Données personnelles : comment répondre à la demande d’une personne exerçant son droit d’accès ?

1.Les obligations pesant sur les professionnels

Déjà reconnu à l’article 39 de la Loi « Informatique et Libertés » du 6 janvier 1978, le droit d’accès à ses données personnelles figure à l’article 15 du Règlement, qui dispose que : « La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ».

Ainsi, avant toute chose, chaque professionnel mettant en œuvre un traitement de données personnelles devra au préalable informer les personnes qui en feront l’objet de l’existence de leurs droits par rapport à ce traitement de données et notamment d’un droit d’accès à celles-ci. Cette obligation d’information devra être accomplie dès la collecte des données et devra prévoir a minima un e-mail de contact pour que la personne puisse de manière effective adresser sa demande.

Ce droit d’accès répond bien aux exigences de transparence établies par le RGPD, et constitue en ce sens une véritable contrainte pour le responsable du traitement.

A cet égard, selon l’article 12.3 du RGPD, le responsable du traitement doit répondre à la demande d’accès dans les « meilleurs délais ». Cet article établit pour autant un délai maximum d’un mois (soit un délai deux fois plus court que celui prévu par la Loi Informatique et Libertés du 6 janvier 1978), qu’il est possible de prolonger de deux mois supplémentaires « compte tenu de la complexité et du nombre de demandes ». Les conditions de cette exception sont pour autant strictes : le responsable du traitement doit informer la personne présentant la demande de cette prolongation, de ses motifs et ce dans un délai d’un mois à compter de la réception de la demande.

Suite à une demande d’accès, le responsable du traitement, aux termes de l’article 12.1 du RGPD, doit adresser une réponse « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples».

En effet, la réponse doit se faire de façon privilégiée par écrit (caractère probatoire), bien que l’oralité ne soit pas exclue (article 12.1 du RGPD).

Le responsable de traitement devra donc désigner et former le service de l’entreprise spécialement dédié à la gestion de ces thèmes afin de permettre un dialogue simple entre l’entreprise et les personnes dont les données sont traitées.

2. Les moyens permettant de limiter ces obligations

La demande d’accès est exercée par la personne directement concernée par le traitement de données personnelles. L’article 12.6 du RGPD dispose que si le responsable du traitement a des doutes sur l’identité de la personne présentant cette demande, il est en droit d’exiger de sa part des informations supplémentaires afin de confirmer son identité. En apportant la preuve qu’il n’est pas en mesure de l’identifier, l’entreprise est fondée à refuser l’exercice du droit d’accès.

L’article 12.5 du RGPD établit un principe de gratuité quant à la réponse faisant suite à l’exercice du droit d’accès. Toutefois, lorsque la demande est infondée ou excessive, notamment compte-tenu de l’existence antérieure d’autres demandes, le responsable du traitement peut légitimement demander le remboursement des frais nécessaires.

Plus généralement, lorsqu’est présentée une demande d’accès infondée ou excessive, le responsable du traitement peut selon l’article 12. 5 b) du RGPD, refuser de donner suite à sa demande. Si cette article est une mesure opportune pour le responsable du traitement, il lui incombe toutefois la charge de la preuve du caractère infondé ou excessif. Il devra donc expliquer par écrit les raisons pour lesquelles la demande ne peut être suivie d’effet ou pour lesquelles la réponse nécessite un paiement préalable.

A compter du 25 mai prochain, le RGPD permettra l’application de sanctions dont le montant maximum pourra atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. En cas de différence de valeur entre ces deux seuils, sera retenu le montant le plus élevé. La prise en compte des droits des personnes concernées devient donc un enjeu majeur.

Charlotte GALICHET

 

Bookmark the permalink.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *