arrow_back Retour à tous les articles

Article 15
Droit d'accès de la personne concernée

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 15 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 15 keyboard_arrow_up

(63) Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

(64) Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.

(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, et au droit de rectification ou d'effacement de ces données, ou au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée, et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre , notamment un intérêt économique ou financier important de l'Union ou d'un État membre , la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Afficher les considérants de la Directive 95/46 liés à l'article 15 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 15 keyboard_arrow_up

41) considérant que toute personne doit pouvoir bénéficier du droit d'accès aux données la concernant qui font l'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de la licéité de leur traitement; que, pour les mêmes raisons, toute personne doit en outre avoir le droit de connaître la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de la personne concernée;

(42) considérant que les États membres peuvent, dans l'intérêt de la personne concernée ou en vue de protéger les droits et libertés d'autrui, limiter les droits d'accès et d'information; qu'ils peuvent, par exemple, préciser que l'accès aux données à caractère médical ne peut être obtenu que par l'intermédiaire d'un professionnel de la santé;

(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;

(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive en son article 12 accordait déjà un large droit d’accès aux données aux personnes concernées.

Belgique

Le Législateur belge a implémenté le droit d’accès à l’article 10 de la loi du 8 décembre 1992 ; il permet à la personne concernée par un traitement d’exiger du responsable non seulement la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations sur ledit traitement (finalité, catégories de données sur lesquelles il porte, et destinataires des données et toute information disponible sur l'origine de ces données, la logique qui sous-tend le traitement en cas de décisions automatisées au sens de l’article 12bis), mais également leur communication, sous une forme intelligible, ainsi qu’une information sur les droits dont dispose la personne concernée en vertu des articles 12 (droit de rectification et d’opposition ) et 14 (droit de saisir le président du Tribunal de première instance). Le régime du droit d’accès a été légèrement adapté en droit belge pour tenir compte de la nature spécifique des données relatives à la santé (art. 10, § 2). Enfin, un garde-fou est prévu pour éviter les demandes répétées et abusives d’accès aux données (art. 10, § 3).

France

Le Législateur français a implémenté le droit d’accès à l’article 39 de la loi Informatique et Libertés. Comme le prévoit la Directive, la personne concernée par un traitement peut exiger du responsable la confirmation que ses données sont ou non traitées, des informations relatives au traitement (finalité, destinataire des données, catégories de données traitées, transferts de données, informations sur la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci), ainsi qu’une copie des données (contre le cas échéant, le paiement d’une somme qui ne peut excéder le coût de la reproduction).

Le responsable peut s’opposer aux demandes répétées et abusives d’accès aux données, à charge pour lui d’en démontrer le caractère manifestement abusif. Un droit d’accès indirect est également prévu en droit français, via la CNIL, pour certains traitements, tels que ceux qui intéressent la sûreté de l’État, la défense ou la sécurité publique (art. 41) ou ceux qui sont mis en œuvre par les administrations publiques ou les personnes privées chargées d’une mission de service public, qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions (art. 42). En matière de santé, les données de santé à caractère personnel peuvent être communiquées à la personne concernée ou à un médecin de son choix, dans le respect des dispositions de l'article L. 1111-7 du code de la santé publique.

Où va-t-on ?

Le Règlement n’innove pas réellement concernant le droit d’accès, reprenant le principe contenu auparavant dans la Directive : la personne concernée a le droit d’obtenir la confirmation que des données la concernant sont ou ne sont pas traitées et dans l’affirmative, la personne concernée a le droit d’y accéder.

Une information spécifique doit être donnée suite au droit d’accès. Par rapport au régime antérieur, de nouveaux éléments d’information sont prévus telles que, notamment, l’obligation d’informer les personnes concernées de la durée de conservation, de leur droit à rectification et à l'effacement, de leur droit de réclamation auprès de l’autorité de contrôle, des garanties particulières prises en cas de transferts de données vers un pays tiers ou une organisation internationale ou encore de l’information sur l’existence d’une décision automatisée incluant un profilage.

Si elle le demande, la personne concernée a le droit à une copie des données. Celle-ci devrait être gratuite puisque le texte final ne prévoit le paiement de frais basés sur les coûts administratifs du responsable que pour des copies ultérieures. Le texte ne dit par contre plus rien sur les frais éventuels liés à l’accès sans copie (alors que la version antérieure prévoyait explicitement le libre accès gratuit à intervalle régulier). La disposition indique aussi que l’information peut être fournie par voie électronique, sauf demande différente, lorsque la demande d’accès a été faite par voie électronique.

Enfin, la version finale du Règlement précise en son paragraphe 4 que le droit d’obtenir une copie ne doit pas affecter négativement les droits et les libertés d’autrui. Dans la version antérieure du Règlement, il pouvait être fait exception au droit d’obtenir une copie en cas la délivrance d’une copie impliquait la divulgation de données confidentielles ou qu’elle était susceptibles de porter atteinte aux droits de propriété intellectuelle sur le traitement.

Difficultés probables

Pour les responsables qui avaient déjà implémenté une procédure d’accès à leurs traitements, la nouvelle disposition n’amènera qu’une mise à jour de celle-ci.

