Le Règlement général pour la protection des données (ci-après « RGPD ») est porteur de droits pour les personnes concernées dont le droit d’accès est l’un des plus sollicité. Selon le texte, il correspond au droit, pour la personne concernée, d’obtenir du responsable du traitement la connaissance des données à caractère personnel qu’il a en sa possession et, communication de ces données.
Le droit d’accès joue un rôle essentiel dans l’ensemble des droits garantis par le RGPD puisqu’il permet à la personne de contrôler l’utilisation qui est faite de ses données personnelles par le responsable du traitement. Ainsi, il précède souvent l’exercice d’autres droits comme les demandes d’effacement, ou de rectification.
Le jeu du droit d’accès
Par principe, l’effectivité du droit d’accès devrait correspondre à l’accès (c’est-à-dire la connaissance) aux seules données à caractère personnel de la personne concernée. Mais la jurisprudence de la Cour de justice de l’Union Européenne (ci-après « CJUE ») indique que l’expression « toute information » de l’article 15 du RGPD doit être interprétée de manière large (C-434/16, Nowak).
Selon la Commission Nationale de l’informatique et des Libertés (ci-après « CNIL »), le droit d’accès contient : la finalité du traitement, l’origine des données, la catégorie de données collectées, l’identité des destinataires des données, la durée de conservation, l’existence des autres droits que la personne concernée est susceptible d’exercer, l’éventuelle existence d’une prise de décision automatisée et l’éventuel transfert des données vers un pays ou une organisation tierce.
Ce droit revient au droit de savoir quelles informations les organisations, administrations, organismes privés ou publics, sociétés commerciales détiennent sur les individus dans leurs fichiers et d’en avoir une copie.
Bien que la définition semble complète, la question du contenu réel du droit d’accès n’est pas encore bien tranchée, si bien que la CJUE a pu y revenir récemment s’agissant de deux questions distinctes.
Qui a accès aux données ?
Par principe, toute personne a le droit de connaître qui, quand et pourquoi ses données à caractère personnel ont été consultées. La CJUE a néanmoins apporté un tempérament à cette affirmation dans un arrêt du 22 juin dernier (C-579/21, Pankki S).
La question dans cet arrêt était de savoir si le droit d’accès comprenait le droit pour la personne concernée de connaître l’identité des destinataires de ses données personnelles, entendue de l’identité des personnes destinataires employées du responsable du traitement, et pas de l’identité du responsable du traitement en tant que tel.
La réponse est la suivante : une personne concernée ne peut pas valablement demander à recevoir une liste contenant les noms des employés du responsable du traitement quand la divulgation de ces informations serait de nature à compromettre leur cybersécurité.
Le droit d’accès de l’article 15 peut ainsi faire l’objet d’une restriction en vertu des droits et libertés d’autrui. C’est une question de mise en balance des intérêts en cause.
Par cette décision, la CJUE a décidé que toute personne avait le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées. Le RGPD s’applique aux traitements de données effectués après son entrée en vigueur, même si le traitement effectif des données a eu lieu avant. Mais le RGPD ne consacre pas pour autant le droit de connaître l’identité des employés ayant effectué ces opérations, à moins que cela ne soit nécessaire pour que la personne concernée puisse exercer effectivement ses droits au titre du RGPD (sans que cela ne porte une atteinte disproportionnée aux droits et libertés des employés).
Par cet arrêt, la Cour décide donc qu’il peut être nécessaire pour un responsable du traitement de révéler l’identité des personnes ayant traité les données à caractère personnel. Et qu’il sera en tout cas nécessaire et obligatoire de donner au minimum la date et la finalité du traitement des données concernées par la demande d’accès.
Il est important de noter que le droit d’accès RGPD ne s’applique pas dans tous les cas. Certaines exceptions peuvent le restreindre, par exemple lorsque la divulgation des données personnelles pourrait porter atteinte à la sécurité nationale, à la défense, à la sécurité publique, à la prévention, à l’enquête, à la détection ou à la répression d’infractions pénales, ou lorsque cela pourrait porter atteinte aux droits et libertés d’autrui.
Quelle forme doit prendre l’information résultant du droit d’accès ?
Dans cet autre arrêt rendu le 4 mai dernier (C-487/21 – Österreichische Datenschutzbehörde), la Cour de justice décide que les personnes concernées doivent recevoir une reproduction fidèle et intelligible de toutes leurs données à caractère personnel. Ainsi le droit d’accès exige la fourniture de copies d’extraits de documents, voire des documents entiers lorsque ces informations sont nécessaires à l’exercice d’autres droits. Un résumé des données traitées n’est donc pas acceptable. La personne concernée doit également recevoir le contexte dans lequel ses données ont été collectées afin d’être en mesure de comprendre le traitement.
Cet arrêt pose la question de savoir quand la fourniture des documents est jugée « essentielle » pour permettre à la personne concernée d’exercer d’autres droits (tels que le droit à l’effacement, à la rectification ou à l’opposition). La Cour ne tranche pas cette question mais il est sûr que cet arrêt va dans le sens d’un droit d’accès plus conséquent comprenant, a minima, une copie conforme d’extrait des données et une contextualisation intelligible de celles-ci.
Cet arrêt tend à mettre fin à la pratique courante consistant à fournir une masse de données incompréhensible à la personne concernée, notamment pour les traitements complexes, où les personnes obtiennent une liste du type de données collectées sans aucune explication ni aucune copie des supports.
Chloé PADAR
Master 2 Cyberjustice – Promotion 2022/2023
Liens utiles:
https://www.cnil.fr/fr/le-droit-dacces-connaitre-les-donnees-quun-organisme-detient-sur-vous