Professionnels : comment répondre à une demande de droit d’accès ?
13 juin 2017
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes.
La loi Informatique et Libertés permet à toute personne d’accéder aux données qui la concernent. Ce droit est renforcé par le règlement général sur la protection des données (RGPD) qui est entré en application en mai 2018.
Une personne peut exercer son droit d’accès :
- auprès d’une société dont elle est cliente, par exemple pour avoir la copie de son dossier client ou d’une conversation téléphonique avec le service clients qui a été enregistrée ;
- auprès de son employeur pour accéder aux données de son dossier administratif ;
- auprès de son médecin pour obtenir une copie des données de son dossier médical ;
- auprès d’une administration pour obtenir la confirmation que des données la concernant sont traitées.
En résumé : comment répondre à une demande en 4 étapes ?
Quelles sont les obligations du responsable de traitement ?
Qui peut exercer cette demande ?
Quels justificatifs d’identité demander ?
Quels sont les délais pour répondre à une demande ?
Est-il possible de demander des frais de reproduction ?
De quelle manière les données peuvent-elles être communiquées ?
Quelles informations devez-vous fournir ?
Que faire si les données sont détenues par un sous-traitant ?
Titre : Répondre à une demande de droit d'accès
Toute personne peut obtenir des informations la concernant, de manière claire :
- Quelles données collectées ?
- Quelles durées de conservation ?
- Quels destinataires ?
- Etc.
Et une copie de ses données, quel que soit leur support de conservation.
- Si nécessaire, vérifiez qui est le demandeur (exemple : facture indiquant le numéro client. En cas de doute, carte d'identité).
- Si nécessaire, demandez si la demande concerne : des données spécifiques ; toutes les données de la personne.
- Vérifiez que la demande ne concerne pas un tiers (exemple : conjoint, collègue, secret des affaires, propriété intellectuelle).
- Répondez à la demande : Un mois maximum pour une demande simple ; 8 jours maximum concernant des données de santé ; 3 mois maximum pour une demande complexe (par exemple : beaucoup de données). Vous pouvez refuser si : la demande est infondée ou excessive ; les données ont été effacées. Dans tous les cas, informez la personne sous un mois maximum.
Droit d'accès : la jurisprudence
Plusieurs juridictions peuvent rendre des décisions qui permettent de préciser un point de droit relatif au droit d’accès : l’ensemble de ces décisions constitue la jurisprudence.
Les textes de référence
- Article 15 du RGPD (droit d'accès)
- Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées)
- Article 14 du RGPD (informations à fournir lorsque des données personnelles ne sont pas collectées)
- Article 12.3 du RGPD (transparence des informations et des communications et modalités de l'exercice des droits)
- article L.1111-7 du Code de la santé publique
- Décision de la Cour de justice de l’Union européenne (CJUE) du 12 janvier 2023
- Décision de la CJUE du 4 mai 2023