Comment répondre à une demande de droit d’accès aux données personnelles d’un citoyen ?

Toute personne physique justifiant de son identité peut exercer son droit d’accès par simple la demande au un responsable de traitement d’un organisme privé ou public d’accéder aux données qui la concernent (article 12 du Règlement européen sur la protection des données personnelles). Une personne peut demander à son employeur l’accès à son dossier personnel, à son médecin l’accès à son dossier médical, à une administration l’accès à son dossier. Elle peut également demander à être informé de l’origine de ses données et en demander une copie.

Au moment de la collecte des données, vous êtes dans l’obligation d’indiquer aux utilisateurs le service auprès duquel ils pourront exercer leur droit d’accès.

Il est dont indispensable de mettre en place des procédures efficaces au sein de votre entreprise afin de répondre facilement aux demandes de droits d’accès et ainsi respecter le délai légal de réponse d’un mois.

Droit d’accès aux données personnelles : Qui peut l’exercer ?

Droit d'accès et RGPD - Répondre aux demandes de droit d'accès aux données personnelles
RGPD – Répondre aux demandes de droit d’accès aux données personnelles

Toute personne désirant accéder aux données personnelles que vous détenez sur elle.
C’est à elle de vous solliciter.

Elle peut mandater une tiers personne de son choix pour exercer son droit d’accès.
Dans ce cas, cette tiers personne doit présenter un écrit décrivant l’objet du mandat (exercice du droit d’accès), l’identité du mandant (identité du demandeur qui exerce son droit d’accès à ses données à caractère personnel) et du mandataire (son identité).

Pour les mineurs et les majeurs sous tutelle, ce sont, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche.

Droit d’accès aux données personnelles : Quelles sont les limites ?

Droit d'accès et RGPD - les limites du droit d'accèsLe droit d’accès se limite aux droits de l’individu demandeur dans le respect du droit des tiers.
Il est impossible pour un citoyen européen de demander l’accès aux données personnelles de son conjoint ou de son collègue de travail sans en être mandaté par celui ci.

Droit d’accès aux données personnelles : Quel est le délai pour répondre à une demande ?

Avant le 25 Mai 2018 : 

Vous avez 2 mois maximum pour répondre à une demande de droit d’accès.

Après le 25 Mai 2018 (date d’entrée en application du RGPD) :

Vous n’aurez plus qu’un mois maximum pour répondre à une demande de droit d’accès à compter de la réception de la demande (article 12.3 du RGPD).
Cependant, vous aurez la possibilité de prolonger de délai un mois supplémentaire en fonction de la complexité et du nombre de demande à condition d’informer la personne concernée dans le mois qui suit sa demande de droit d’accès. (article 12.3 du RGPD).

A noter : En ce qui concerne les dossiers médicaux, les délais sont différents. La communication du dossier médical doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne –  dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois (article L.1111-7 du code de la santé publique).

Droit d’accès aux données personnelles : qui prend en charge les frais de reproduction ?

Droit d'accès et RGPD - coût de la demande de droit d'accès
RGPD et Droit d’accès – coût de la demande de droit d’accès

Avant le 25 Mai 2018 :

Vous avez la possibilité d’exiger du demandeur une participation financière à l’édition des documents demandés. Cependant, cette participation ne peut être supérieur au coût réel de la reproduction des documents et ne doit pas être une entrave à l’exercice du droit d’accès.

Après le 25 Mai 2018 (date d’entrée en application du RGPD) :

Le RGPD exige que la fourniture des reproduction de documents, dans le cadre d’une demande de droit d’accès, soit gratuite (article 12.5 du RGPD).

Cependant, si la demande est excessivement récurrente, infondée ou manifestement destinée à abuser de ce droit d’accès, vous êtes en droits d’exiger le paiement de « frais raisonnables » en fonction des coûts administratifs supportés pour éditer ces documents. Il vous sera demandé de prouver les raisons pour lesquelles vous déciderez de demander cette participation financière.

Droit d’accès aux données personnelles : Quelles sont les modalités de la communication des données ?

Le citoyen peut effectuer sa demande sur place ou par écrit.

Dans le cas où la demande est effectuée sur place et que vous ne pouvez pas y répondre immédiatement, vous êtes dans l’obligation de remettre au demandeur un avis de réception daté et signé.

Dans le cas où la demande est effectuée par écrit et qu’ils vous manque des informations pour mener à bien vos obligations, vous devez en informer le demandeur par voie postale ou électronique, ce qui suspens le délai légale jusqu’à la réponse du demandeur.

Droit d'accès - privilégiez une clef USB cryptée pour communiquer les données personnelles
RGPD – Droit d’accès – privilégiez une clef USB cryptée pour communiquer les données personnelles

le RGPD précise que si la demande est faite par voie électronique, la réponse sera faite par les mêmes moyens à moins que le demandeur ne précise qu’elle soit faite autrement. (article 12.3 du RGPD)

Si la réponse contenant les données à caractère personnel du demandeur est faite par voie postale, privilégiez le courrier recommandé avec accusé de réception afin d’éviter toutes pertes.

Si vous choisissez de répondre au demandeur à l’aide d’un support de stockage nomade (Clé USB, disque dur…), privilégiez la remise en main propre.

Si vous choisissez de lui envoyer par courrier, vous êtes responsable de ses données jusqu’à l’arrivée du pli entre les mains du demandeur.
Il est donc nécessaire de protéger les données contenues sur le support nomade, surtout si elles sont sensibles, en utilisant des clé USB cryptées par exemple.

Si vous n’avez pas les compétences techniques pour communiquer les données au demandeurs, le RGPD prévoit que vous pouvez vous faire aider par votre sous-traitant chargé par vos soins des traitements. (article 28 du RGPD).

Par exemple : un employeur qui sous-traite la géolocalisation de ses véhicules, peu solliciter le fournisseur de ces dispositifs pour fournir aux employés qui en font la demande, les données de géolocalisation sous forme compréhensible et accessible par le salarié.

Droit d’accès aux données personnelles : Avez vous le droit de refuser de communiquer les données ?

Vous êtes dans l’obligation de répondre aux demandes de droit d’accès sauf dans les cas suivant :

  • Si ces demandes sont objectivement abusives par leurs nombre, leurs répétitions ou leur caractère systématique.
    Par exemple, si un citoyen exerce son droit d’accès à de multiples reprises très rapprochées dans le temps et qu’elles demandent toujours le même document qui a déjà été fourni.
    Attention : une deuxième demande de la part de la même personne ne doit pas être considérée comme abusive. Il faut bien étudier et apprécier le délai entre les deux demandes.
  • Si les données personnelles demandées par le droit d’accès ne sont pas conservées pour des raison techniques. 
  • Si la demande intervient après le délai légal de conservation des données personnelles.

Dans ces deux derniers cas, il est impossible de fournir les données demandées.

Exemple : Les dispositifs de vidéosurveillance dont le délai légal de conservation est de trente jours.

Attention, vous êtes toutefois dans l’obligation de répondre négativement à la demande de droit d’accès en y expliquant les raisons.

A voir aussi :