Le droit d'accès de l'article 15 du RGPD fait partie des droits de la personne concernée selon le RGPD. L'étendue de ce droit dans la pratique est juridiquement controversée. Le Comité européen de la protection des données (CEPD) a publié un premier projet de lignes directrices sur l'article 15 du RGPD et le droit d'accès. Même s'il ne s'agit que d'un premier projet, qui fera d'abord l'objet d'une procédure de consultation publique, on peut dire que l'EDSA se positionne en faveur d'une interprétation large pour les personnes concernées.
Découvrez ici les détails du contenu de ce projet de ligne directrice.
Contenu du droit d'accès selon l'art. 15 RGPD
Le droit d'accès doit permettre à la personne concernée d'obtenir facilement des informations sur le traitement de ses propres données à caractère personnel. Ainsi, la personne concernée doit pouvoir vérifier la légitimité du traitement et l'exactitude des données. Cela sert également à faciliter l'exercice d'autres droits des personnes concernées.
Si la personne concernée fait une demande d'accès, elle n'est toutefois pas tenue d'indiquer un motif. Le responsable du traitement n'est donc pas en position de refuser la demande, car cela ne permettrait pas à la personne concernée de vérifier la légalité ou de faire valoir d'autres droits. Le responsable doit répondre à la demande d'information, à moins que celle-ci ne soit manifestement infondée ou excessive.
En gros, le contenu du droit d'accès peut être divisé en trois composantes :
- l'information sur le fait que des données concernant la personne concernée ont été traitées ou non
- La mise à disposition des données personnelles concernées
- les informations relatives au traitement (par exemple, finalité, catégories de données et de destinataires, durée du traitement, etc.)
Contenu : Informations sur le traitement
Le responsable doit évaluer si la demande d'information se rapporte effectivement aux données à caractère personnel de la personne concernée. En outre, il convient de vérifier si celles-ci entrent dans le champ d'application de l'article 15 du RGPD ou si des règles plus spécifiques interviennent dans le domaine d'activité du responsable et limitent le cas échéant l'accès.
Il n'existe pas d'exigences particulières concernant le format des informations. Le responsable doit fournir les informations par un canal approprié et adapté à la personne concernée. Sauf indication contraire dans la demande, le responsable doit fournir des informations sur toutes les données traitées. Pour ce faire, il doit effectuer une recherche dans tous ses systèmes.
Si le responsable ne trouve pas les données de la personne concernée, il doit également en informer la personne concernée. Dans ce cas, ou si le responsable a des doutes sur l'identité de la personne concernée, il peut demander des informations supplémentaires (appropriées par rapport à la catégorie de données éventuellement concernées) pour l'identifier.
Portée : mise à disposition des données
L'EDSA aborde également la question de la portée du droit d'accès. A cet égard, l'EDSA renvoie à la définition des données à caractère personnel figurant à l'article 4 I du RGPD.
Outre l'information sur toutes les données traitées qui répondent à cette définition, le responsable doit également fournir des informations sur la forme du traitement et les droits éventuels de la personne concernée.
Limites du droit d'accès selon l'article 15 du RGPD
Les efforts requis pour obtenir les informations demandées doivent toujours être proportionnels. En outre, il ne doit pas être porté atteinte aux droits ou aux libertés de tiers. L'existence de ces constellations doit alors, le cas échéant, être clairement indiquée par le responsable.
Le responsable peut en outre refuser les demandes qui sont manifestement infondées ou excessives. Selon l'EDSA, cela n'est effectivement le cas que dans un nombre très limité de cas à déterminer de manière restrictive.
En outre, le droit d'accès peut également être limité par le droit national (en Allemagne, par exemple la loi fédérale sur la protection des données) (article 23 du RGPD).
Détails pour la pratique
Le texte du Le projet de l'EDSA est consultable en ligne. L'EDSA y traite en détail tous les sujets soulevés ici.
Si vous avez des questions sur le droit d'accès et sa mise en œuvre, notre équipe d'experts se fera un plaisir de vous aider !