Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail (gratuit) du droit des technologies, en ligne depuis 1997
Powered by

Un site (gratuit) pour tout savoir sur le RGPD
Powered by

Le droit d’accès n’est pas sans limite ni conditions !

Publié le par - 2259 vues

De plus en plus de personnes exercent leur droit d’accès, dont la popularité va grandissant. Des outils informatiques apparaissent, qui permettent de générer un grand nombre de demandes automatisées. L’exercice de ce droit n’est pourtant pas illimité, et doit répondre à certaines conditions. Passage en revue d’une matière plus nuancée qu’il n’y parait.

Le principe

Le principe est simple et posé à l’article 15 RGPD : « la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées ».

Si la réponse est positive, ce même article précise ce qui doit être fourni et la forme sous laquelle cela doit être fourni.

Ce principe est éclairé par les considérants 63 et 64.

Le 63 énonce que la « personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité ».

Il y a donc 2 éléments introduits :

  • d’une part la périodicité (les intervalles raisonnables) ; et
  • d’autre part la finalité (avoir connaissance du traitement et en vérifier la licéité). Sur cette question, le considérant poursuit et ajoute à la liste des informations à fournir : la vérification de la licéité semble comprendre, aux yeux du considérant, « le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. »

Ce considérant précise encore que lorsque le responsable du traitement traite « une grande quantité de données » relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, « sur quelles données ou quelles opérations de traitement sa demande porte ».

Le 64, quant à lui, se consacre surtout à la vérification de l’identité de la personne qui exerce son droit d’accès : le responsable du traitement devrait prendre les mesures raisonnables afin de vérifier l’identité. Il ne faudrait pas qu’un tiers, se faisant passer pour moi, exerce un droit d’accès à ma place et obtienne ainsi des informations me concernant …

La périodicité

Peut-on exercer son droit d’accès aussi souvent qu’on le souhaite ?

On l’a vu ci-dessus : bien que l’article 15 ne le précise pas, le considérant 63 introduit la notion « d’intervalles raisonnables ». Il faut en déduire l’existence d’une limite quant au nombre de droits d’accès exercés à l’égard d’un même responsable de traitement.

Pour ceux qui en douteraient encore, on les renverra à la lecture de l’article 12 consacré aux modalités d’exercice des droits de la personne concernée, qui précise au 5 que le responsable de traitement peut prendre des mesures lorsqu’il fait face à des demandes qui sont manifestement infondées ou excessives, « notamment en raison de leur caractère répétitif ». Ces mesures peuvent aller du paiement de frais raisonnables, au refus pur et simple à la condition de démontrer le caractère infondé ou excessif.

L’objectif poursuivi

Il ressort de la combinaison de l’article 15 du considérant 63 que l’exercice du droit accès répond à une finalité : avoir connaissance du traitement et en vérifier la licéité.

Cette condition est source de nombreux conflits car l’objectif poursuivi par le sollicitant est très souvent difficile à établir et ressort du contexte. Il y a donc un élément subjectif important à prendre en compte.

Dans la pratique, on observe que les conflits se cristallisent le plus souvent autour d’une situation bien précise : le responsable de traitement et la personne concernée se connaissent par ailleurs et sont dans une relation tendue, par exemple dans le contexte d’une relation de travail ou commerciale, et le responsable de traitement a des raisons de craindre que le droit d’accès serve en réalité à le mettre en difficulté ou constituer un dossier en vue d’un contentieux qui n’a que peu de rapport avec le traitement des données.

Les modalités de la réponse

Selon l’article 15 du RGPD, le responsable du traitement « fournit une copie des données à caractère personnel faisant l’objet d’un traitement ». Il peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée.

La même disposition précise que lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

Le considérant 63 ajoute que lorsque c’est possible, le responsable du traitement devrait pouvoir donner l’accès à distance à un système sécurisé permettant à la personne concernée d’accéder directement aux données à caractère personnel la concernant.

La logique combinée de ces dispositions semble indiquer que :

  • Autant que possible, les parties privilégient l’échange électronique ;
  • Cet échange doit prendre une « forme d’usage courant ». Il n’est donc pas envisageable de soumettre la lecture de la réponse à l’utilisation d’une technologie inhabituelle ou inaccessible pour la personne concernée. La pratique repose largement sur les fichiers PDF, .xls ou .doc qui ne semblent pas poser de souci particulier.
  • Lorsque c’est possible, c’est via une rubrique « mes données » ou un « espace de contrôle » sécurisé et accessible à distance qu’un accès direct aux données traitées sera fourni.

On rappelle qu’il ne suffit pas nécessairement de donner accès aux données brutes, en laissant la personne concernée se débrouiller pour les lire et en déduire les caractéristiques des traitements. L’article 15 précise en effet les huit catégories d’informations à fournir, notamment les « finalités », de sorte qu’il convient de préciser celles-ci dans la réponse lorsque cela ne ressort pas clairement des données elles-mêmes.

Par ailleurs, on a vu que le considérant 63 évoque « la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage », ce qui peut nécessiter en fonction du contexte des explications complémentaires assez longues.

Enfin, il faut encore tenir compte de l’article 12 qui fixe un objectif général de transparence : l’information doit être fournie à « la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. »

La délégation

La délégation pose une double question :

  • Le responsable de traitement peut-il déléguer à un tiers le soin de répondre à la personne concernée ? Non seulement le texte ne l’interdit pas, mais l’EDPB y est favorable (guidelines 01/2022).
  • La personne concernée peut-elle déléguer à un tiers le soin d’exercer la demande ? Le règlement européen ne répond pas à la question, mais il nous semble que les risques que cela engendre en termes d’abus, notamment par rapport à la prise de connaissance d’informations concernant quelqu’un d’autre et l’impératif qui en découle de pouvoir vérifier l’identité du sollicitant, implique de se montrer très réservé sauf cas particulier tel la représentation du tuteur légal ou le mandat d’avocat (signalons que la CNIL se montre plus souple dans sa délibération du 27 mai 2021). Par contre, rien n’empêche un tiers de fournir un outil permettant de faciliter l’exercice de la demande qui sera alors faite par la personne concernée elle-même et en son nom. Il existe plusieurs outils de ce type sur le Web. Leur principale faiblesse est la possibilité de générer tellement de demandes, à intervalles tellement courts, que le responsable de traitement va la plupart du temps y déceler un indice de détournement de la finalité du droit d’accès.

Les demandes portant sur une grande quantité de données

Le considérant 63 a généré une certaine confusion en ce qu’il précise que lorsque le responsable du traitement traite « une grande quantité de données » relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, « sur quelles données ou quelles opérations de traitement sa demande porte ».

Si l’on songe aux réseaux sociaux, moteurs de recherche et … aux traitement des autorités publiques, cette précision peut mettre la personne concernée devant une grande difficulté : dans la mesure où elle ne connaît la plupart du temps pas les traitements, les catégories de donnée et les finalités poursuivies qui peuvent être très nombreuses, comment peut-elle préciser à l’avance les données et opérations sur lesquels porte sa demande ?

Il n’y à l’heure actuelle pas beaucoup de certitude sur cette question. Tout au plus sait-on que la CNIL considère que la grande quantité de données qui font l’objet de la demande « ne constitue pas une justification suffisante pour considérer qu’une demande est excessive » (délibération du 27 mai 2021).

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK