RGPD : le droit d’accès

Toute personne physique peut demander l’accès à ses données au responsable du traitement, mais il doit justifier son identité. Le droit d’accès figure parmi les droits qui ont été renforcés par le RGPD (Règlement Général sur la Protection des Données), pleinement applicable à partir du 25 juin 2018. Mais comme tous les autres droits des personnes consacrés par le RGPD, le droit d’accès reste encore une notion assez floue pour le citoyen. Plus encore, même certaines entreprises ignorent les mesures à mettre en place pour sa mise en œuvre. Quelques précisions s’imposent donc.

Droit d’accès : qui peut l’exercer ?

Lire également : Les liaisons dangereuses entre les policiers et les détectives privés

Toute personne dont les données sont détenues par une organisation peut exercer un droit d’accès. Si nécessaire, elle peut mandater une tierce personne pour exercer son droit. Dans un tel cas, la tierce personne devra présenter un document qui décrit l’objet du mandat, en l’occurrence l’exercice du droit d’accès, l’identité du mandant (le propriétaire des données) et enfin, son identité (le mandataire). Pour les mineurs (moins de 16 ans), seuls ceux qui détiennent l’autorité parentale peuvent devenir mandataires.

Quelles sont les limites du droit d’accès ?

Le droit d’accès est limité par le respect des droits des tiers. C’est-à-dire qu’une personne ne pourra pas demander l’accès aux données personnelles de son conjoint, de son collègue de travail… Sauf si elle a un mandat.

A lire aussi : L'intérêt des avis client sur un site Internet

En combien de temps répondre à une demande de droit d’accès ?

Jusqu’au 25 mai 2018, l’entreprise doit répondre à une demande d’accès dans les 2 mois après la réception de la demande. À partir du 25 mai, la demande devra être traitée en 1 mois après réception de la demande (art 12.3 RGPD). Mais en fonction de la situation (nombre important de demandes), le délai pourra être prolongé d’un mois. Dans ce cas, il faudra en informer la personne concernée (art 12.3 du RGPD).

Pour les dossiers médicaux, les délais à respecter sont différents. Il faut communiquer un dossier médical au plus tôt dans les 48 heures et au plus tard dans les 8 jours après la réception de la demande. Si les informations demandées remontent à plus de 5 ans, le délai de réponse sera rallongé à 2 mois (art L.1111-7 du code de la santé publique).

Quid des frais de reproduction des informations ?

Avant l’application du RGPD 2018, les entreprises peuvent demander à la personne qui exerce son droit d’accès une participation financière pour la reproduction des informations demandées. La participation demandée restant inférieure au coût réel de la reproduction.

À partir du 25 mai par contre, la reproduction des documents demandés par la personne concernée sera totalement laissée à la charge de l’entreprise. Elle sera donc gratuite. Mais si la demande est anormalement récurrente, infondée ou constitue un abus de l’exercice du droit d’accès, le responsable du traitement pourra exiger le paiement des « frais raisonnables ». Il faudra établir une preuve des raisons qui ont conduit à demander cette participation financière.

Une organisation peut-elle refuser la communication des données ?

Une organisation doit répondre aux demandes de droit d’accès sauf dans 2 cas :

  1. Les demandes sont abusives compte tenu de leur nombre, de leur répétition et de leur caractère systématique ;
  2. Les données ne sont plus à la disposition de l’organisation : la demande a été déposée après le délai légal de conservation des données.

à voir