Actualités

Prendre un RDV
Ces notes d’actualité ont été réalisées sur la base de la jurisprudence existante et des textes législatifs et règlementaires en vigueur au moment de leur mise en ligne. Elles ne constituent nullement un conseil personnalisé et n’ont pas pour vocation à se substituer à une consultation individualisée. A ce titre elles ne sauraient, en aucun cas, entrainer la responsabilité du cabinet.




De quelle manière les entreprises doivent-elles gérer les demandes de droit d'accès aux données personnelles ?

Jeudi 30 Août 2018

Qu'est-ce que le droit d'accès ?

Il s'agit du droit, pour toute personne physique, de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur elle dans leurs fichiers.

En ce sens, l'article 15 du Règlement Général de la Protection des Données confère à toute personne le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont traitées et, lorsqu'elles le sont, l'accès auxdites données. Les dispositions sont reprises dans la Loi Informatique et Libertés à l'article 39.

Ainsi, avant tout traitement de données, chaque entreprise devra informer la personne concernée des droits dont elle dispose sur ses données et notamment sur son droit d'accès. Elle devra mettre à la disposition des intéressés les moyens d'exercer leur droit d'accès (formulaire, adresse mail etc.). 

Une procédure de traitement des demandes de droit d'accès devra être mise en place dans chaque entité traitant des données personnelles de manière à ce que chaque demande soit traitée rapidement et efficacement. De même, des modalités de réponse claire et simple devront être établies.

 

Qui peut en faire la demande ?

La seule condition exigée par la loi est que la personne justifie de son identité. La preuve de l'identité se fait notamment par la production d'un titre d'identité.  

Toutefois, la personne concernée a la possibilité de donner mandat à une tierce personne pour exercer son droit d'accès.

En ce qui concerne les mineurs et les incapables majeurs, la demande devra être effectuée par la personne exerçant l'autorité parentale ou le tuteur.

Attention : ce droit d'accès ne peut porter atteinte au respect des tiers. En ce sens, il ne sera pas possible de demander la communication de données concernant son conjoint, ou encore des données relatives à un autre salarié dans l'entreprise.

De la même manière, le droit d'accès doit être exercé dans le respect du secret des affaires et de la propriété intellectuelle.

 

Dans quels délais les entreprises doivent elles y répondre ?

Le responsable de traitement doit répondre aux demandes dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de chaque demande. Au besoin, ce délai peut être prolongé de deux mois, du fait de la complexité et du nombre de demandes. Le responsable du traitement doit alors informer la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. 

S'agissant des données relatives à la santé, considérées comme sensibles, les délais de communication sont compris entre 48 heures et 8 jours à compter de la réception de la demande. Cependant, le délai est fixé à 2 mois pour les informations de santé datant de plus de 5 ans. 

 

Sous quelle forme les données doivent-elles être communiquées ?

Tout d'abord, la demande peut s'effectuer soit par écrit soit directement dans les locaux du responsable de traitement.

Ainsi, lorsque la demande est exprimée sur place, la copie des données doit être fournie sous forme papier à moins que la personne concernée n'en demande une délivrance sous une autre forme.

Les copies fournies dans le cadre du droit d'accès sont gratuites en vertu d'un principe de gratuité prévu par les textes. Toutefois, il est possible d'exiger des frais raisonnables basés sur les coûts administratifs en cas de copies supplémentaires ou de demande excessive.

Dès lors qu'il n'est pas possible de fournir les données immédiatement, la personne ayant demander cette communication doit se voir remettre un avis de réception daté et signé.

Lorsque la demande est exprimée par voie électronique, les informations demandées seront elles aussi communiquées sous forme électronique. Il est donc important de veiller à utiliser un service mail sécurisé.

Lorsque la demande est écrite et que les données sont transmises par voie postale, l'usage d'un courrier avec accusé de réception est bien sûr recommandé.

Enfin, si les données sont transmises par clé USB, cette dernière doit être remise en main propres ou envoyée par courrier avec accusé de réception.

Peu importe la manière choisie pour transférer les données demandées par la personne exerçant son droit d'accès, le responsable de traitement devra veiller à sa sécurisation de manière à ce qu'aucune autre personne ne puisse y avoir accès.

A noter : lorsque le responsable a recours à un sous-traitant, ce dernier se doit de fournir les informations réclamées par le responsable de traitement dans le cadre du droit d'accès.

 

Peut-on refuser une demande de droit d'accès ?

Il existe deux situations dans lesquelles le responsable de traitement peut opposer un refus à une demande de droit d'accès :

-          - La demande est infondée ou excessive : il s'agit notamment des demandes répétitives, il faut donc prendre en compte le temps écoulé entre deux demandes.

-          - Les données demandées ne sont plus en possession du responsable de traitement, elles ont été supprimées.

La décision de refus doit être justifiée et le demandeur doit être informé des voies de recours qui lui sont offertes.


N'hésitez pas à nous solliciter en cas de questions complémentaires sur ce thème.