Article 15 du RGPD : Droit d’accès de la personne concernée

Article 15 du RGPD

1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:a) les finalités du traitement;b) les catégories de données à caractère personnel concernées;c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement; f) le droit d’introduire une réclamation auprès d’une autorité de contrôle; g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source; h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

Jurisprudence

Plusieurs décisions de la CNIL évoquent cet article :

Sanction : Amende de 1 000 000€ pour Total Energies

On retrouve la sanction de la CNIL à l’encontre de TOTAL ENERGIES rendue le 23 juin 2022 condamnant Total à une amende 1 000 000€. La CNIL relève que le géant ne permettait pas aux personnes concernées d’user de leur droit d’accès à leurs données (Délibération SAN-2022-011 du 23 juin 2022 – Légifrance)

Amende de 300 000€ pour Free

Le 28 décembre 2021, FREE fut condamné à une amende de 300 000€ par la CNIL. Il est reproché à la société de ne pas avoir respecté le droit des personnes concernées, en ignorant notamment les demandes de droit d’accès évoquées par celles-ci dans un délai raisonnable (Délibération SAN-2021-021 du 28 décembre 2021 – Légifrance ).

Amende de 2 250 000€ pour Carrefour France

CARREFOUR FRANCE écope d’une amende de 2 250 000€ d’amende par la CNIL. Plusieurs raisons sont évoquées, mais on retrouve notamment le non-respect des obligations énoncées à l’article 15. En effet, Carrefour n’a pas su informer les personnes concernées des sources de la collecte de leurs données, ce qui constitue une violation aux informations devant être mentionnées à la personne concernée, comme indiqué ci-dessus (Délibération du 18 novembre 2020 – Légifrance)