Exercice de droit

Tout savoir sur le droit d’accès dans le RGPD

Nous lançons aujourd’hui une nouvelle série d’articles consacrée aux droits des personnes. Ces articles suivent nos épisodes d’1 min pour tout comprendre que vous trouverez sur notre page LinkedIn. 1 min pour tout comprendre c’est une courte vidéo dans laquelle nos juristes experts en protection des données personnelles définissent simplement les notions clefs du Règlement général sur la protection des données personnelles (RGPD) et vous donnent des exemples concrets. Suivez-nous pour ne manquer aucune actualité !

Le RGPD vient renforcer les droits des personnes pour assurer à ces dernières une meilleure maîtrise de leurs données personnelles. Le texte vise à permettre aux personnes concernées (consommateurs, prospects, clients, collaborateurs, partenaires, etc.) d’avoir une certaine visibilité sur l’usage qui est fait de leurs données personnelles. Nos articles nous permettent de revenir sur les différents droits reconnus par la Loi informatique et libertés et le RGPD, en commençant par le droit d’accès.

Asseyez-vous confortablement avec votre café, on vous explique tout en 5 min ! ☕️

Quels sont les droits des personnes ?

Les droits des personnes sont évoqués au chapitre 3 du RGPD. Tous les droits ne sont pas applicables systématiquement à tous les traitements, leur application dépend notamment de la base légale du traitement.

Dans nos articles à venir, nous vous expliquerons les droits suivants : 👇

  • Droit d’accès,
  • Droit de rectification,
  • Droit d’opposition (et droit de retirer le consentement),
  • Droit à l’effacement,
  • Droit à la portabilité.

Tout comprendre sur le droit d’accès 🎯

Le droit d’accès est prévu par l’article 15 du RGPD. L’exercice du droit d’accès permet à la personne concernée de savoir si des données la concernant sont, ou ne sont pas traitées par un responsable de traitement. Lorsqu’elles le sont, la personne peut en demander une copie dans un format lisible et/ou obtenir les informations suivantes : 👇

  • Les finalités du traitement ;
  • Les catégories de données collectées ;
  • Les destinataires ou catégories de destinataires auxquels les données sont ou seront communiquées, en particulier les destinataires établis hors UE ou les organisations internationales ;
  • Lorsque c’est possible, la durée de conservation des données personnelles envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • L’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

D’autre part, lorsque les données sont transférées en dehors de l’UE, le responsable de traitement doit être en mesure de communiquer à la personne concernée les garanties appropriées mises en place pour assurer le transfert.

Les limites du droit d’accès 🚫

1ère limite : L’exercice de ce droit ne doit pas porter atteinte aux droits et libertés des tiers, notamment des droits de propriété intellectuelle, du secret des affaires, etc. 🔐

Nous vous avons proposé un sondage sur ce thème, le 26 avril dernier sur notre page LinkedIn : « L’employeur doit-il transmettre tous les mails professionnels d’un ancien salarié qui fait une demande de droit d’accès ? »

Bien joué ! Sur 167 votants, 69% d’entre vous ont voté « Non 🚫 » et 31% ont voté « Oui ✅ ».

Cette situation doit être évaluée au cas par cas et la réponse est à nuancer ! En principe, le salarié peut formuler une demande de droit d’accès à son ancien employeur. Mais il faut s’assurer :

  • D’une part, que la demande est fondée et n’est pas excessive ;
  • D’autre part, que la demande n’entre pas en conflit avec le respect des droits et libertés des tiers.

La demande d’accès peut concerner soit l’ensemble des données détenues par le responsable de traitement, soit être plus ciblée. Dans notre exemple, la demande ne concerne que les mails professionnels. Nous excluons dans ce cas les mails personnels, envoyés via la messagerie professionnelle (qui relèvent d’une réglementation particulière en matière de droit du travail et des règles relatives au secret des correspondances). Ils sont identifiables par la mention « privé » ou « personnel » ou par leur contenu manifestement privé. Dans ce cas-là l’employeur doit transmettre les mails tel quel au demandeur, lorsque celui-ci en est l’expéditeur ou le destinataire.

S’agissant des mails professionnels, ils sont susceptibles de contenir des informations confidentielles concernant l’entreprise (relations commerciales, informations d’ordre économique, savoir-faire, etc.). La loi du 30 juillet 2018, relative à la protection du secret des affaires, définit une information protégée au titre du secret des affaires comme : « toute information ayant une valeur commerciale, ayant un caractère secret, revêtant une valeur, effective ou potentielle, et faisant l’objet de la part de son détenteur légitime, de mesures de protection raisonnables pour en conserver le caractère non-public. »

Dans ce cas, la demande de la personne peut vraisemblablement entrer en conflit avec le secret des affaires, les droits de propriété intellectuelle ou encore le droit des tiers. L’ancien employeur doit alors trier les mails communicables de ceux qui ne le sont pas. La CNIL suggère d’opérer une distinction entre :

  • Les mails dans lesquels l’ancien salarié est expéditeur ou destinataire et,
  • Les mails dans lesquels la personne est mentionnée dans le contenu

Hypothèse 1. La personne concernée est expéditeur/destinataire des mails 📩

En principe, elle a déjà eu connaissance des mails dont il est question. L’accès à ces mails est alors présumé respectueux du droit des tiers. Les données contenues dans les mails peuvent être anonymisées ou pseudonymisées avant leur communication.

Mais, dans certains cas, le contenu des mails peut constituer un risque pour le droit des tiers même si le demandeur en a déjà eu connaissance. L’employeur doit alors supprimer, anonymiser ou

pseudonymiser les informations susceptibles de poser problème pour faire droit à la demande. Si ces mesures ne suffisent pas, l’employeur peut refuser de faire droit à la demande de l’ancien salarié en motivant et justifiant sa réponse.

Hypothèse 2. La personne concernée est mentionnée dans le contenu des mails 👨‍💻

L’employeur doit faire droit à la demande de l’ancien salarié mais sans pour autant porter atteinte aux droits et libertés des tiers, notamment des autres salariés qui jouissent du droit au secret des correspondances. Il doit alors évaluer si les moyens à déployer pour faire droit à la demande ne sont pas trop intrusifs. L’employeur peut alors demander à la personne concernée de spécifier sa demande.

Si la requête est précise ou a été affinée par l’ancien salarié, le responsable de traitement doit étudier le contenu des mails. Il opère alors une mise en balance entre l’intérêt du demandeur et le droit des tiers. Dans le cas où la communication du contenu des mails porte une atteinte disproportionnée aux droits des tiers, l’employeur peut refuser de faire droit à la demande en justifiant sa décision. Dans le cas contraire, il transmet les mails en employant des mesures d’anonymisation, de pseudonymisation ou de suppression de contenu si besoin.

Schéma CNIL – Droit d’accès aux courriels professionnels : https://www.cnil.fr/sites/default/files/atoms/files/droit_dacces_aux_courriels_professionnels_0.pdf

2ème limite : Les données contenues dans certains fichiers sensibles ne sont pas accessibles aux particuliers. 🗂

Les données contenues dans certains fichiers ne peuvent pas être communiquées aux particuliers, même si la demande émane de la personne concernée. La loi interdit l’accès à des fichiers sensibles, c’est le cas de certains fichiers de police ou qui touchent à la sécurité de l’État.

Toutefois, il existe un moyen d’y accéder indirectement par l’intermédiaire de la CNIL. Ce droit d’accès est appelé le droit d’accès indirect. La personne adresse sa demande à la CNIL qui vérifie, pour son compte si le fichier contient des informations sur la personne

Mission RGPD face au droit d’accès

Vous n’avez pas le temps ? Vous êtes perdu ? La gestion de votre conformité et plus précisément les droits des personnes est complexe ?

✅ Avec Mission RGPD pas de panique, en plus d’un module spécifique dédié aux demandes d’exercice de droit, vous trouverez sur la plateforme des modèles de réponses prêt à l’emploi.

Gérez votre conformité en toute simplicité et sérénité !

Author

Marie Gossiôme

Juriste junior Protection des Données Personnelles chez Mission RGPD

Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.