Le droit d’accès aux données est renforcé par le RGPD. Il permet la consultation par toute personne des données que vous détenez sur lui. Voici quelques conseils pour être en règle vis-à-vis du RGPD.
1. Pour garder la maîtrise sur leurs données, les citoyens disposent de nombreux droits
Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant. Concrètement, la procédure doit être expliquée aux personnes pour qu’elles puissent aisément déterminer quand, comment, où et qui joindre en cas d’exercice des droits.
Le RGPD reprend toutes les mentions obligatoires concernant le droit à l’information des personnes (l’identité du responsable du fichier ; la finalité du fichier ; le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponses ; les destinataires des données ; leurs droits – droit d’accès, de rectification, et d’opposition – ; les éventuels transferts de données vers des pays hors UE).
Pour être en conformité avec le RGPD, vous devez respecter ces mentions obligatoires.
2. Sur quelles données porte le droit d’accès ?
Le droit d’accès concerne l’ensemble des données personnelles qui visent des personnes identifiables, peu importe les supports (audio, enregistrement, vidéo…). Toutefois, certains fichiers ne peuvent pas être transmis.
C’est le cas lorsqu’ils portent atteinte aux droits des tiers. Par exemple, un salarié d’une entreprise n’a pas un droit d’accès sur les données d’un autre salarié.
C’est également le cas en raison de la nature du fichier : secret professionnel, secret de l’instruction en matière judiciaire ou en matière de ressources humaines.
Une personne est en droit de demander :
• L’accès à toutes les informations la concernant ;
• D’en connaître la source ;
• Les informations sur lesquelles le responsable du fichier s’est appuyé pour prendre une décision la concernant (par exemple, les éléments qui auraient servi pour ne pas accorder une promotion ou le score attribué par une banque et qui a conduit au rejet d’une demande de crédit) ;
• En obtenir un exemplaire ;
3. Que permet ce droit d’accès ?
Mis à part son simple droit à l’information, le droit d’accès aux données obtenues permet surtout à la personne concernée d’exercer son droit de rectification. Afin que ses données soient complétées, mises à jour, rectifiées ou supprimées. Pour tenir compte d’un changement sensible cas de rectification, une nouvelle décision portant sur le même objet devrait être prise en associant la personne concernée.
La personne concernée peut complémentairement ou alternativement, si elle a des motifs légitimes, exercer son droit d’opposition au traitement de ses données. Ce droit permet de pouvoir s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins de sollicitations. Cependant le droit d’opposition n’a pas d’efficacité lors que le traitement est réalisé dans le cadre d’une obligation légale (par exemple, les fichiers des impôts).
4. Qui pourrait demander l’accès aux données de mon fichier ?
La personne concernée : le droit d’accès est personnel. Les personnes concernées n’ont pas à justifier de leurs intérêts pour la demande. Toutefois, vous devez leur demander de vous fournir la preuve de leurs identités, notamment par la copie d’une pièce d’identité afin d’éviter de voir votre responsabilité mise en jeu.
Une autre personne : un organisme mandataire représentant la personne concernée pourrait vous demander d’exercer l’accès aux informations la concernant.
Limite : Vous pouvez ne pas répondre à la personne ou son représentant si les demandes sont manifestement abusives notamment par leur nombre, leur caractère répétitif ou systématique (par exemple, demande tout les trois jours d’une copie). La preuve du caractère abusif est extrêmement difficile à apporter, et il vaut mieux répondre aux demandes, sauf abus flagrant.
5. Quelle procédure d’accès devez-vous mettre en place?
Il est obligatoire de mettre en place deux procédures d’exercice du droit d’accès.
La première procédure doit autoriser les requêtes électroniques. La réponse se fera dans un fichier accessible, tant au niveau de son format que de son contenu. Vous devez par exemple expliquer les sigles et joindre le fichier dans un format universel type PDF.
La seconde procédure écrite, plus traditionnelle se fait à la demande de la personne concernée. Elle s’opère avec un échange traditionnel de courriers, que l’on recommande en A/R.
Des frais d’accès à l’information ne peuvent pas être demandés. Toutefois, des frais raisonnables de traitement, notamment administratif et postaux peuvent être envisagés.
6. La réponse
La réponse doit être apportée dans les plus brefs délais. C’est-à-dire, un délai raisonnable. Un mois semble être la limite à ne pas dépasser. Mais les autorités font parfois preuve de souplesse lorsque la demande est particulièrement complexe. Il faut tout de même accuser réception de la demande. Qui plus est il faut informer la personne sur les raisons de la lenteur de la procédure dans le délai d’un mois.
Il est possible de demander des informations complémentaires pour traiter au mieux la demande. Cette possibilité ne doit pas se transformer en technique faisant obstacle à l’exercice du droit de la personne concernée. Auquel cas l’on pourrait s’exposer à des sanctions.
7. Bien se préparer pour éviter les sanctions
Des bons réflexes sont à mettre en place pour toute application du règlement général sur la protection des données (RGPD). Spécialement pour le droit d’accès, il est recommandé :
• D’effectuer un audit de vos traitements de données ;
• Faire preuve de transparence auprès des autorités des personnes concernées et des autorités de contrôle ;
• De conserver les traces écrites de tout échange et de s’en constituer preuve afin de réduire le risque contentieux. Vous pouvez utiliser des procédures de constat en ligne comme EasyConstat.
En cas de réponse incomplète, illisible ou de non-réponse de votre part, la personne concernée pourra contacter les autorités de contrôle. Elle exigera l’exercice de ses droits. Les faits sont susceptibles de constituer des infractions pénales, renforcées par le RGPD. Il convient donc d’être vigilant en respectant les délais.