Droit d’accès (Partie 1/4)

Introduction

Le droit d’accès, inscrit à l’article 15 du Règlement général sur la protection des données personnelles, est fondamental pour notre vie privée.

Il est l’un des cinq piliers de la garantie des données personnelles et, parmi ces piliers, le plus imposant. Il est celui sur lequel les autres garanties reposent. Il est garant de leur effectivité, notamment d’un droit au recours devant le juge. Sans la possibilité d’accéder aux informations relatives aux traitements faits à ces données par un responsable de traitement, il serait par exemple, difficile de faire valoir le droit à l’effacement de ses données personnelles.

Concrètement, il permet à la personne qui en fait la demande, dans le cas où un responsable de traitement (RT) traite ses données, d’obtenir toutes les informations (personnelles), et de savoir ce qu’il en fait.

Par exemple, vous, demandez à votre banquier (ou votre médecin ou tout autre profession), d’accéder aux informations dont il dispose sur vous en envoyant un courriel ou par tout moyen, avec l’indication de ce que vous souhaitez (sur Internet, vous trouvez généralement cette information dans la politique de confidentialité).
Celui-ci reçoit votre demande.
Il répond et envoie classiquement ce dont il dispose sur vous, que ce soit les documents physiques (papiers écrits, notes etc…,) ou immatériel (tout fichier comportement des informations sur vous).

Une affaire similaire, est remontée devant la Cour de Justice de l’Union Européenne, C-487/21 opposant F.F. contre Österreichische Datenschutzbehörde, en présence de CRIF GmbH, expliquant la teneur du droit d’accès et ses limites.

Une société spécialisée dans la recherche d’informations commerciales, à reçut une demande d’accès (sur le fondement de l’article 15§3 du RGPD). La personne concernée par ces traitements demanda à la société, une copie des traitements, de données la concernant.

A cette réponse la société envoie un premier jet des données personnelles, et envoie un avis synthétique de ce qu’elle détient sur la personne concernée.

Cependant, la copie laisse le demandeur non convaincu. Elle demande alors une version plus aboutie du traitement des données à caractères personnelles (d.à.c.p). Il demande la communication de tout document et ou copie des documents disposant de ses d.à.c.p., et non la seule liste synthétique des données et de ce qui en est fait.

La société refuse en opposant le fait que cette demande outrepasserait les limites du droit d’accès. Le litige continuera jusqu’en arriver devant la Cour de Justice de l’Union Européenne (CJUE). Posant la question, de savoir quelles sont les limites du droit d’accès ?

La CJUE conclue, à ce que la réponse à une demande d’accès (art.15§3), reflète une copie fidèle et intelligible des données traitées de la personne concernée. Sous réserve, que la demande d’accès ne suppose pas une atteinte disproportionnée à des droits fondamentaux.

L’article 15§3 (alinéa 1er) oblige le responsable de traitement (RT) à faire droit, à la personne^[1] qui le demande, l’obtention d’une copie des données à caractère personnel faisant l’objet d’un traitement. Cela implique qu’il soit remis, à la personne concernée, une reproduction fidèle^[2] et intelligible^[3] de l’ensemble de ces données.

La remise d’une copie fidèle et intelligible comprend deux aspects, d’une part, la question du contenant (le moyen de se faire communiquer ses données personnelles) – (b), d’autre part, celle du contenu (les informations à fournir) (a).

a) Le contenu de la demande d’accès

Le contenu de la demande d’accès doit être exhaustif des données traitées (1), et intelligible voir même répondre de manière pédagogique à cette demande (2).

La copie de toutes les données objectives ou subjectives permettant d’identifier une personne

Le responsable de traitement est tenu d’envoyer : ‘’une copie des données à caractère personnel faisant l’objet d’un traitement […]’’. Exception est donc faite des données anonymisées.

La copie doit contenir :

Tant les informations [personnelles], objectives : qui sont des informations par elle-même, et ne dépendent pas d’opinion d’une personne.
Que les informations subjectives : Il s’agit des informations basées sur des opinions, des intuitions, ou des interprétations personnelles en rapport avec une personne. Ces interprétations pourraient être l’objet d’un algorithme qui tire d’une base d’informations objectives ou subjectives, pour en déduire (via des intuitions potentiellement logiques ou non) d’autres informations subjectives.

Les données contenues sont celles qui n’ont pas expirées, conformément à l’article 5.f relatif à la durée de conservation des données^[4].

2. Une copie de chaque traitement, dans le respect du principe de transparence

Le responsable de traitement doit remettre : ‘‘à la personne concernée non seulement une copie de ses données, mais également une copie des extraits de documents voire des documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données’’.

La copie doit donc permettre de proposer sous différentes formes :

Captures d’écran d’une base de données ;
La mention des identités figurant sur un document ;
Sur tout support (matériel ou immatériel) comportant un traitement des données de la personne ayant usé de ses données devra lui alors être communiqué.

Dès lors il sera loisible au RT, de fournir, dans un même support, différents types fichier étant la copie du ou des traitements, en fonction de la simplicité de fait et ses moyens à disposition. Pourvu que ‘‘la copie […] ’’ contienne ‘‘ […] toutes les données à caractère personnel faisant l’objet d’un traitement’’.

La finalité de ce droit est de permettre à une personne de s’assurer que ses données à caractères personnelles soient traitées de manière licite et d’en tirer les conséquences. Par voies de conséquences, pour s’assurer de la licéité du ou des traitements touchant à la personne, toutes les données relatives aux informations personnelles (entendu in extenso) doivent être transmises.

