Ce droit d’accès vous permet de demander à un responsable de traitement (un site web, une banque, un réseau social, un professionnel, un magasin, …) si celui-ci traite vos données à caractère personnel, à quelles fins, quels types de données sont concernés et qui sont les destinataires de vos données.
Ce droit d’accès s’accompagne également du droit de demander une copie de l’ensemble des données à caractère personnel qu’un organisme traite à votre sujet.
I. QU’AVEZ-VOUS LE DROIT DE DEMANDER ?
Le droit d’accès à vos données à caractère personnel vous permet de demander que l’on vous communique une série d’informations que le responsable de traitement traite à votre sujet afin, notamment, d’en vérifier le contenu et l’exactitude.
Concrètement, selon l’article 15 du RGPD, vous avez la possibilité de demander une série d’informations, à savoir :
- Les finalités du traitement
Autrement dit, les raisons pour lesquelles vos données sont traitées.
Les finalités sont diverses, il peut s’agir d’assurer des transactions bancaires, de garder à jour le fichier client, de vous envoyer des communications commerciales, ou tout simplement de gérer vos demandes liées à l’application de vos droits.
- Les catégories de données à caractère personnel concernées
Cela peut-être des données d’identification (nom, prénom, date de naissance, adresse, …), des données électroniques (adresse e-mail, numéro de téléphone, …), des données financières (numéro de carte bancaire, …) etc.
- Les destinataires auxquels les données ont été ou seront communiquées
On pense notamment aux partenaires commerciaux du responsable de traitement, ses sous-traitants mais également les autorités publiques.
- La durée de conservation des données ou, à tout le moins lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée
De manière générale, les données sont conservées le temps nécessaire au regard des finalités pour lesquelles celles-ci ont été collectées.
Mais certaines données à caractère personnel font l’objet de durées de conservation définies car, par exemple, la loi prévoit un délai de conservation. On pense notamment aux données d’identification dans le cadre du respect des obligations de blanchiment d’argent (10 ans ).
Dans d’autres cas, c’est la finalité pour laquelle les données ont été collectées qui détermine la durée de conservation. Par exemple, dans le cadre de la prospection commerciale la CNIL préconise une durée de conservation de 3 ans après le dernier contact si la personne concernée ne répond à aucune sollicitation.
- Le droit de demander la rectification (art. 16) ou l’effacement (art. 17) de vos données, le droit de s’opposer au traitement de vos données (art. 21), ou encore le droit d’introduire une réclamation auprès de l’Autorité de contrôle compétente
En effet, si après communication des données détenues à votre sujet vous vous rendez compte que certaines d’entre elles sont inexactes ou incorrectes, vous avez également le droit de demander à ce qu’elles soient rectifiées voire, dans certaines situations, effacées.
De même, vous avez la possibilité de vous opposer à certain traitement dans les cas prévus par le RGPD.
En outre, si vous estimez qu’un responsable de traitement ne respecte pas le RGPD, il existe la possibilité d’introduire une plainte auprès de l’Autorité de contrôle adéquate (en Belgique, il s’agira de l’Autorité de Protection des Données belge). Par exemple, un hôpital qui traite vos données médicales, au-delà de la simple consultation effectuée, pour les envoyer à des laboratoires pharmaceutiques.
- Lorsque les données ne sont pas directement collectées auprès de la personne concernée, toutes les informations quant à leur source
L’article 14 du RGPD prévoit toute une série d’informations à transmettre lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée.
- L’existence d’une prise de décision automatisée, y compris le profilage (art. 22, §1 et 3)
Une décision automatisée est une décision prise à l’égard d’une personne sans qu’aucun être humaine n’intervienne dans le processus décisionnel. Ces décisions sont donc effectuées uniquement par le biais d’algorithmes.
En outre, le responsable de traitement doit vous informer quant à la logique qui sous tend cette prise de décision automatisée ainsi que des conséquences prévues par ces décisions.
Le profilage, au sens du RGPD, est « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » (art. 4, §1er, point 4). En d’autres termes, le profilage permet d’associer certaines de vos préférences ou intérêts à votre profil (ex. : via les « like » sur les réseaux sociaux ou les pages sur lesquelles vous cliquez).
- En cas de transfert vers un pays tiers ou une organisation internationale, vous avez le droit d’être informé des garanties appropriées encadrant ce transfert (art. 46)
Lorsqu’un responsable de traitement transfère vos données en dehors de l’Espace économique européen (EEE), elle ne peut le faire que dans le respect des règles édictées dans le RGPD.
Ainsi, une organisation doit vous informer de la méthodologie utilisée : soit elle vous informe de l’existence d’une décision d’adéquation, soit de l’existence de garanties appropriées ou encore de la dérogation sur laquelle elle fonde le transfert.
- Vous pouvez également demander une copie des données à caractère personnel faisant l’objet du traitement.
La demande d’une copie est totalement gratuite. Sachez toutefois que dans certains cas, notamment en cas de demande d’une copie supplémentaire, l’organisme peut exiger le paiement de certains frais « raisonnables » basés sur les coûts administratifs pour toute copie supplémentaire.
