Droit d'accès de la personne concernée

Droit à l'information
Catégories :

Contrôle des données à caractère personnel

Le règlement général sur la protection des données (RGPD) accorde aux personnes concernées un certain nombre de droits afin qu'elles puissent contrôler les Traitement de leurs données à caractère personnel et, par conséquent, sur leurs droits de la personnalité protégés par des droits fondamentaux. Ces droits sont généralement appelés les "huit droits fondamentaux de la personne concernée" et comprennent les droits suivants :

 

  • Le droit à Rectification (article 16)
  • Le droit à Suppression (article 17)
  • Le droit à la limitation de la Traitement (article 18),
  • Le droit à l'information (article 19)
  • Le droit à la portabilité des données (article 20)
  • Le droit d'opposition (article 21),
  • Le droit de ne pas être soumis à un traitement automatisé de données à caractère personnel. Traitement d'être soumis à une décision fondée sur le droit communautaire (article 22)
  • le droit d'accès (article 15).

Le droit d'accès n'est pas un droit inconnu. La directive 95/46/CE et les lois sur la protection des données des États membres de l'UE prévoyaient des concernés personne a déjà la possibilité d'utiliser son Droit d'accès de l'exercer (cf : Art. 12 de la directive 95/46/CE ; § 19 de l'ancienne BDSG ; Art. 35(1) de la loi française sur la protection des données). Les personnes concernées n'ont toutefois pris davantage conscience de ce droit que depuis l'entrée en vigueur du règlement général sur la protection des données (en abrégé : RGPD) et la notoriété dont il jouit.

 

Droit d'accès : de quoi s'agit-il ?

 

Le site Droit d'accès est ancré dans l'article 15 du RGPD. Il donne deux droits aux personnes concernées, si les conditions correspondantes sont remplies. D'une part, elles doivent Personnes concernées sur demande auprès du responsable de la Traitement responsable de recevoir la confirmation que données à caractère personnel Les données à caractère personnel sont traitées ou non (droit à la confirmation). Si tel est le cas, la personne concernée a également le droit d'obtenir une copie des données à caractère personnel qui sont actuellement traitées par le responsable (droit d'obtenir une copie).

En outre, le responsable de la Traitement Responsable de fournir aux personnes concernées des informations supplémentaires, par exemple sur les finalités de la Traitement (art. 15, al. 1, let. a, RGPD), les destinataires des données à caractère personnel concernées (art. 15, al. 1, let. c, RGPD) ou le délai de conservation des données à caractère personnel. données à caractère personnel (article 15, paragraphe 1, point d) du RGPD). Si une concernés personne son Droit d'accès le système doit Responsable donner suite à la demande dans les meilleurs délais et au moins dans un délai d'un mois à compter de la réception de la demande, conformément à l'article 12, paragraphe 3, du RGPD. Compte tenu de la complexité de la demande, le responsable de la Traitement Responsable mais peut prolonger le délai de deux mois supplémentaires (article 12, paragraphe 3, du RGPD).

Il convient de noter que le Droit d'accès est un droit strictement personnel accordé aux personnes concernées. En tant que droit inaliénable et incessible, il ne peut donc être exercé que par la personne concernée et non par un tiers. Il est exclusivement limité aux données à caractère personnel recueillies par l'intermédiaire de la concernés Les données personnelles d'autres personnes ne jouent donc en principe aucun rôle.

 

Le droit d'accès : un droit étendu ?

 

Conformément au Consid. 63 du RGPD, le Droit d'accès permettre aux personnes concernées de faire face à la Traitement de ses propres données et de leur utilisation légitime. Traitement par le responsable.

La Cour de justice des Communautés européennes (CJCE) renforce cette position dans ses observations sur le droit d'accès, car elle estime que d'autres droits découlent directement du droit à l'information. Droit d'accès parce qu'elle est nécessaire " pour permettre à la personne concernée, le cas échéant, d'être informée par le responsable du traitement ". Traitement responsables de la Rectification, Suppression ou le verrouillage de leurs données [...] ". Toutefois, la question de l'étendue de ce droit et des données à caractère personnel qu'il couvre n'a pas encore reçu de réponse définitive.

