Sélectionner une page


« J’ai reçu 200 demandes d’accès le mois dernier… », 

 « Moi, je connais un DPO qui en a reçu 400 ! »,

« Une salariée, objet d’une procédure disciplinaire, m’a demandé l’accès à TOUTES les données personnelles que l’entreprise détenait sur elle !! ».

Deux conférences le mois dernier : par deux fois, les mêmes inquiétudes sont exprimées par les DPO et DRH présents.  Faut-il désormais redouter l’exercice du droit d’accès ?

Le droit d’accès d’une personne à ses données personnelles, détenues par le responsable d’un traitement,  n’est pas nouveau :  il existe en France depuis 40 ans ! Le RGPD n’a rien changé sur ce plan, mais force est de constater que le message de renforcement des droits de la personne concernée par le RGPD est bien passé. Ses effets, eux, sont assez inattendus : exercice de nouveaux droits ? Pas seulement : c’est bien le droit d’accès d’une personne concernée à ses données personnelles qui connaît une nouvelle jeunesse !

Alors faut-il avoir peur de la multiplication des demandes d’accès, de leur portée, de leurs excès ?

Pas vraiment : s’ils ne sont pas toujours aisés à mettre en œuvre, des garde-fous à l’exercice du droit d’accès ont été prévus par le RGPD, la loi ou la jurisprudence et permettent d’encadrer ce droit utilement.

Tout d’abord, le responsable du traitement dispose d’un peu de temps pour répondre à la demande d’accès : il doit répondre « dans les meilleurs délais », au plus tard  1 mois à compter de la réception de la demande d’accès (entre 48 h et 8 jours pour les données de santé de moins de 5 ans, 2 mois au delà).

Ce délai peut même être porté à 3 mois en raison de la complexité de la demande ou du volume des demandes, à condition pour le destinataire de la demande, d’en informer – de manière motivée – la personne à l’origine de la demande dans le délai initial. 

Dans ce même délai initial, le responsable du traitement pourra même demander à l’auteur de la demande des informations complémentaires si la demande est imprécise et ne comporte pas les éléments permettant d’y répondre. Ces échanges peuvent permettre de restreindre efficacement  le périmètre de la demande. De l’aveu de certains DPO, cette étape est un premier filtre qui permet d’écarter les demandes excessives.

Ensuite, la personne ne dispose, au titre du RGPD, que d’un droit d’accès… à des « données à caractère personnel » et non pas à  tous documents (détenus par son employeur par exemple) , et ce, même s’ils peuvent comporter son nom en particulier.

Plus précisément,  l’auteur d’une demande n’est autorisée à accéder qu’aux données à caractère personnel « la concernant » : l’exercice du droit d’accès par une personne ne saurait en effet porter atteinte aux droits des tiers (ex : droit au respect de la vie privée), au secret professionnel ou des affaires ou même à la propriété intellectuelle…

De manière plus radicale, il sera même possible, pour le responsable de traitement, de ne pas donner suite à une demande d’accès qu’il estimera infondée ou excessive à condition d’en apporter la preuve.

Des garde-fous à l’exercice immodéré du droit d’accès existent donc. Toutefois, la qualification de données à caractère personnel, la revue de droit des tiers, de l’existence de secrets, l’appréciation du périmètre de droits de propriété intellectuelle, voire du caractère infondé ou excessif d’une demande peuvent constituer un exercice délicat pour le DPO non-juriste.

Olivier Soulaire

Avocat  RGPD, ePrivacy & Data.

osoulaire@soulairelegal.com

www.soulairelegal.com