Le droit d’accès : mode d’emploi

Martine RICOUART-MAILLET le 24 mars 2016
Hand with marker writing: Personal Data

Le droit d’accès, peu usité dans les premières années d’application de la Loi de 1978, est aujourd’hui un droit exercé couramment par les consommateurs qui souvent veulent connaître les données qui ont été collectées et qui les concernent détenues par  telle ou telle société.

La communication autour du Règlement Européen et du projet de Loi Lemaire a encore accentué ces demandes, qui bientôt devront être traitées dans des délais plus brefs, puisque le Règlement imposera un délai d’un mois.

Il est important de savoir comment s’exerce ce droit et quels sont les réflexes que doit adopter tout responsable de traitement.

A cet égard, il faut savoir que le Règlement Européen ajoutera au droit d’information des personnes la mention sur l’origine des données, mention qui n’est pas obligatoire aujourd’hui au titre de l’Article 32 de la Loi de 1978 et qui peut être néanmoins une demande formulée à l’occasion du droit d’accès.

Le Règlement Européen sur la protection des données personnelles est attendu pour Juin 2016.

Les raisons qui peuvent amener un consommateur à exercer son droit d’accès sont diverses :

– Suspicion sur la collecte excessive de données non appropriées,
– Souci de limiter dans le temps la conservation de certaines données,
– Litige avec le responsable du traitement,
– Recueil de preuve afin de faire valoir un droit.

C’est l’Article 39 de la Loi informatique et libertés qui définit et précise le droit d’accès.

Aucune condition particulière ne peut être exigée de la personne qui l’exerce, ni aucun motif. La personne doit simplement justifier de son identité.

Néanmoins, rien n’empêche le responsable du traitement de lui demander le motif, tout simplement dans un but d’efficacité de réponse à la demande.

En revanche, les demandes qui seraient manifestement abusives, notamment par leur nombre, leur caractère répétitif, pourraient être rejetées par le responsable du traitement. Le responsable du traitement doit alors justifier de son refus.

Le texte de l’Article 39 liste les éléments qui peuvent être demandés. Le champ est très large puisque peut être demandé au responsable du traitement la communication sous une forme accessible des données à caractère personnel qui la concerne ainsi que toute information disponible quant à l’origine de celles-ci.

Il ne s’agit donc pas d’une obligation de résultat puisque ce n’est que les données disponibles auxquelles il faut donner accès.

Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande. La consultation peut aussi s’exercer sur place si le responsable du traitement l’accepte.

Bien évidemment, les conditions d’exercice du droit d’accès auront été portées à la connaissance des personnes dont les données sont collectées.

On notera que l’information obligatoirement dispensée sur le droit d’accès doit se faire de manière accessible, de préférence être distinguée des mentions légales et être insérée de préférence dans un onglet spécifique « Données personnelles ».

Cette information qui se fait la plupart du temps par écrit peut aussi être faite par d’autres moyens.

Ainsi, pour une collecte orale, il peut être donné lecture de ces informations.

En magasin, par exemple, l’affichage peut être un bon moyen d’information, à la condition d’indiquer que sur simple demande, orale ou écrite, la personne peut recevoir ces informations sur un support écrit.

Lorsque la demande est exercée par courrier, il faut exiger une demande signée accompagnée de la photocopie du titre d’identité de la personne.

En ce qui concerne les demandes formalisées en ligne, aussi bien la saisie que le dépôt de la pièce d’identité numérisée, doivent être effectuées par https (transfert sécurisé).

Une bonne façon de s’assurer de l’identité de la personne qui demande à exercer son droit d’accès est de lui répondre par une lettre recommandée avec accusé de réception, ce qui permettra de vérifier si c’est bien la bonne personne qui a exercé ce droit.

La Loi oblige le responsable du traitement à préciser l’adresse du service auprès duquel ce droit peut être exercé. L’absence de cette mention peut conduire la CNIL à considérer la collecte comme étant illicite.

Le guide du droit d’accès édité par la CNIL renvoie indirectement sur le CIL lorsque celui-ci est présent dans l’entreprise.

A défaut de CIL, c’est le service clients d’une entreprise qui peut être mentionné ou un autre service métier concerné.

Il est indispensable de sensibiliser le personnel qui est à la réception courrier pour lui préciser la personne à qui les demandes de droit d’accès doivent être transmises, de façon à ce qu’il n’y ait aucun « loupé » à la satisfaction de ce droit.

Il ressort de ces obligations que le droit d’accès doit nécessairement faire l’objet d’un process dans toute entreprise qui collecte des données.

Le droit d’accès doit être organisé, tout comme le droit d’opposition. Une personne ou un service doit être chargé d’y répondre, si ce n’est pas le du Correspondant informatique et libertés.

