Le 28 mars 2023, le Comité européen sur la protection des données (CEPD) a adopté des lignes directrices dédiées au droit d’accès des personnes concernées qui fournissent des orientations détaillées sur la mise en œuvre et l’interprétation de l’article 15 du Règlement général sur la protection des données (RGPD).
Dans le but de tester vos connaissances ou de vous familiariser avec les principes clés du droit d’accès, l’Agence RGPD propose une série de questions/réponses basées sur des cas pratiques énoncés par le CEPD. Prêt à relever le défi et à approfondir vos connaissances ?
C’est parti !
Question 1 - Quels sont les trois éléments essentiels qui composent l'article 15 du RGPD ?
- La confirmation de la présence de données personnelles collectées et traitées par l’organisme sollicité (le responsable de traitement) : cela signifie que la personne concernée (le demandeur) a le droit de demander au responsable de traitement s’il détient des données personnelles le concernant.
- L’accès à ces données personnelles : Si la réponse à la première question est positive, la personne concernée a le droit de recevoir une copie de ses données personnelles détenues par l’organisme.
- L’accès aux informations relatives au traitement : cela inclut des informations telles que les finalités du traitement, les catégories de données personnelles traitées, les destinataires des données, la durée du traitement…
Question 2 - Pour répondre à une demande de droit d’accès, un responsable de traitement peut-il retenir le motif (le « pourquoi ») de la demande ?
Non. Lorsqu’un responsable de traitement reçoit une demande de droit d’accès, son rôle n’est pas de retenir le motif de la demande (le “pourquoi”), mais plutôt de se concentrer sur ce que la personne demande (le “quoi”).
Selon le cas pratique n° 1 du CEPD, si un individu demande l’accès à toutes les données personnelles le concernant après avoir été licencié par son ancien employeur et souhaite collecter des preuves pour une plainte de licenciement abusif, l’ancien employeur ne peut pas évaluer l’intention de la personne ni refuser l’accès sous prétexte que les données pourraient être utilisées devant un tribunal. L’ancien employeur est donc tenu de répondre à cette demande de droit d’accès.
Question 3 - Dans le cadre d’une relation de travail, comment le responsable de traitement (l’employeur) peut-il gérer une demande d'accès « générale » formulée par un employé ?
Lorsqu’un salarié exerce une demande d’accès générale à ses données auprès de son employeur (ne précise pas nécessairement les données qu’il souhaite obtenir), une demande de clarification par le responsable de traitement peut être utile pour déterminer l’intérêt spécifique du salarié (évitant ainsi la transmission d’informations inutiles). L’employeur doit également fournir des informations sur les contextes de traitement pertinents pour aider le salarié à formuler une demande plus précise.
Il est important de noter que la demande de clarification ne doit pas être utilisée pour limiter la réponse à la demande d’accès ni pour dissimuler des informations sur les données ou le traitement concernant le salarié. Si le salarié confirme vouloir toutes les données personnelles le concernant, le responsable de traitement doit les fournir en totalité.
Question 4 - À l'occasion de la réponse à une demande d'accès, un responsable du traitement réalise que des données de candidature pour un poste dans l'entreprise ont été conservées au-delà de la période de conservation fixée. Peut-il supprimer ces données et répondre au demandeur qu’aucune donnée personnelle le concernant n’est traitée ?
Non. Lorsqu’un responsable du traitement reçoit une demande d’accès, il est important que l’évaluation des données traitées reflète au mieux la situation au moment de la réception de la demande. La réponse fournie doit couvrir toutes les données disponibles à ce moment précis. Le CEPD, dans ses lignes directrices (exemple n°6) affirme que dans un tel cas, le responsable du traitement ne peut pas d’abord supprimer les données et ensuite informer la personne concernée qu’aucune donnée n’est traitée. Il est nécessaire de donner d’abord accès aux données demandées, puis ensuite, de procéder à leur suppression. Pour éviter une demande ultérieure d’effacement, il est d’ailleurs recommandé de le préciser dans la réponse apportée à la personne concernée.
Question 5 - Vous êtes responsable des ressources humaines au sein de votre société et recevez un candidat dans le cadre d’un entretien d’embauche. Comme à votre habitude, vous prenez des notes sur votre ordinateur afin de documenter l’entretien. Ce matin, vous êtes surpris de recevoir une demande (inédite) dudit candidat : ce dernier souhaite accéder à vos notes et au compte rendu de l’entretien. Comment réagissez-vous ?
Comment oublier l’affaire Nowak, à travers laquelle la Cour de Justice de l’Union Européenne (CJUE) avait procédé à une analyse large de la définition de donnée à caractère personnel, en estimant que les réponses écrites fournies par un candidat lors d’un examen professionnel, et tous les commentaires d’un examinateur relatifs à ces réponses, constituaient des données personnelles concernant le candidat…
Dans son cas pratique n° 15, le CEPD utilise les données personnelles collectées en phase de recrutement, notamment dans le cadre d’un entretien d’embauche : dans ce cas, le responsable du traitement est non seulement tenu de fournir à la personne concernée les données personnelles activement communiquées par celle-ci dans son CV et sa lettre de motivation, mais également le compte rendu de l’entretien, y compris les commentaires subjectifs sur le comportement de la personne concernée recensés par le responsable des ressources humaines pendant l’entretien d’embauche.
Morale : gare à ne rien recenser de discriminant sur les personnes concernées (candidats ; prospects ; clients ; patients…) : au-delà de l’éthique, vous pourriez être contraint de les communiquer au principal concerné.
Question 6 - Quelles sont les considérations importantes qu'un fournisseur de médias sociaux doit prendre en compte pour répondre à une demande d'accès aux données personnelles ?
Tout d’abord, le fournisseur doit comprendre que les fichiers journaux (ou « logs ») contenant les activités de la personne concernée sur son réseau social sont couverts par le droit d’accès, et doivent donc être inclus dans sa réponse.
Par ailleurs, il est essentiel que le fournisseur prenne des mesures pour faciliter la compréhension des informations contenues dans ces fichiers journaux. Autrement dit, simplement fournir des centaines de pages de fichiers journaux, sans aucune organisation ou mise en contexte, ne satisferait pas pleinement le droit d’accès en pratique.
C’est tout pour aujourd’hui ! L’Agence RGPD espère que ses questions et réponses vous ont permis d’en apprendre davantage sur le droit d’accès aux données personnelles et ses implications.
A bientôt pour de nouvelles actualités.