II. COMMENT EXERCER SON DROIT D’ACCÈS EN PRATIQUE ?
1. Identifiez le responsable de traitement
Vous devriez trouver les informations nécessaires pour contacter le responsable de traitement, ou le cas échéant son délégué à la protection des données, via sa Politique vie privée.
2. Choisissez le moyen par lequel exercer votre droit d’accès
En général, vous aurez la possibilité d’exercer votre droit soit via un moyen électronique (courrier électronique, formulaire de contact en ligne, etc.) soit par courrier postal si l’organisme fournit une adresse postale destinée aux demandes d’exercice de droit ou aux réclamations.
3. Formulez votre demande
Le meilleur conseil à vous donner est de formuler votre demande clairement afin que le responsable de traitement puisse facilement traiter votre demande. Une autre idée est d’indiquer que vous faites application de votre demande d’accès, cela permettra au responsable de traitement de savoir que vous cherchez l’application de ce droit.
Astuce : conservez une copie de cette demande, par exemple via un print screen de l’écran de votre ordinateur lorsque vous avez rempli le formulaire de contact. Ainsi, vous vous réservez une preuve de votre demande
4. Réponse du responsable de traitement
A. Identification
En cas de doutes raisonnables quant à votre identité et afin de vérifier celle-ci, le responsable de traitement peut vous demander de joindre à votre demande une preuve de votre identité (art. 12, §6). Cela permet d’éviter qu’une autre personne que vous accède à vos données.
Par exemple, une agence de voyage reçoit un e-mail d’une adresse e-mail qui n’est pas liée à vous dans sa base de données. Elle pourrait vérifier votre identité en répondant à l’email et en l’interrogeant sur le dernier voyage commandé via l’agence. En effet, elle ne collecte pas plus d’informations et la réponse devrait permettre d’écarter les doutes quant à l’identité du demandeur de l’application du droit d’accès.
B. Principe de gratuité
Le responsable de traitement ne peut vous réclamer le moindre frais pour l’exercice de ce droit qui est gratuit, excepté lorsque vous demandez une copie supplémentaire qui entraîne des « frais raisonnables basés sur les coûts administratifs » (art. 12, §5), sans pour autant que cela entrave le droit d’accès
C. Délai de réponse
Une fois que votre demande a été formulée, le responsable de traitement doit vous répondre « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (art. 12, §3).
Toutefois, cette période d’un mois peut être prolongée de deux mois en cas de demande complexe ou lorsque le responsable de traitement est confronté à un excès de demandes (art. 12, §3). Si une telle situation vient à se produire, le responsable de traitement doit impérativement vous informer des raisons de ce retard dans le délai initial d’un mois à dater de la réception de la demande.
5. Refus ou absence de réponse
Si après un mois au plus tard après votre demande le responsable de traitement n’a pas répondu deux possibilités s’offrent à vous :
- Soit, vous réitérez votre demande auprès du responsable de traitement en précisant qu’il s’agit d’une ultime demande d’exercice de votre droit d’accès et qu’à défaut de réponse dans un délai d’un mois vous contacterez l’Autorité de contrôle compétente pour signaler cette irrégularité ;
- Soit, vous adressez une réclamation auprès de l’Autorité de contrôle compétente en joignant les justificatifs de votre demande.
En Belgique, l’Autorité de protection des données met à votre disposition un formulaire disponible via le lien suivant : https://www.autoriteprotectiondonnees.be/introduire-une-requete-une-plainte.
III. UN DROIT D’ACCÈS ILLIMITÉ ?
1. Puis-je accéder à n’importe quelles données de n’importe quels responsables de traitement?
Certaines données ne sont pas accessibles sur simple demande par un particulier ou font l’objet d’un encadrement spécifique. On pense notamment aux informations que détient la Police ou d’autres services liés à la sûreté de l’État.
2. Le responsable de traitement peut-il refuser de faire droit à ma demande ?
Le responsable de traitement auquel vous demandez d’exercer votre droit d’accès peut également refuser de faire droit à votre demande si celle-ci est infondée ou excessive, à condition toutefois de vous informer de cette décision, au plus tard dans un délai d’un mois à compter de la réception de votre demande (art. 12, §4), et de prouver le caractère infondée ou excessif de votre demande (art. 12, §5 in fine).
Pourraient être considérées comme excessives des demandes multiples et répétitives d’une copie déjà fournie il y a peu de temps (il faut prendre en considération le délai qui sépare les demandes).
3. Les droits et libertés d’autrui
L’article 15 du RGPD nous informe également que le droit d’obtenir une copie ne peut porter atteinte aux droits et libertés d’autrui. Par exemple, vous ne pouvez pas réclamer d’obtenir le droit d’accéder aux informations relatives à une tierce personne, ou toute information strictement confidentielle relative à des procédures en justice.
Article de Frédéric Dechamps, Nathan Vanhelleputte & Adeline Balza, avocats chez Lex4u.
Des questions sur vos droits en vertu du RGPD ? N’hésitez pas à nous contacter à info@lex4u.com nous répondrons avec plaisir à vos questions.
Un responsable de traitement est “une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel” (art. 4, §1er, point 7).
Article 60 de la loi relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l’utilisation des espèces
La Commission Nationale de l’Informatique et des Libertés (“CNIL”), à savoir l’Autorité de protection des données en France.