Conformément à l'article 4, paragraphe 1, de la RGPD sont données à caractère personnel toute information se rapportant à une personne identifiée ou identifiable. Il s'agit notamment données à caractère personnel telles que le nom, la date de naissance, l'adresse électronique ou d'autres caractéristiques qui pourraient permettre d'identifier une personne, comme un numéro de compte, de téléphone ou de sécurité sociale. Il s'agit également de données sensibles telles que les données relatives à la santé de la personne concernée (par exemple, diagnostics, résultats d'examens, informations sur les traitements, etc ). Dans une décision rendue le 19 juin 2019 par le tribunal régional de Cologne, le tribunal, après avoir Droit d'accès comme un droit global, mais a décidé de limiter son champ d'application en déclarant que le droit à la liberté d'expression ne s'étendait pas à la liberté d'association. Droit d'accès ne se réfère pas " à toutes les opérations internes de la partie défenderesse, telles que les notes, ou au fait que la personne concernée peut obtenir la réimpression et la transmission de toute la correspondance échangée dont la personne concernée a déjà connaissance ". ", et en rappelant que ce droit vise à concernés permettre à la personne d'évaluer l'étendue et le contenu des données à caractère personnel stockées, et non pas l'aider à simplifier sa comptabilité.

Dans un arrêt du 15 juin 2021, la Cour de justice de l'Union européenne (CJUE) a suivi l'avis de la Cour européenne des droits de l'homme. Cour constitutionnelle fédérale n'a cependant pas suivi l'approche du Landgericht Köln et, après avoir rappelé que la notion de données à caractère personnel devait être comprise au sens large, a estimé que le Droit d'accès "peut potentiellement inclure tous les types d'informations, tant objectives que subjectives, sous forme d'avis ou de jugements", "à condition qu'il s'agisse d'informations concernant la personne en question. Afin d'évaluer si une information se rapporte à une personne, il est nécessaire d'établir un lien avec la personne concernée. concernés Si l'information se rapporte à une personne, il suffit qu'elle soit liée à une personne spécifique en raison de son contenu, de sa finalité ou de son impact".

L'interprétation large de la portée du droit d'accès est toutefois limitée par l'article 15, paragraphe 4, du RGPD, qui stipule que "le droit d'obtenir une copie ne doit pas [...] porter atteinte aux droits et libertés d'autrui". Cela signifie que le responsable de la Traitement Responsable doit tenir compte des droits des tiers, tels que leurs droits en matière de protection des données, de secret commercial ou de propriété intellectuelle, lorsqu'il répond à une demande d'accès aux données. En outre, il convient de noter que le Droit d'accès ne peut être exercée que si une Traitement sur données à caractère personnel (la notion de données à caractère personnel doit toutefois être comprise au sens large). Le site Droit d'accès ne s'étend donc pas à la Traitement d'informations générales qui ne sont pas données à caractère personnel ou des informations à caractère personnel. Dans un arrêt du 20 décembre 2017, la CJUE a jugé, dans une affaire concernant les réponses écrites d'un candidat à un examen professionnel, que les réponses d'un candidat à l'examen et les commentaires des examinateurs étaient des "données à caractère personnelLa Cour a estimé que les questions d'examen devaient être considérées comme des "données à caractère personnel", mais pas les questions d'examen, "qui ne constituent pas en tant que telles des données à caractère personnel des candidats". De la même manière, la CJUE a estimé qu'une "analyse juridique, [...] bien qu'elle soit données à caractère personnel ne constitue pas en soi une donnée à caractère personnel". Cette approche a également été suivie par la Cour fédérale de justice allemande, qui a conclu que "les données relatives aux commissions versées à des Troisième " pas comme données à caractère personnel du preneur d'assurance et ne sont donc pas couverts par le Droit d'accès tombent.