La seule exception au droit d’obtenir une copie des données faisant l’objet d’un traitement figurant à l’article 15, 4 nous laisse toutefois perplexe. Selon cette disposition, le droit d’obtenir une copie ne peut pas affecter négativement les droits et libertés d’autrui.

L’exception est dangereuse dans la mesure où elle est formulée trop largement et qu’elle paraît impliquer que tout conflit entre, d’une part, le droit à obtenir une copie et, d’autre part, le droit et les libertés d’autrui se résoudrait toujours au préjudice du premier, ce qui serait inacceptable.

Règlement
1e 2e

Art. 15

1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.

3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.

Proposition 1 close

1. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes:

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers;

d) la durée pendant laquelle les données à caractère personnel seront conservées;

e) l’existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;

f) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données;

h) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20.

2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g).

4. La Commission peut préciser les formulaires types et les procédures de demande et d'accès aux informations mentionnées au paragraphe 1, y compris pour la vérification de l’identité de la personne concernée et la communication de ses données à caractère personnel à la personne concernée, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. La personne concernée a le droit d'obtenir du responsable du traitement, à intervalles raisonnables et gratuitement, (...) la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations qui suivent:

a) les finalités du traitement;

b) (...)

c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée envisagée pendant laquelle les données à caractère personnel seront conservées;

e) l'existence du droit de demander au responsable du traitement la rectification, l'effacement ou la limitation du traitement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle (…);

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) dans le cas des décisions résultant d'un traitement automatisé, y compris le profilage, visées à l'article 20, paragraphes 1 et 3, l'information relative à la logique sous-jacente ainsi que l'importance et les conséquences envisagées de ce traitement.

1 bis. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, conformément à l'article 42 relatif aux transferts.

1 ter. À la demande et sans frais excessifs, le responsable du traitement fournit à la personne concernée une copie des données à caractère personnel faisant l'objet d'un traitement.

2. (...)

2 bis. Le droit d'obtenir une copie visé au paragraphe 1 ter (...) ne s'applique pas lorsqu'une telle copie ne peut être fournie sans divulguer des données à caractère personnel relatives à d'autres personnes concernées ou des données confidentielles relatives au responsable du traitement. En outre, ce droit ne s'applique pas si la divulgation des données à caractère personnel est susceptible de porter atteinte aux droits de propriété intellectuelle pour ce qui relève du traitement de données à caractère personnel.

3. (...)

4. (...)

Directive

Art. 12

Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

- la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données,

- la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1;

b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

France

Art. 39

I.-Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.

Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

II.-Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation ou dans la déclaration adressée à la Commission nationale de l'informatique et des libertés.

Pour les modalités du droit d’accès décret 2005/1309 ART 98 + délibération de la CNIL du 1er avril 1980 n°80-010  + CNIL « guide du droit d’accès » 2010

Belgique

Art. 10

§ 1. La personne concernée qui apporte la preuve de son identité a le droit d'obtenir du responsable du traitement :

a) la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les catégories de destinataires auxquels les données sont communiquées;

b) la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine de ces données;

c) la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, dans le cas des décisions automatisées visées à l'article 12bis;

d) un avertissement de la faculté d'exercer les recours prévus aux articles 12 et 14 et, éventuellement, de consulter le registre public prévu à l'article 18.

A cette fin, la personne concernée adresse une demande datée et signée au responsable du traitement ou à toute autre personne désignée par le Roi.

Les renseignements sont communiqués sans délai et au plus tard dans les quarante-cinq jours de la réception de la demande.

Le Roi peut fixer les modalités pour l'exercice du droit visé à l'alinéa 1.

§ 2. (Sans préjudice de l'article 9, § 2, de la loi du 22 août 2002 relative aux droits du patient, toute personne a le droit, soit directement, soit avec l'aide d'un praticien professionnel en soins de santé, de prendre connaissance des données à caractère personnel traitées en ce qui concerne sa santé.)

(Sans préjudice de l'article 9, § 2, de la loi précitée, la communication peut être effectuée par l'intermédiaire d'un professionnel des soins de santé choisi par la personne concernée, à la demande du responsable du traitement ou de la personne concernée.)

Lorsque les données relatives à la santé de la personne concernée sont traitées aux fins de recherches médico-scientifiques, qu'il est manifeste qu'il n'existe aucun risque qu'il soit porté atteinte à la vie privée de cette personne et que les données ne sont pas utilisées pour prendre des mesures à l'égard d'une personne concernée individuelle, la communication peut, pour autant qu'elle soit susceptible de nuire gravement auxdites recherches, être différé au plus tard jusqu'à l'achèvement des recherches.

Dans ce cas, la personne concernée doit avoir préalablement donné son autorisation écrite au responsable du traitement que les données à caractère personnel la concernant peuvent être traitées à des fins médico-scientifiques et que la communication de ces données peut dès lors être différée.

  § 3. Il ne doit être donné suite à une demande visée aux §§ 1er et 2 qu'à l'expiration d'un délai raisonnable, à compter de la date d'une demande antérieure d'une même personne à laquelle il a été répondu ou de la date à laquelle les données lui ont été communiquées d'office.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK