EDPB RGPD Article 15

Written By Fahad Rejabo

Le Conseil européen de la protection des données (EDPB), qui est composé de représentants de toutes les autorités réglementaires nationales de l'UE, a publié ses propositions de lignes directrices sur le droit d'accès conformément à l'article 15 du RGPD.

Le droit d'accès est un droit pour la personne concernée (la personne dont les données à caractère personnel sont traitées par quelqu'un) de prendre connaissance du traitement qui a lieu, de ses finalités et d'avoir accès aux données à caractère personnel.

En substance, les extraits de registre (le droit d'accès) comprennent les éléments suivants :

  • Confirmation que les données à caractère personnel concernant la personne concernée sont traitées ou non

  • Accès à ces données personnelles

  • Accès aux informations relatives au traitement, telles que la finalité du traitement, les catégories de données personnelles traitées, la durée prévue du traitement des données, etc.

Si quelqu'un avait espéré que les lignes directrices de l'EDPB limiteraient de quelque manière que ce soit les possibilités d'accès, il l'a fait en vain, car les lignes directrices indiquent clairement que le droit d'accès a une portée incroyable.

Certains aspects particulièrement intéressants qui sont clarifiés dans la ligne directrice sont les suivants :

  • Il n'existe aucune restriction d'accès fondée sur la charge pesant sur la personne chargée d'obtenir l'information. Un responsable de traitement de données à caractère personnel ne peut donc jamais prétendre que le traitement d'une demande d'extrait du registre consommerait trop de ressources ou entraînerait un coût excessif.

  • Il n'y a pas de limite quant à la quantité d'informations à rechercher. Il est de la responsabilité du gestionnaire d'avoir un contrôle sur ses informations. Lors d'une demande d'extrait de registre, le gestionnaire doit donc également parcourir toutes les ressources d'information disponibles pour trouver toute donnée personnelle concernant la demande. Cela inclut les informations numériques et analogiques, ainsi que les informations saisies dans le support informatique actif, le support informatique discontinu et les sauvegardes. Cela s'applique aussi bien aux informations structurées adaptées à la recherche qu'aux informations qui ne sont saisies que dans un texte courant non structuré. En ce qui concerne le texte courant en particulier, il peut être intéressant de souligner que le complément suédois au RGPD, la loi sur la protection des données, contient en fait une restriction concernant le texte courant non structuré des autorités.

  • Le gestionnaire ne doit pas rendre difficile l'exercice de ce droit par la personne concernée. Il n'est donc pas acceptable que, par exemple, la personne concernée doive régulièrement envoyer une copie de la vérification d'identité par courrier traditionnel ou d'autres exigences similaires qui rendent difficile l'exercice de ce droit par la personne concernée (et qui, dans la plupart des cas, impliquent le traitement d'encore plus de données à caractère personnel que nécessaire). Dans la pratique, les responsables doivent généralement se garder d'imposer des "exigences" qui, dans la pratique, peuvent être perçues (et sont peut-être) des moyens de rendre plus difficile l'exercice du droit plutôt qu'autre chose.

  • Il convient toutefois d'ajouter que le gestionnaire des données personnelles est tenu de veiller à ce que les données personnelles ne soient pas divulguées à d'autres personnes que la personne concernée. La manière d'y parvenir doit toutefois être évaluée au cas par cas.

  • Le responsable du traitement ne doit divulguer que les données à caractère personnel qu'il peut effectivement rattacher à une personne déterminée. Cela signifie que si le responsable du traitement ne dispose d'aucune information permettant d'identifier une personne, il n'est pas tenu d'en divulguer. D'autre part, la ligne directrice indique que le responsable du traitement ne doit pas refuser de recevoir les informations qui permettent de résoudre ce problème, par exemple si la personne concernée fournit elle-même ces informations.

  • L'accès à l'information ne doit rien coûter à la personne concernée. En ce qui concerne les acteurs publics, ceux-ci ne peuvent donc pas facturer de frais pour la divulgation, comme c'est le cas, par exemple, pour les demandes de consultation de documents publics. Toutefois, il existe une exception en vertu de l'article 12, paragraphe 5, pour les demandes répétitives ou manifestement infondées de ce droit. Toutefois, l'EDPB souligne dans la ligne directrice que ces exceptions ne peuvent être appliquées que dans des cas extrêmement exceptionnels. Il n'y a pas vraiment d'exemples pratiques mentionnés de ce que l'on entend réellement par ce qui doit être considéré comme une demande manifestement infondée. En ce qui concerne les demandes répétitives, il est indiqué qu'il n'est pas possible de mentionner une période spécifique pendant laquelle une demande doit toujours être considérée comme répétitive, car cela dépend des activités de la personne et de l'ampleur des changements intervenus dans le traitement des données à caractère personnel pendant cette période. Il est toutefois précisé qu'une période d'un an ne peut jamais être considérée comme une demande répétitive (ce qui est intéressant compte tenu du fait que, selon l'ancienne loi sur les données à caractère personnel, une personne enregistrée n'avait le droit de demander un extrait du registre qu'une fois par an).

Les lignes directrices ne sont pas encore définitives mais publiées par l'EDPB pour commentaires.

Lien : https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf

Si vous souhaitez en savoir plus sur les droits des personnes concernées ou si vous avez d'autres questions concernant le RGPD ou la sécurité des informations, n'hésitez pas à nous contacter.

Fahad Rejabo
Previous

Ragnar Locker
Next

Attaques de la Supply Chain