 

Risques en cas de non-réponse à une demande d'accès

 

Conformément à l'article 82, paragraphe 1 RGPD peut être concernés personne peut prétendre à une indemnisation si, à la suite d'une violation RGPD a subi un préjudice matériel ou moral. Dans une décision du 5 mars 2020, le tribunal du travail de Düsseldorf a accordé à une personne concernée une indemnisation de 5 000 euros, étant donné que la copie des données à caractère personnel fournies par le responsable de la Traitement Responsable à la personne concernée était incomplète et n'avait pas été fournie à temps. L'AG Düsseldorf a fait valoir qu'en raison du retard de plusieurs mois, [concernés personne] "dans l'incertitude" sur les Traitement de ses données à caractère personnel et qu'elle a donc subi un préjudice moral .

Cependant, tous les tribunaux allemands ne considèrent pas qu'une réponse tardive à une demande d'information donne à la personne concernée la possibilité de demander des dommages et intérêts. Dans sa décision du 1er juillet 2021, le tribunal régional de Bonn a estimé que le seul fait qu'un responsable de la Traitement responsable n'a pas répondu à la personne concernée en temps utile ne signifie pas en soi que la personne concernée doit être indemnisée. Pour déclencher l'application de l'article 82, paragraphe 1, du RGPD, la concernés personne peut prouver que le retard de la réponse du responsable de la Traitement responsable a subi un préjudice (moral). Il convient de noter que la notion de "préjudice moral" au sens de l'article 82 du RGPD fait actuellement l'objet d'un débat intense et que la Cour de justice des Communautés européennes a été invitée par la Cour suprême autrichienne à interpréter cette notion conformément à l'article 82 du RGPD .

Néanmoins, un projet de loi destiné à la Traitement responsable peut également être sanctionné par une amende conformément à l'article 83, paragraphe 5, du RGPD : si un responsable de la Traitement responsable, les droits de la personne concernée, par exemple la Droit d'accèsSi l'entreprise ne respecte pas ses obligations, elle peut se voir infliger une amende pouvant aller jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. En 2020, la Commission européenne a infligé une amende de Autorité de surveillance contre un pour Traitement responsable d'un Amende d'un montant de 2 250 000 euros pour avoir enfreint plusieurs dispositions relatives à la protection des données, dont l'article 15 du RGPD.

 

Sources :

  1. RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données entre États membres Traitement des données à caractère personnel, à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  2. Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Traitement des données à caractère personnel et à la libre circulation de ces données.
  3. CNIL (La Commission nationale de l'informatique et des libertés) Autorité de surveillance), RGPD : quel bilan 6 mois après son entrée en application ?, 23 novembre 2018
  4. OVG Lüneburg, 26 juin 2019, 11 LA 274/18, consid. 15 - 16.
  5. ECJ, Peter Nowak c. Data Protection Commissioner, 20 décembre 2017, C-434/16, cons. 57.
  6. Considérant . 63 de la RGPD.
  7. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18.
  8. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18, consid. 39.
  9. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18, consid. 39
  10. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18, consid. 42.
  11. Cour fédérale de justice, arrêt du 15 juin 2021, VI ZR 576/19.
  12. Cour fédérale de justice, arrêt du 15 juin 2021, VI ZR 576/19, cons. 22.
  13. CJUE, Peter Nowak c. Data Protection Commissioner, 20 décembre 2017, C-434/16, cons. 58.
  14. CJUE YS c. Minister voor Immigratie, 17 juillet 2014, C-141/12, ErwG.39.
  15. Cour fédérale de justice, arrêt du 15 juin 2021, VI ZR 576/19, cons. 28.
  16. Tribunal du travail de Düsseldorf, jugement du 3 mars 2021, 9 Ca 6557/18.
  17. Tribunal du travail de Düsseldorf, jugement du 3 mars 2021, 9 Ca 6557/18, consid. 111.
  18. Tribunal de grande instance de Bonn, jugement du 1er juillet 2021, 15 O 372/20, cons. 33.
  19. OGH, décision du 14 avril 2021, 6Ob120/21x.
  20. CNIL, décision du 18 novembre 2020, n° SAN-2020-008.
Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages