Concrètement, cela signifie que toute personne peut, en vertu de l’article 15, demander à une organisation si elle traite ou non des données personnelles la concernant. Et si c’est le cas, la personne peut exiger d’avoir accès à l’ensemble de ces données. Mais l’article 15 va plus loin en imposant également au responsable du traitement de fournir toute une série d’informations sur les caractéristiques et modalités du traitement réalisé.
1. Les obligations imposées par l’article 15 et le droit d’accès
Les principales obligations de l’article 15 sont donc :
-
Confirmer si des données personnelles sont traitées ou non Le responsable de traitement doit indiquer à la personne qui en fait la demande s’il traite ou non des données personnelles la concernant. Il ne peut pas rester évasif.
-
Donner accès aux données personnelles Si des données sont traitées, la personne doit pouvoir y accéder intégralement. Le responsable de traitement doit lui fournir une copie des données, par voie électronique dans un format courant si la demande a été faite par ce biais. Des frais raisonnables peuvent être facturés pour toute copie supplémentaire.
-
Fournir des informations détaillées sur le traitement En plus des données elles-mêmes, le responsable doit communiquer un certain nombre d’informations clés :
- Les finalités du traitement
- Les catégories de données traitées
- Les destinataires des données (en particulier hors UE)
- La durée de conservation prévue
- L’existence des droits (rectification, effacement, limitation, opposition)
- Le droit de porter plainte auprès de la CNIL
- La source des données (si non collectées auprès de la personne)
- L’existence d’une prise de décision automatisée et sa logique sous-jacente
En pratique, ces informations correspondent à celles qui doivent figurer au registre des traitements prévu à l’article 30. Le responsable de traitement peut donc communiquer un extrait de ce registre.
- Informer des garanties en cas de transfert hors UE Si les données sont transférées hors de l’Union européenne, la personne doit être informée des garanties encadrant ce transfert conformément à l’article 46 du RGPD (clauses contractuelles, règles d’entreprise contraignantes, etc.).
Le droit d’accès de l’article 15 constitue donc un outil de transparence majeur pour les personnes. Son non-respect est lourdement sanctionné par la CNIL qui peut prononcer une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Quelques limites sont prévues à l’article 15 pour préserver les droits d’autrui. Ainsi, la copie des données ne doit pas porter atteinte aux droits et libertés de tiers, par exemple en divulguant des informations confidentielles les concernant.
2. Les sanctions imposées par la CNIL
Deux sanctions récentes sont intéressantes au titre de la violation du droit d’accès
2.1 Sanction Free 300.000€
Cette affaire est particulièrement intéressante, car elle vise spécifiquement un manquement au droit d’accès des personnes.
En l’espèce la CNIL avait été saisie par 5 personnes qui faisaient état de difficultés rencontrées dans l’exercice de ce droit, alors même que leurs demandes avaient bien été réceptionnées. Une personne avait demandé en outre à l’obtention d’une information sur la source d’où proviennent leurs données.
La CNIL constatait que la société n’avait pas donné suite dans les délais prescrits aux demandes d’exercice des droits d’accès des plaignants ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données.
La CNIL considérait en outre que le principe de transparence du traitement imposait à la société de communiquer la source spécifique relative aux données. La formation restreinte relève également que le droit d’accès – l’article 15 du RGPD étant éclairé par le considérant 63 - a pour objectif de permettre à la personne concernée de prendre connaissance du traitement de ses données et d’en vérifier la licéité. L’exercice de ce droit suppose donc que les informations fournies soient les plus précises possibles.
Le raisonnement est intéressant car la formation restreinte estimait ensuite que le refus de communiquer l’identité du courtier en données à partir duquel les données de la personne concernée ont été obtenues, alors que la société dispose de cette information, et de limiter le droit d’accès à la " source primaire " de la collecte (c’est-à-dire le premier acteur de la chaîne à avoir collecté les données à caractère personnel de la personne concernée), qui n’était d’ailleurs pas fournie en l’espèce au moment du contrôle, revenait à empêcher la personne concernée de pouvoir vérifier la licéité du traitement effectué par le responsable de traitement et, en particulier, la licéité des transmissions de données déjà effectuées. La formation restreinte considère, dès lors, que le droit de disposer de l’identité de la source des données est nécessaire pour permettre à la personne concernée de donner son consentement et d’exercer les droits qui lui sont conférés par le RGPD, en particulier le droit d’opposition, selon le type de prospection commerciale mise en œuvre par le responsable de traitement ayant obtenu les données auprès de courtiers.
Le manquement étant donc ici constitué.
2.2 Sanction Criteo 40M€
L’entreprise Criteo a fait l’objet d’une sanction de 40 millions d’euros pour défaut de conformité au RGPD, dont de nombreuses violations au droit d’accès prévu par l’article 15.
En l’occurrence des personnes avaient exercé leurs droits d’accès, et l’entreprise avait bien répondu aux demandes, cependant les informations transmises n’étaient pas conformes aux exigences de l’article 15.
En particulier, la CNIL estimait que l’information fournie n’était pas intelligible pour l’utilisateur dès lors que la société se contentait d’une description sommaire des traitements effectuées placant l’utilisateur dans l’incertitude quant à la nature des données traitées le concernant.
Il résulte de ce qui précède qu’en ne communiquant pas l’intégralité des données à caractère personnel des personnes exerçant leur droit d’accès auprès d’elle et en ne mettant pas d’office à leur disposition une documentation leur permettant de comprendre les données qui leur étaient communiquées, la société a manqué à ses obligations au titre des articles 12 et 15 du RGPD.
3. Le détail de l’article 15
Article 15 - Droit d’accès de la personne concernée
- La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes: a) les finalités du traitement; b) les catégories de données à caractère personnel concernées; c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales; d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée; e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement; f) le droit d’introduire une réclamation auprès d’une autorité de contrôle; g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source; h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
- Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
- Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
- Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.