Qu est-ce que le droit d acces ?
Le droit d acces, prevu par l article 15 du RGPD, permet a toute personne de savoir si un organisme traite des donnees la concernant et, dans l affirmative, d obtenir une copie de ces donnees. Ce droit constitue la pierre angulaire de la transparence imposee par le reglement europeen.
La personne peut exercer ce droit aupres de tout organisme, qu il s agisse d une entreprise privee, d une administration publique ou d une association. Aucune condition particuliere n est requise et la demande n a pas a etre motivee.
Au-dela de la simple copie des donnees, le responsable de traitement doit fournir un ensemble d informations complementaires : les finalites du traitement, les categories de donnees traitees, les destinataires, la duree de conservation prevue et les droits dont la personne dispose.
Comment identifier une demande d acces
Une demande d acces peut prendre n importe quelle forme : email, courrier postal, formulaire en ligne ou meme demande orale. La personne n est pas obligee de citer l article 15 du RGPD ni d utiliser un vocabulaire precis. Toute demande visant a obtenir ses donnees personnelles constitue une demande d acces.
Il est essentiel de former vos collaborateurs a reconnaitre ces demandes. Un client qui ecrit « je voudrais savoir quelles informations vous avez sur moi » exerce son droit d acces, meme s il ne le formule pas en ces termes.
La verification de l identite du demandeur
Avant de communiquer les donnees, le responsable de traitement doit s assurer de l identite du demandeur. Cette verification doit etre proportionnee : ne demandez pas plus de pieces justificatives que necessaire.
Pour un client identifie par son espace personnel en ligne, la demande faite depuis cet espace suffit generalement a verifier son identite. Pour une demande par courrier, une copie d une piece d identite peut etre demandee en cas de doute raisonnable.
Attention : la verification d identite ne doit jamais servir de pretexte pour retarder ou decourager l exercice du droit d acces. La CNIL sanctionne les organismes qui imposent des formalites excessives.
Les delais et modalites de reponse
Le responsable de traitement dispose d un mois pour repondre a compter de la reception de la demande. Ce delai peut etre prolonge de deux mois supplementaires si la demande est complexe ou si l organisme recoit un nombre eleve de demandes simultanees. Dans ce cas, la personne doit etre informee de cette prolongation dans le delai initial d un mois.
La reponse doit etre fournie par ecrit, de preference par voie electronique si la demande a ete faite par voie electronique. Les donnees doivent etre communiquees dans un format comprehensible et facilement accessible.
La premiere copie des donnees est gratuite. Des frais raisonnables peuvent etre demandes pour les copies supplementaires, mais cette possibilite doit rester exceptionnelle.
Les limites du droit d acces
Le droit d acces n est pas absolu. Le responsable de traitement peut refuser de donner suite a une demande manifestement infondee ou excessive, notamment en raison de son caractere repetitif. Dans ce cas, il doit justifier son refus et informer la personne de la possibilite de saisir la CNIL ou les tribunaux.
La communication des donnees ne doit pas porter atteinte aux droits et libertes d autrui. Par exemple, si les donnees du demandeur sont inextricablement liees a celles d un tiers, le responsable de traitement peut etre amene a masquer les informations relatives a ce tiers.
Certaines legislations specifiques prevalent egalement des restrictions au droit d acces, notamment en matiere de surete de l Etat, de defense nationale ou de prevention des infractions penales.
Les erreurs a eviter
Ne pas repondre dans les delais constitue l erreur la plus frequente et la plus sanctionnee par la CNIL. Mettez en place un systeme de suivi pour ne laisser aucune demande sans reponse.
Fournir une reponse incomplete est egalement problematique. La reponse doit couvrir l ensemble des traitements effectues par l organisme, y compris les sous-traitants. Pensez a interroger tous les services concernes.
Exiger des justificatifs disproportionnes pour verifier l identite du demandeur revient a entraver l exercice du droit. Adaptez le niveau de verification au contexte et au risque.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
