Blog Données personnelles
Mise en concertation publique du CEPD publie sur son projet de lignes directrices concernant le droit d’accès
Le Comité européen de la protection des données a publié le 19 janvier 2022 son projet de lignes directrices relatives au droit d’accès (article 15 du RGPD). Le texte, voulu comme une clarification des règles applicables, fera l’objet d’une consultation publique de six semaines. Il doit répondre aux nombreuses questions sur l’étendue du droit d’accès, les modalités de sa mise en œuvre, les informations devant être fournies aux personnes concernées et la manière de la transmettre mais aussi sur la définition d’une demande « excessive » ou « infondée ».
Prenant le temps de rappeler que le droit d’accès n’est pas, au sens du règlement général sur la protection des données, une « condition » des autres droits qu’il consacre mais bien un moyen de faciliter leur exercice, le CEPD structure le droit d’accès comme reposant sur trois bases complémentaires : La « confirmation », « l’accès » et
« l’information ». Les personnes doivent en effet savoir que leur demande est traitée et comment, obtenir un accès aux données les concernant mais également disposer d’une explication.
Un aperçu de l’étendue du champ d’application du droit d’accès
Le CEPD concède que l’étendue du droit d’accès peut être ponctuellement réduite par la formulation précise de la demande de la personne concernée, tout en spécifiant qu’une telle approche n’est valable qu’au cas par cas, moyennant le relevé d’un langage « explicite ». Si la demande est trop vague, le responsable de traitement doit demander plus de précisions. Néanmoins, il n’est pas relevé de son obligation de traiter les aspects vraisemblablement clairs de la demande d’accès réceptionnée.
L’information, quant à elle, doit être fournie de la manière la plus précise possible, en particulier lorsque les personnes sont soumises à des traitements dont les modalités diffèrent de l’information habituelle dispensée par la politique de confidentialité. Le responsable de traitement doit donc se préparer à fournir l’accès aux données, mais aussi à une information « claire », « pertinente », « accessible » et « concise » qui pourra le cas échéant être fournie à plusieurs niveaux.
Si une copie gratuite des données fait partie intégrante du droit d’accès, le CEPD accepte que des demandes redondantes, identiques aux précédentes et regroupées dans le temps puissent faire l’objet de frais administratifs.
Le CEPD précise les conditions applicables à certaines demandes spécifiques
Lorsqu’il existe un doute quant à l’identité de la personne ou au regard de son lien avec les données auxquelles elle demande à avoir accès, le CEPD confirme qu’il est possible de demander davantage de précisions, en particuliers lorsque les droits de tiers seraient en jeux où lorsque des données sensibles sont concernées. Les informations supplémentaires exigées ne doivent alors pas être disproportionnées au regard de la finalité de vérification de ce nouveau traitement ni contraire au droit national. Une pièce d’identité pourra très rarement être exigée. Une authentification double (par SMS par exemple), est susceptible de suffire dans la grande majorité des cas.
Les modalités d’accès « appropriées » aux données des personnes concernées
Elles doivent tenir compte des types de données et de leur quantité, des impératifs de sécurité, des publics concernés (par exemple personnes en situation de handicap ou mineurs). L’information la plus essentielle doit être présentée de façon claire et prioritaire, le CEPD rappelant ainsi qu’une disposition adéquate des données ainsi que des explications requises est tout aussi importante pour garantir l’effectivité du droit d’accès. Le Comité rappelle également que si le droit d’accès vaut pour les données « personnelles » au sens du règlement, il ne vaudra que rarement pour les documents qui les contiennent en eux-mêmes.
Un tel accès doit être donné, sous un format qui facilite l’exercice par les personnes concernées, sous « un mois » et à compter de la « réception » de la demande. Ce délai ne pourra être suspendu que si le responsable de traitement cherche « promptement » à obtenir, de bonne foi, plus de précisions sur l’étendue de la demande.
Les restrictions applicables au droit d’accès
Le CEPD rappelle que les responsables de traitement doivent considérer la possibilité qu’une réglementation nationale peut limiter ponctuellement le droit d’accès exercé en vertu du RGPD. Il apporte d’importantes précisions sur les limites introduites par l’article12(5) du RGPD, en ce qui concerne les demandes « infondées » ou « excessives ». Il rappelle d’abord que les premières sont particulièrement difficiles à qualifier. Il s’agirait avant tout d’une demande portant sur des traitements n’ayant pas lieu ou des données non traitées, le responsable de traitement devant systématiquement vérifier ces aspects et en garder la trace. Quant aux demandes excessives, ce seront celles qui revêtiraient un caractère « répétitif » dans « même laps de temps », telles que celles qui seraient manifestement « malveillantes ».
Enfin, le responsable de traitement doit mettre en balance les intérêts de la personne émettant la demande avec ceux des tiers. A cet égard, le CEPD rappelle que « l’intérêt économique » seul du responsable de traitement n’est pas un « droit » ou une « liberté » au sens de l’article 15(4) du RGPD. L’analyse du risque, en matière de secret industriel, de propriété intellectuel, secret des correspondances ou même protection des données ne peut néanmoins pas obligatoirement aboutir à un refus pur et simple.