Cette transmission des données personnelles doit à ce titre respecter le principe de transparence.

Ce principe se traduit, par un souci de simplification à la personne qui en a fait la demande, de comprendre aisément ce qui est fait de ses données personnelles par le RT, en des termes clairs, simples et de manière intelligibles^[5].

La Cour précise à cet effet, que le RT s’oblige ‘‘à prendre des mesures appropriées’’ pour respecter cet objectif de transparence. La réponse à une telle demande pose deux questions frappant les deux faces d’une même pièce :

D’une part, une personne raisonnablement instruite, ayant fait une demande d’accès à ses données, comprend-elle de manière claire et précise les informations personnelles (objectives et subjectives) détenues par le RT ?
D’autre part, le RT a-t-il mis en œuvre les mesures appropriées de transparence, afin qu’une personne raisonnablement instruite, comprenne de manière claire les données traitées par le RT ainsi que des données qu’il dispose sur elle (objectives et subjectives) ?

Une réponse négative à la première question, emporterait, par déduction, une réponse similairement défavorable à la seconde.

b) Le contenant, support de la réponse à la demande d’accès

Le contenant fait référence à la méthode de transmission utilisée pour faire valoir le droit d’accès de la personne concernée. Il faut rappeler à titre liminaire que l’exercice du droit d’accès est traitement de données personnelles, à part entière, celui-ci doit alors respecter les garanties et les obligations prévues par le RGPD, article 5(f), article 24 (et suivants), article 32 RGPD.

Ainsi, §31 de l’arrêt indique que : « l’article 15§3 du RGPD indique à sa troisième phrase, que les informations sont fournies sous une forme électronique d’usage courant lorsque la demande est présentée par voie électronique, à moins que la personne concernée ne demande qu’il en soit autrement ».

Bien évidemment le contenant doit répondre à des mesures techniques et organisationnelles spécifiques, étant un traitement de données à part entière selon la sensibilité des données personnelles demandées. Ainsi l’article 32 du RGPD à vocation à s’appliquer à cette demande d’accès (peu importe la manière dont le contenu sera transmis). Le CEPD (Le Comité européen de la protection des données) à ce titre distingue deux typologies suivants la demande faite par le demandeur :

D’une part, les demandes d’accès par voie matérielle (non électronique), voici quelques exemples :
- Courrier standard : Simple et courant, mais avec un risque que le courrier soit perdu ou ouvert par des tiers.
- Courrier recommandé : Une trace est conservée de l’envoi et de la réception, avec une signature requise à la livraison.
- Remise en main propre avec signature : La personne concernée récupère les données directement auprès de l’établissement du responsable du traitement et signe pour accusé de réception.
- Courrier avec enveloppe sécurisée : Une enveloppe qui, si elle est ouverte, montre clairement des signes de tampering (étiquettes, des sceaux, des enveloppes spéciales), garantissant ainsi la confidentialité du contenu.
- Coffre-fort numérique portable : Un dispositif de stockage physique, comme une clé USB sécurisée ou un disque dur externe crypté, envoyé via un service de courrier sécurisé ou remis en main propre.

D’autre part, les demandes faites par voie électronique, voici quelques exemples :
- E-mail standard : C’est la méthode la moins sécurisée. Bien qu’elle soit pratique et couramment utilisée, elle expose les données à de potentiels risques de piratage si l’e-mail est intercepté.
- E-mail avec pièce jointe protégée par mot de passe : Le contenu est sécurisé par un mot de passe qui est communiqué à la personne concernée par un autre canal (par exemple, par SMS ou appel téléphonique).
- Lien de téléchargement temporaire : Un lien expirable vers un serveur sécurisé où les données peuvent être téléchargées. Après un certain temps ou un certain nombre de téléchargements, le lien devient inactif. Nb : attention à la plateforme sur laquelle vous téléversez le contenu.
- Email crypté de bout en bout : L’utilisation de services de messagerie qui offrent un cryptage intégral, assurant que seuls l’expéditeur et le destinataire peuvent accéder au contenu.
- Plateforme sécurisée avec authentification à deux facteurs : La personne concernée doit se connecter à une plateforme en ligne sécurisée, nécessitant à la fois un mot de passe et une seconde forme d’authentification (comme un code envoyé par SMS).

Ces différentes typologies d’envois seront donc à prévoir selon les sensibilités des données personnelles envoyées à la personne qui en fait la demande, incluant une gradation du moyen d’envoi.

PARTIE 1/4

Les personnes morales n’en font pas partie ↑
Dictionnaire CNRTL : Qui est conforme à la réalité, à un modèle, à un original. ↑
Dictionnaire CNRTL : Dont on peut saisir aisément la signification, que l’on peut comprendre sans difficulté ↑
Voir en ce sens article 5§1 point e) relatif au principe de durée de conservation des données personnelles ↑
Voir considérant §37 de l’affaire citée ↑

Droit d’accès (Partie 1/4)

Introduction

a) Le contenu de la demande d’accès

La copie de toutes les données objectives ou subjectives permettant d’identifier une personne

2. Une copie de chaque traitement, dans le respect du principe de transparence

b) Le contenant, support de la réponse à la demande d’accès

Vous devriez également aimer

Pourquoi ma structure est concernée par le RGPD ?

APD Plainte relative à l’absence de contrat de sous-traitance (article 28.3. du RGPD) et à l’absence d’information suffisante par une autorité publique (article 14 du RGPD)

Délibération SAN-2023-016 du 9 novembre 2023 – Courriel politique à destination des agents publics