ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Droit d'accès de la personne concernée

Droit à l'information
Catégories :

Contrôle des données à caractère personnel

Le règlement général sur la protection des données (RGPD) confère aux personnes concernées un certain nombre de droits afin qu'elles puissent exercer un contrôle sur le traitement de leurs données à caractère personnel et, par conséquent, sur leurs droits de la personnalité protégés par des droits fondamentaux. Ces droits sont généralement appelés les "huit droits fondamentaux de la personne concernée" et comprennent les droits suivants :

 

  • Le droit de rectification (article 16)
  • Le droit à l'effacement (article 17)
  • Le droit à la limitation du traitement (article 18),
  •  Le droit à l'information (article 19)
  • Le droit à la portabilité des données (article 20)
  • Le droit d'opposition (article 21),
  • le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (article 22)
  • le droit d'accès (article 15).

Le droit d'accès n'est pas un droit inconnu. La directive 95/46/CE et les lois sur la protection des données des États membres de l'UE prévoyaient déjà la possibilité pour la personne concernée d'exercer son droit d'accès (cf : Art. 12 de la directive 95/46/CE ; § 19 de l'ancienne BDSG ; Art. 35(1) de la loi française sur la protection des données). Les personnes concernées n'ont toutefois pris davantage conscience de ce droit que depuis l'entrée en vigueur du règlement général sur la protection des données (en abrégé : RGPD) et la notoriété dont il jouit.

 

Droit d'accès : de quoi s'agit-il ?

 

Le droit d'accès est ancré dans l'article 15 du RGPD. Il confère deux droits aux personnes concernées, si les conditions requises sont remplies. D'une part, les personnes concernées doivent obtenir, sur demande, du responsable du traitement la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées (droit à la confirmation). Si tel est le cas, les personnes concernées ont également le droit d'obtenir une copie des données à caractère personnel actuellement traitées par le responsable du traitement (droit d'obtenir une copie).

En outre, le responsable du traitement doit fournir aux personnes concernées des informations supplémentaires, par exemple sur les finalités du traitement (article 15, paragraphe 1, point a), du RGPD), les destinataires des données à caractère personnel concernées (article 15, paragraphe 1, point c), du RGPD) ou la période de conservation des données à caractère personnel (article 15, paragraphe 1, point d), du RGPD). Si une personne concernée exerce son droit d'accès, le responsable doit alors répondre à la demande sans délai et au moins dans un délai d'un mois à compter de la réception de la demande, conformément à l'article 12, paragraphe 3, du RGPD. Toutefois, compte tenu de la complexité de la demande, le responsable du traitement peut prolonger le délai de deux mois supplémentaires (article 12, paragraphe 3, du RGPD).

Il convient de noter que le droit d'accès est un droit strictement personnel accordé aux personnes concernées. En tant que droit inaliénable et incessible, il ne peut donc être exercé que par la personne concernée et non par un tiers. Il se limite exclusivement aux données à caractère personnel traitées et stockées concernant la personne concernée, les données à caractère personnel d'autres personnes ne jouant donc en principe aucun rôle.

 

Le droit d'accès : un droit étendu ?

 

Conformément au Consid. 63 du RGPD, le droit d'accès doit permettre aux personnes concernées de prendre conscience du traitement de leurs propres données et de vérifier la licéité de ce traitement par le responsable du traitement.

La Cour de justice des Communautés européennes (CJCE) renforce cette position dans ses observations sur le droit d'accès, car elle estime que d'autres droits découlent directement du droit d'accès, celui-ci étant nécessaire pour "permettre à la personne concernée d'obtenir du responsable du traitement la rectification, l'effacement ou le verrouillage de ses données, le cas échéant [...]". Toutefois, la question de l'étendue de ce droit et des données à caractère personnel qu'il couvre dans son ensemble n'a pas encore reçu de réponse définitive.

Selon l'article 4, paragraphe 1, du RGPD, les données à caractère personnel sont toutes les informations qui se rapportent à une personne identifiée ou identifiable. Cela inclut les données à caractère personnel telles que le nom, la date de naissance, l'adresse électronique ou d'autres caractéristiques qui pourraient permettre d'identifier une personne, comme un numéro de compte, de téléphone ou de sécurité sociale. Il s'agit également de données sensibles telles que les données relatives à la santé de la personne concernée (par exemple, diagnostics, résultats d'examens, informations sur les traitements, etc ). Dans une décision du 19 juin 2019, le tribunal de grande instance de Cologne, après avoir reconnu le droit d'accès comme un droit global, a toutefois décidé de limiter son champ d'application en déclarant que le droit d'accès ne " porte pas sur l'ensemble des opérations internes de la partie défenderesse, telles que les notes, ou sur le fait que la personne concernée peut obtenir la réimpression et l'envoi de toute la correspondance échangée dont la personne concernée a déjà connaissance. ", et en soulignant que ce droit vise à permettre à la personne concernée d'évaluer l'étendue et le contenu des données à caractère personnel stockées, et non à l'aider à simplifier sa comptabilité.

Dans un arrêt du 15 juin 2021, la Cour constitutionnelle fédérale n'a toutefois pas suivi l'approche du tribunal de grande instance de Cologne et, après avoir rappelé que la notion de données à caractère personnel devait être entendue au sens large, a estimé que le droit d'accès pouvait "potentiellement couvrir tous les types d'informations, tant objectives que subjectives, sous forme d'avis ou d'évaluations", "à condition qu'il s'agisse d'informations relatives à la personne en question. Pour déterminer si une information se rapporte à une personne concernée, il suffit que l'information soit liée à une personne spécifique en raison de son contenu, de sa finalité ou de son impact".

