📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 15 du RGPD : Droit d’accès de la personne concernée

Sommaire

Introduction 

L’un des droits fondamentaux consacrés par le RGPD  est le droit pour toute personne de savoir si ses données personnelles. sont traitées, et si oui, d’y accéder. L’article 15 du RGPD établit ce droit d’accès et définit les informations précises que le responsable du traitement doit fournir à la personne concernée. Son objectif est de donner de la transparence et de permettre à chacun de vérifier l’usage qui est fait de ses données, afin d’exercer un meilleur contrôle sur celles-ci.

Schéma article 15 du RGPD : droit d'accès

Explication de l’article

Le RGPD prévoit un droit d’accès pour la personne concernée par le traitement de ses données personnelles. 

Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle (article 4 RGPD). 

Rappelons également qu’un responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle. 

Il est indiqué la personne concernée a le droit d’obtenir de la part du responsable de traitement les informations suivantes :

  • Si ses données sont traitées.
  • Pour quelle finalité.
  • Quelle catégorie de données.
  • Les destinataires de ces données ou les catégories de destinataires.
  • La durée de conservation des données ou les critères permettant de déterminer cette durée.
  • L’existence du droit de demander la suppression, la rectification, l’opposition ou la limitation du traitement des données.
  • Le droit de faire une réclamation à une autorité de contrôle.
  • Les informations disponibles relatives à la source.
  • L’existence d’une prise de décision automatisée.
  • Le transfert de ces données à l’étranger.

La personne concernée peut également obtenir, sur demande, une copie de ses données.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.
Échanger avec un expert RGPD

Texte original du RGPD

  1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:a) les finalités du traitement;b) les catégories de données à caractère personnel concernées;c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;

    f) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

    g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

    h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

  2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
  3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
  4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 12

1.Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1;

b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 49

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le droit d’accès de la personne concernée s’exerce dans les conditions prévues à l’article 15 du règlement (UE) 2016/679 du 27 avril 2016.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Les dispositions du premier alinéa ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée et à la protection des données des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de réalisation de recherche scientifique ou historique.

Analyse des 3 textes qui précèdent

Le RGPD ne révolutionne pas le droit d’accès aux données personnelles, mais clarifie et précise des éléments déjà présents dans la Directive 95/46/CE. Il maintient le principe selon lequel la personne concernée a le droit d’obtenir la confirmation que ses données font l’objet d’un traitement et, le cas échéant, d’y accéder.

Le RGPD introduit toutefois des exigences d’information spécifiques plus détaillées : la personne doit être informée de la durée de conservation des données, de ses droits à la rectification et à l’effacement, de son droit de porter plainte auprès d’une autorité de contrôle, ou encore des garanties appliquées en cas de transfert des données vers des pays tiers. L’information doit inclure l’existence éventuelle d’une prise de décision automatisée incluant du profilage.

Le droit à obtenir une copie des données est expressément prévu et doit être gratuite pour la première copie, alors que des frais peuvent être facturés pour les copies multiples. La fourniture de l’information par voie électronique est encouragée, surtout lorsque la demande est émise par ce moyen.

Enfin, en l’article 15, paragraphe 4, le RGPD prévoit que le droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui, ce qui introduit une nouvelle limite balancée du droit, qui n’était pas explicitement posée dans la Directive.

L’article 12 de la Directive95/46/CE accordait déjà un droit large d’accès aux personnes concernées. Il s’agissait du fondement du droit d’accès européen avant le RGPD.

La loi Informatique et Libertés reprend largement les dispositions de la Directive. La personne peut demander confirmation et accès aux données, avec informations sur la finalité, les destinataires, la logique de traitement automatisé, mais aussi obtenir une copie (avec possibilité de frais, limités aux coûts de reproduction).

Le droit français prévoit l’autorisation pour le responsable de refuser les demandes répétées ou manifestement abusives, sous sa responsabilité d’en démontrer le caractère. Enfin, un droit d’accès indirect existe via la CNIL, notamment pour les traitements touchant la sécurité publique, la défense, ou exercés par les administrations publiques.

Pour la plupart des responsables qui respectaient déjà la Directive et la LIL, le RGPD ne modifie pas fondamentalement la procédure d’accès mais la complète avec des obligations d’information plus détaillées et une exigence de gratuité plus marquée.

La nouvelle limite du droit d’accès liée à la protection des droits et libertés d’autrui soulève des incertitudes pratiques : elle est formulée avec une portée très large et pourrait dans certains cas prévaloir trop largement, au détriment du droit d’accès lui-même. Cette clause nécessite donc une interprétation prudente afin de garantir un équilibre.

Le RGPD ne doit pas être une source de stress. Un DPO externe peut vous accompagner sereinement.

Jurisprudences 

Sanction : Amende de 1 000 000€ pour Total Energies. On retrouve la sanction de la CNIL à l’encontre de TOTAL ENERGIES rendue le 23 juin 2022 condamnant Total à une amende 1 000 000€. La CNIL relève que le géant ne permettait pas aux personnes concernées d’user de leur droit d’accès à leurs données (Délibération SAN-2022-011 du 23 juin 2022 – Légifrance)

Sanction : Amende de 300 000€ pour Free : Le 28 décembre 2021, FREE fut condamné à une amende de 300 000€ par la CNIL. Il est reproché à la société de ne pas avoir respecté le droit des personnes concernées, en ignorant notamment les demandes de droit d’accès évoquées par celles-ci dans un délai raisonnable (Délibération SAN-2021-021 du 28 décembre 2021 – Légifrance ).

Sanction : Amende de 2 250 000€ pour Carrefour France. Plusieurs raisons sont évoquées, mais on retrouve notamment le non-respect des obligations énoncées à l’article 15. En effet, Carrefour n’a pas su informer les personnes concernées des sources de la collecte de leurs données, ce qui constitue une violation aux informations devant être mentionnées à la personne concernée, comme indiqué ci-dessus (Délibération du 18 novembre 2020 – Légifrance)

Sanction : amende de 600 mille euros pour le groupe canal+ : La CNIL a sanctionné le groupe notamment pour ne pas avoir répondu correctement et dans les délais aux demandes d’accès formulées par les personnes concernées, ce qui constitue une violation directe de l’article 15 RGPD (Délibération SAN-2023-015 du 12 octobre 2023)

Sanction : amende de 300 mille euros pour le groupe Free SAS: La CNIL a sanctionné Free SAS pour plusieurs manquements, notamment à l’article 15 RGPD concernant le droit d’accès des personnes. En effet, Free n’a pas respecté les demandes d’accès des utilisateurs à leurs données personnelles, entraînant des difficultés pour les personnes à exercer pleinement ce droit.

Recommandations 

CEPD

Lignes directrices sur les droits des personnes concernées — Droit d’accès – 01/2022 (28 mars 2023) 

Rapport CEPD sur les défis de la mise en œuvre du droit d’accès (2024) :

CNIL 

Fiche explicative et guide sur le droit d’accès aux données personnelles

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.