Le risque induit par des négligences au titre du droit d’accès est important, puisque l’absence de réponse ou des réponses incomplètes irritent souvent le consommateur qui va adresser une plainte à la CNIL, plainte facilitée par l’existence d’un formulaire à cet effet sur le site web de l’autorité.

La CNIL peut, en cas de violation constatée des droits des personnes, décider d’opérer un contrôle sur place, qui débouchera sur des sanctions telle que peine d’amende, limitée pour l’instant à 150.000 € mais portée prochainement à un maximum de 20.000.000 € ou 4 % du chiffre d’affaires monde !…

Pour répondre à une autre exigence de la Loi informatique et libertés, il faudra également, lorsque le droit d’accès aura été satisfait, opérer, dans des délais à déterminer en fonction des possibilités de réaction de la personne, une purge effective après traitement.

Il peut paraître prudent de conserver certains éléments liés à la gestion des demandes de droit d’accès pour faire la preuve que cette obligation a été satisfaite au cas où le consommateur ou le salarié mettrait en cause la responsabilité du responsable du traitement à ce titre.

Dans l’Article 5 de la norme simplifiée 48, la CNIL précise, concernant les pièces d’identité en cas d’exercice du droit d’accès ou de rectification, que les données relatives aux pièces d’identité peuvent être conservées pendant le délai prévu à l’Article 9 du Code de procédure pénale (soit 1 an) aux fins d’instruction du dossier.

Il est conseillé ensuite de les conserver en archive intermédiaire pendant 3 ans.

Enfin, la Loi informatique et libertés permet au responsable du traitement de réclamer le montant des frais de copie, qui ne peut excéder le coût de la reproduction. La plupart du temps, l’exercice du droit d’accès sera gratuit.

La réponse au droit d’accès doit être faite aujourd’hui dans un délai maximum de 2 mois par le responsable du traitement. A défaut, il s’agit d’un refus qui bien évidemment peu encore une fois déboucher sur une saisine de la CNIL et éventuellement un contrôle.

Le Règlement raccourcit le délai à 1 mois.

Il y a des hypothèses où le responsable du traitement ne détient pas les données qui sont hébergées, par exemple chez un prestataire.

Il est donc prudent d’insérer dans le contrat avec le prestataire une clause selon laquelle ce dernier doit rapidement fournir les données et les transmettre à son client, bien entendu de façon sécurisée.

Quelles informations doit contenir la réponse ? Il s’agit bien évidemment de toutes informations que traditionnellement on appelle nominatives, mais cela peut être également toutes les informations concernant la personne et qui seraient contenues le cas échéant dans les zones de libre commentaire.

Doit-on fournir les informations sur la logique du traitement (data mining, big data, etc …) ? L’Article 39 5° de la Loi informatique et libertés prévoit bien que le demandeur peut obtenir « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».
Il faut donc en conclure que seulement dans les cas où des effets juridiques se produisent ce type d’information doit être fourni, et que ce sont les critères du scoring qui doivent être fournis et pas le processus.

A noter que dans le domaine bancaire les informations résultant de la segmentation comportementale ou scoring peuvent faire l’objet d’un droit d’accès. La CNIL l’a admis, de même que le Conseil d’Etat.

La banque est donc en principe tenue de communiquer l’ensemble des résultats de son analyse ainsi que le raisonnement qu’elle a pu appliquer. En revanche, pas le modèle de score par exemple, ni les formules mathématiques utilisées.

Enfin, les informations sur la personne décédée posent aujourd’hui question. Qui a le droit d’y avoir accès ? Le guide de la CNIL précise que les héritiers, à condition de justifier de leur qualité, peuvent obtenir ces éléments. A noter que le projet de Loi Lemaire consacre tout un chapitre aux données personnelles de la personne décédée.

Partagez
photo MartineRicouartM 2

Martine RICOUART-MAILLET

Martine RICOUART-MAILLET, Cofondatrice de BRM Avocats, dispose d’une expérience de 20 ans en droit de la Propriété intellectuelle.

L’expertise du Cabinet BRM s’est également développée en droit de la consommation, de l’informatique et des nouvelles technologies, et en matière Informatique et Libertés. Cette dernière expertise a trouvé son aboutissement dans la labellisation de la procédure d’audit Informatique et Libertés décernée par la CNIL le 9 Janvier 2014 au Cabinet BRM Avocats.

Martine RICOUART-MAILLET est également investie dans de nombreuses Associations. Elle est Vice-Présidente de l’AFCDP (Association Française des correspondants à la protection des données à caractère personnel), et membre d’Associations professionnalisantes autour de la sécurité des systèmes d’information et du marketing direct.

Elle est chargée de cours à la Sorbonne et au Mastère Spécialisé Informatique et libertés de l’ISEP.

www.brmavocats.com
https://fr-fr.facebook.com/pages/BRM-Avocats/120595024787490
https://twitter.com/brm_avocats