L'interprétation large de la portée du droit d'accès est toutefois limitée par l'article 15, paragraphe 4, du RGPD, qui stipule que "le droit d'obtenir une copie ne doit pas [...] porter atteinte aux droits et libertés d'autrui". Cela signifie que le responsable du traitement doit tenir compte des droits des tiers, tels que leurs droits à la protection des données, leurs secrets commerciaux ou leurs droits de propriété intellectuelle, lorsqu'il répond à une demande d'accès aux données. En outre, il convient de noter que le droit d'accès ne peut être exercé que si un traitement porte sur des données à caractère personnel (la notion de données à caractère personnel doit toutefois être comprise au sens large). Le droit d'accès ne s'étend donc pas au traitement d'informations générales qui ne sont pas considérées comme des données à caractère personnel ou des informations personnelles. Dans un arrêt du 20 décembre 2017, la CJUE a jugé, dans une affaire concernant les réponses écrites d'un candidat à un examen professionnel, que les réponses d'un candidat à un examen et les commentaires des examinateurs devaient être considérés comme des "données à caractère personnel", mais pas les questions d'examen, "qui ne constituent pas en elles-mêmes des données à caractère personnel des candidats". De la même manière, la CJCE a estimé qu'une "analyse juridique, [...] bien que susceptible de contenir des données à caractère personnel, ne constitue pas en soi des données à caractère personnel". Cette approche a également été suivie par la Cour fédérale de justice allemande, qui a conclu que les "données relatives aux commissions versées à des tiers" ne peuvent pas être considérées comme des données à caractère personnel du preneur d'assurance et ne sont donc pas couvertes par le droit d'accès.

 

Risques en cas de non-réponse à une demande d'accès

 

Conformément à l'article 82, paragraphe 1, du RGPD, la personne concernée peut demander une indemnisation si elle a subi un préjudice matériel ou moral du fait d'une violation du RGPD. Dans une décision du 5 mars 2020, le tribunal du travail de Düsseldorf a accordé une indemnisation de 5 000 euros à une personne concernée, car la copie des données à caractère personnel que le responsable du traitement avait fournie à la personne concernée était incomplète et n'avait pas été fournie en temps utile. L'AG Düsseldorf a fait valoir qu'en raison du retard de plusieurs mois, la [personne concernée] était restée "dans l'ignorance" du traitement de ses données à caractère personnel et qu'elle avait donc subi un préjudice moral.

Toutefois, tous les tribunaux allemands ne considèrent pas qu'une réponse tardive à une demande d'accès ouvre à la personne concernée la possibilité de réclamer des dommages et intérêts. Dans sa décision du 1er juillet 2021, le tribunal régional de Bonn a estimé que le seul fait qu'un responsable du traitement n'ait pas répondu à temps à la personne concernée ne signifie pas en soi que des dommages-intérêts doivent être accordés à la personne concernée. Pour déclencher l'application de l'article 82, paragraphe 1, du RGPD, la personne concernée doit démontrer qu'elle a subi un préjudice (moral) du fait de la réponse tardive du responsable du traitement. Il convient de noter que la notion de "préjudice moral" au sens de l'article 82 du RGPD fait actuellement l'objet d'un débat intense et que la Cour de justice des Communautés européennes a été invitée par la Cour suprême autrichienne à interpréter cette notion conformément à l'article 82 du RGPD .

Néanmoins, un responsable du traitement peut également se voir infliger une amende en vertu de l'article 83, paragraphe 5, du RGPD : si un responsable du traitement viole les droits de la personne concernée, par exemple le droit d'accès, il peut se voir infliger une amende allant jusqu'à 20 000 000 EUR ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. En 2020, l'autorité de contrôle française a infligé une amende de 2 250 000 EUR à un responsable du traitement pour avoir enfreint plusieurs dispositions relatives à la protection des données, dont l'article 15 du RGPD.

 

Sources :

  1. RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  2. Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  3. CNIL, RGPD : quel bilan 6 mois après son entrée en application ?, 23 novembre 2018
  4. OVG Lüneburg, 26 juin 2019, 11 LA 274/18, consid. 15 - 16.
  5. ECJ, Peter Nowak c. Data Protection Commissioner, 20 décembre 2017, C-434/16, cons. 57.
  6. Considérant . 63 du RGPD.
  7. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18.
  8. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18, consid. 39.
  9. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18, consid. 39
  10. Tribunal de grande instance de Cologne, 26e chambre civile, jugement du 19.06.2019, 26 S 13/18, consid. 42.
  11. Cour fédérale de justice, arrêt du 15 juin 2021, VI ZR 576/19.
  12. Cour fédérale de justice, arrêt du 15 juin 2021, VI ZR 576/19, cons. 22.
  13. CJUE, Peter Nowak c. Data Protection Commissioner, 20 décembre 2017, C-434/16, cons. 58.
  14. CJUE YS c. Minister voor Immigratie, 17 juillet 2014, C-141/12, ErwG.39.
  15. Cour fédérale de justice, arrêt du 15 juin 2021, VI ZR 576/19, cons. 28.
  16. Tribunal du travail de Düsseldorf, jugement du 3 mars 2021, 9 Ca 6557/18.
  17. Tribunal du travail de Düsseldorf, jugement du 3 mars 2021, 9 Ca 6557/18, consid. 111.
  18. Tribunal de grande instance de Bonn, jugement du 1er juillet 2021, 15 O 372/20, cons. 33.
  19. OGH, décision du 14 avril 2021, 6Ob120/21x.
  20. CNIL, décision du 18 novembre 2020, n° SAN-2020-008.
Les tags :
Partager ce post :
fr_FRFrench