pouvez demander à la personne concernée de préciser sa demande. Dans ce cas, vous devez en même temps fournir à la personne concernée des informations pertinentes sur tous les traitements qui la concernent, par exemple sur les différentes activités commerciales, les différentes bases de données, etc. Si la personne concernée confirme qu'elle souhaite avoir accès à toutes ses données à caractère personnel, vous devez lui accorder un accès complet.

Pour autant que vous ayez demandé les informations supplémentaires concernant l'identité et/ou la portée de la demande sans retard déraisonnable après les avoir reçues, le délai de réponse de 1 mois plus 2 ne commence à courir qu'à partir du moment où vous avez reçu les informations nécessaires de la personne concernée.

Le droit à une copie des données à caractère personnel n'implique pas automatiquement que vous devez fournir à la personne concernée une copie des documents originaux contenant ses données à caractère personnel. Le droit à une copie ne s'applique qu'aux données à caractère personnel qui sont traitées. Il peut donc suffire de donner un aperçu des données à caractère personnel. Il est important que l'accès soit fourni de manière à permettre à la personne concernée de conserver et de retourner à ses données à caractère personnel. En d'autres termes, une information purement verbale ou un accès sur place ne suffisent pas, sauf si la personne concernée en fait explicitement la demande.

Les informations complémentaires qui relèvent du droit d'accès aux données à caractère personnel peuvent être fondées sur les informations figurant dans le registre des activités de traitement et la déclaration de confidentialité de votre entreprise. Il peut être nécessaire de mettre à jour ou d'adapter ces informations en fonction de la personne concernée. Par exemple, il convient de mentionner les destinataires (par leur nom) qui ont effectivement reçu les données de la personne concernée. En ce qui concerne les durées de conservation, il peut être utile d'indiquer le moment où les données seront effectivement supprimées ou de préciser quand la durée de conservation commence effectivement. Notons que l'exception de l'article 15.4 du RGPD ne s'applique pas au droit à des informations supplémentaires. Les personnes concernées ont donc toujours droit à des informations supplémentaires.

Si la demande d’accès concerne une grande quantité de données à caractère personnel, il peut également être conseillé de répondre à la demande d'accès en utilisant une présentation des informations à plusieurs niveaux, plutôt que d'envoyer toutes les données et informations à la personne concernée en un bloc. Dès lors, vous devez tenir compte des informations les plus pertinentes pour la personne concernée. Par exemple, dans le contexte de l'analyse des données en ligne, les informations sur le segment dans lequel la personne concernée a été placée devraient être incluses dans un premier niveau d’informations, tandis qu'un deuxième niveau pourrait inclure des données à caractère personnel concernant, par exemple, son comportement sur un site web.

Enfin, assurez-vous qu'aucune donnée à caractère personnel de la personne concernée n'est supprimée pendant le traitement de la demande d'accès. La réponse à la demande d'accès doit refléter le traitement au moment où la demande a été faite. Cela inclut les données qui peuvent avoir été traitées de manière incorrecte ou illégale.

Pour plus de détails ou toutes questions, nous vous invitons à consulter notre site web ou à contacter notre équipe :

Consultez notre "GDPR Tookit"

GDPR toolkit

Recevez notre "Privacy Talk" directement par e-mail

Inscrivez-vous

Découvrez les éditions précédentes dans les Archives

Archives
In the Picture - Avril 2024

L’arbre qui cache la forêt: le Règlement contre la déforestation
Books

Share Purchase Agreements - Belgian Law and Practice
Articles

Standpunt revisited: Kunnen notulen worden opgesteld in een andere taal dan één van de nationale talen?
More Newsletter

Connectez-vous à votre compte

Mot de passe oublié? Pas encore membre?

Mot de passe oublié?

Demandez un nouveau mot de passe en indiquant votre adresse électronique.

Connectez-vous à votre compte

Réinitialisation du mot de passe

Entrez votre mot de passe nouveau.

Enregistrement du mot de passe

Entrez un mot de passe pour protéger vos pages personnelles.

Activez votre compte

Activez votre compte en fournissant votre adresse électronique.

Merci

Vous recevrez un e-mail avec un lien pour entrer un nouveau mot de passe.

Close

Merci

Votre mot de passe nouveau a été enregistré avec succès.

Close
Close

Cookies

This website uses cookies to improve your browsing experience and to better tailor the website to your preferences. For more information about cookies and the list of cookies used on this website, see our Cookie Statement.

Below you can indicate your cookie preferences:

ON

Essential cookies are cookies that are necessary for the correct functioning of the website (e.g., to avoid overload on the website, keeping it functional and accessible). These cookies can be placed without your consent.

ON

Functional cookies are cookies that are necessary to improve your browsing experience or to provide a functionality explicitly requested by you (e.g. remembering your settings). These cookies can also be placed without your consent.

Analytical cookies are cookies that collect information about how you use the website to improve search engine hits and the functioning of the website (e.g. we see how visitors move around the website when they are using it to ensure that visitors find what they are looking for easily). These cookies are only placed if you have given your consent.

Advertising cookies are cookies that collect information about your surf and search behaviour in order to offer you personalised advertising in ad spaces on websites based on your personal interests. These cookies are only placed if you have given your consent.

Social media cookies are cookies that make it possible to share certain features from the website on social media networks (e.g. Facebook). Furthermore, these cookies collect information about your surf and search behaviour on the website in order to offer you personalised promotions and advertising about our products on these social media networks. These cookies are only placed if you have given your consent. It is possible that these social media networks also use the information they collect through these cookies for their own purposes. You can find more information about this in the privacy statements of the respective social media networks.

   

You can always change these preferences via your Cookie preferences.