Le comité européen de la protection des données (EDPB) a publié il y a quelques jours des lignes directrices mises à jour (deuxième version) sur les droits des personnes concernées, en particulier le droit d’accès aux données personnelles. Toute personne dont les données personnelles sont traitées dispose d’un droit d’accès en vertu de l’art. 15 du RGPD. Le droit d’accès aux données est considéré comme l’un des droits clés du RGPD, car il vous permet de garder le contrôle sur les données personnelles qui sont traitées, par qui, sur quelle base juridique, à qui elles ont été mises à disposition, etc. Bien que les directives s’adressent principalement aux contrôleurs de données, elles contiennent des conseils précieux pour les personnes concernées, donnant un aperçu de l’étendue réelle de nos droits. Il est bon de se familiariser avec eux, car en tant que consommateurs, nous laissons des empreintes numériques presque partout, et par conséquent, il est bon de savoir quels droits nous avons.
Pour ne pas paraître sans fondement, voici quelques points remarquables des lignes directrices :
1. Si vous demandez l’accès à vos données, le responsable du traitement doit vous donner Accès à toutes vos données personnelles qui sont traitées, sauf si vous limitez expressément votre demande (par exemple pour identifier des données ou des données concernant un contrat conclu un jour particulier). Le responsable du traitement n’est pas autorisé à restreindre arbitrairement la portée de votre demande, mais peut vous demander de préciser la demande s’il traite une grande quantité de données.
2. Avant d’accorder l’accès aux données personnelles, le responsable du traitement doit confirme ton identité pour assurer la sécurité du traitement et minimiser le risque de divulgation non autorisée des données personnelles. À cet égard, le CEPD a souligné que « en règle générale, le contrôleur ne peut pas demander plus de données personnelles que nécessaire pour permettre cette authentification, et que l’utilisation de ces informations doit être strictement limitée à la satisfaction de la demande des personnes concernées » (p. 25). Le RGPD ne précise pas comment identifier la personne concernée, il appartient donc au responsable du traitement de décider quelle méthode d’authentification est la plus appropriée. Cependant, le la méthode doit être proportionnée aux circonstances du traitement, y compris le type de données personnelles traitées (par exemple, des catégories particulières de données), le contexte dans lequel la demande est faite, les dommages potentiels qui pourraient résulter d’une divulgation inappropriée des données). Il arrive que les contrôleurs ne satisfassent pas à cette exigence et choisissent des méthodes qui leur conviennent, mais qui sont disproportionnées. L’EDPB déclare : « Dans la pratique, des procédures d’authentification existent souvent et les responsables du traitement n’ont pas besoin d’introduire des garanties supplémentaires pour empêcher l’accès non autorisé aux services. Afin de permettre aux individus d’accéder aux données contenues dans leurs comptes (tels qu’un compte e-mail, un compte sur les réseaux sociaux ou les boutiques en ligne), les contrôleurs sont plus susceptibles de demander la connexion via le nom d’utilisateur et le mot de passe de l’utilisateur, qui dans de tels cas devraient être suffisants pour authentifier une personne concernée. […] par conséquent, il est disproportionné d’exiger une copie d’un document d’identité dans le cas où la personne concernée qui en fait la demande est déjà authentifiée par le responsable du traitement. […] Compte tenu du fait que de nombreuses organisations (par exemple, les hôtels, les banques, les agences de location de voitures) demandent des copies de la carte d’identité de leurs clients, cela ne devrait généralement pas être considéré comme un moyen d’authentification approprié » (p. 27).
3. Les informations demandées dans le cadre du droit d’accès aux données doivent être fournies à la personne concernée Sans retard injustifié et en tout état de cause dans un mois de la réception de la demande. Ce délai peut être prolongé de deux mois au maximum compte tenu de la complexité et du nombre de demandes que le responsable du traitement reçoit. Dans une telle situation, la personne concernée doit être informée des raisons du retard. Mais la règle est que le responsable du traitement doit agir « sans retard excessif », ce qui signifie que l’information doit être donnée dans les meilleurs délais – « s’il est possible de fournir les informations demandées dans un délai inférieur à un mois, le responsable du traitement devrait le faire » (p. 50).
4. Parfois, le responsable du traitement peut limiter ou refuser de donner accès aux données personnelles. Selon l’art. 15(4) GDPR, le droit d’obtenir une copie des données ne doit pas porter atteinte aux droits et libertés d’autrui. Une autre restriction résulte de l’art. 12(5) GDPR qui permet aux responsables du traitement de passer outre les demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Ces concepts doivent être interprétés étroitement. Le droit d’accès aux données peut être exercé plusieurs fois, mais comme indiqué au considérant 63 du RGPD – « à des intervalles raisonnables ». Il n’est pas possible de déterminer à l’avance la fréquence à laquelle il est permis de faire des demandes d’accès aux données, car cela dépend des circonstances du traitement. Le CEPD remarque que « plus des modifications sont fréquentes dans la base de données du responsable du traitement, plus les personnes concernées peuvent être autorisées à demander l’accès à leurs données personnelles sans que cela soit excessif ». Par exemple, « dans le cas des réseaux sociaux, une modification du jeu de données sera attendue à des intervalles plus courts que dans le cas des registres fonciers ou des registres centraux des sociétés » (p. 56) .
Ce ne sont là que quelques exemples à retenir. Pour en savoir plus, je vous recommande de consulter les directives.