ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Droit d'accès dans le RGPD - jurisprudence actuelle de la CJUE et lignes directrices de l'EDSA

Le droit d'accès est particulièrement important, car il permet aux personnes concernées de faire valoir d'autres droits. Il s'agit notamment de la rectification, de l'effacement ou de l'indemnisation.
Catégories :

Le règlement général sur la protection des données (RGPD) confère aux personnes concernées le droit d'exiger des responsables du traitement des données les concernant. Comment la Cour de justice des Communautés européennes (CJCE) a concrétisé davantage le droit d'accès et avec quelles lignes directrices le Comité européen de la protection des données (CEPD) offre un soutien complet.

Quatre décisions de la CJCE sur le droit à l'information

Le droit d'accès est particulièrement important, car il permet aux personnes concernées de faire valoir d'autres droits. Il s'agit notamment de la rectification, de l'effacement ou de l'indemnisation. La Cour de justice des Communautés européennes (CJCE) considère le droit d'accès comme un droit fort et étendu et l'a confirmé dans plusieurs décisions. Dans son 29e rapport d'activités, le médiateur du Land de Rhénanie-du-Nord-Westphalie pour la protection des données et la liberté d'information a rassemblé les décisions les plus importantes de la CJCE concernant le droit d'accès :

L'information comprend également l'identité des destinataires

La CJUE a décidé que les responsables de traitement doivent en principe communiquer aux personnes concernées l'identité des destinataires auxquels leurs données ont été transmises. La mention des catégories de destinataires n'est suffisante que dans des cas exceptionnels : Lorsque l'identification des destinataires est impossible ou lorsque la demande d'information serait manifestement infondée ou disproportionnée. 

Cette décision (arrêt du 12 janvier 2023, affaire C-154/21) souligne l'importance de la transparence du traitement des données afin de permettre aux personnes concernées de vérifier que leurs données sont traitées de manière licite.

Le droit d'accès couvre également les données de protocole

Le droit d'accès comprend également des informations provenant des données de journalisation. Celles-ci documentent quand et pourquoi les données ont été consultées. La CJUE a précisé (arrêt du 22 juin 2023, affaire C-579/21) qu'il suffit généralement d'informer les personnes concernées des consultations de données consignées dans les journaux, sans mentionner les noms des employés.

L'identité des employés ne doit être divulguée que si cela est nécessaire pour vérifier la légalité du traitement des données. Il convient toutefois de tenir compte des droits et libertés des employés.

La première copie est également gratuite pour les dossiers de patients

La CJUE a décidé que les patients ont le droit, en vertu de la législation sur la protection des données, d'obtenir une première copie gratuite de leur dossier médical sans avoir à se justifier. Cette copie complète est nécessaire pour que le patient puisse vérifier l'exactitude et l'exhaustivité de ses données.

L'arrêt (du 26 octobre 2023, affaire C-307/22) garantit que les patients reçoivent une copie complète et compréhensible de leurs données, y compris des informations telles que les diagnostics, les résultats des examens et les dates de traitement.

Le droit à la copie est le droit de reproduire les données

Selon la CJUE (arrêt du 4 mars 2023, affaire C-487/21), le droit à une copie des données à caractère personnel implique une reproduction fidèle et intelligible des données. Cela inclut des copies d'extraits de documents ou de documents entiers, ainsi que des extraits de bases de données, si cela est nécessaire à l'exercice effectif des droits de protection des données des personnes concernées. Ce faisant, les responsables doivent tenir compte des droits et libertés d'autres personnes et mettre les données à disposition dans un format électronique courant.

Conseil de lecture : Mise en œuvre de la directive NIS-2 dans l'UE - état des lieux

Lignes directrices de l'EDSA sur le droit d'accès

Outre les décisions de la CJUE, les lignes directrices du Comité européen de la protection des données (CEPD) offrent une aide complète pour l'application du droit d'accès prévu à l'article 15 du RGPD.

Les lignes directrices donnent tout d'abord un aperçu de la structure complexe de la réglementation. Elles présentent les grands principes à respecter en matière de droit d'accès. Elles traitent ensuite en détail des questions qui se posent au responsable qui a reçu une demande d'information. Il s'agit notamment de questions telles que

  • l'interprétation et la fourniture des informations,
  • Mesures à prendre pour trouver les données,
  • l'importance d'une "copie des données" et
  • les limites du droit d'accès.

Un organigramme dans les lignes directrices illustre les différentes étapes du traitement d'une demande d'accès. D'autres lignes directrices sur les droits des personnes concernées, tels que le droit d'opposition ou le droit à l'effacement, sont prévues à moyen terme. Pour le droit d'accès fondamental, il existe désormais des explications uniformes dans toute l'Europe, qui décrivent en détail le contenu et l'utilisation pratique par les responsables.

Conclusion : Le droit d'accès prévu par le RGPD est un élément central de la protection des données. Il est continuellement concrétisé et renforcé par la jurisprudence de la CJUE et les lignes directrices de l'EDSA. Les entreprises et les responsables devraient se familiariser avec ces directives. Ils devraient également s'assurer qu'ils mettent en œuvre intégralement et correctement les exigences relatives au droit d'accès afin de garantir la protection des données à caractère personnel et les droits des personnes concernées.

Conseil de lien : Lignes directrices sur le droit d'accès de l'EDSA

Les tags :
Partager ce post :
fr_FRFrench