Qu’est-ce que le droit d’accès ?
Le Règlement général sur la protection des données à caractère personnel (« RGPD ») veille à ce que chaque personne puisse garder une maîtrise optimale sur ses données.
À cette fin, le RGPD octroie une série de droits à la « personne concernée », dont le plus important est sans aucun doute le droit d’accès.
La porte d’entrée vers l’exercice des autres droits et d’une plainte…
Le droit d’accès est un droit essentiel permettant à chaque personne de savoir si une organisation traite des données à son sujet et, si c’est le cas, quelles données sont traitées et comment ces données sont traitées.
Forte de ces informations, la personne concernée pourra ensuite librement décider d’exercer ses autres droits, en ce compris le droit d’effacement ou le droit de porter plainte devant l’Autorité de protection des données.
Le droit d’accès est donc comme essentiel dès lors qu’en pratique, il est souvent un préalable à l’exercice d’autres droits, voire à une plainte.
Pour ces raisons, l’Autorité de protection des données est très vigilante sur la façon dont les organisations répondent aux demandes d’accès.
Comment reconnaitre une demande d’accès ?
Le RGPD n’impose aucune formalité pour l’exercice par la personne concernée de ses droits. Ça signifie que le particulier peut demander l’accès à ses données :
- Quel que soit le canal employé (par courrier, oralement, par lettre, etc.)
- Quelle que soit la formulation utilisée (il ne doit pas nécessairement employer les termes « droit d’accès », ni faire référence au RGPD).
Cette grande liberté de forme rend complexe l’identification de toutes demandes d’accès, surtout si l’adresse de courriel dédiée (telle que privacy@… ou rgpd@…) n’est pas utilisée, ou si d’autres questions (par exemple une contestation commerciale par le client) sont abordées dans le courrier.
Il est donc essentiel de conscientiser les équipes de première ligne.
Dans quel délai répondre à la demande d’accès ?
L’organisation qui reçoit une demande d’accès doit y répondre dans les meilleurs délais, et au plus tard 1 mois après avoir reçu la demande.
Ce délai peut éventuellement être prolongé de 2 mois, si la complexité et le nombre de demandes le justifient.
Si l’organisation décide de prolonger le délai de réponse ou de refuser l’accès aux données, elle doit en informer la personne qui a fait la demande dans le délai d’1 mois.
Notre conseil
Veillez à :
- Conscientiser les équipes de première ligne pour bien identifier les demandes d’accès aux données à caractère personnel ;
- Répondre dans le délai d’1 mois ;
Savoir l’ampleur de la réponse à apporter à la demande d’accès est évidemment crucial. Nous examinons cette question ici.
