Article 15
Droit d'accès de la personne concernée
Afficher les articles et mots clés liés à l’article 15 expand_more
Cacher les articles et mots clés liés à l’article 15 expand_less
Afficher les considérants du Règlement liés à l'article 15 keyboard_arrow_down
Cacher les considérants du Règlement liés à l'article 15 keyboard_arrow_up
(63) Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.
(64) Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.
(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, et au droit de rectification ou d'effacement de ces données, ou au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée, et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre , notamment un intérêt économique ou financier important de l'Union ou d'un État membre , la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
Afficher les considérants de la Directive 95/46 liés à l'article 15 keyboard_arrow_down
Cacher les considérants de la Directive 95/46 liés à l'article 15 keyboard_arrow_up
41) considérant que toute personne doit pouvoir bénéficier du droit d'accès aux données la concernant qui font l'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de la licéité de leur traitement; que, pour les mêmes raisons, toute personne doit en outre avoir le droit de connaître la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de la personne concernée;
(42) considérant que les États membres peuvent, dans l'intérêt de la personne concernée ou en vue de protéger les droits et libertés d'autrui, limiter les droits d'accès et d'information; qu'ils peuvent, par exemple, préciser que l'accès aux données à caractère médical ne peut être obtenu que par l'intermédiaire d'un professionnel de la santé;
(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;
(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;
Guidelines
Ici viendront les guidelines
Union Européenne
Comité européen de la protection des données (EDPB)
Lignes directrices sur les droits des personnes concernées — Droit d’accès - 01/2022 (28 mars 2023)
Le droit d’accès des personnes concernées est consacré par l’article 8 de la charte des droits fondamentaux de l’Union européenne. Il fait partie du cadre juridique européen en matière de protection des données depuis ses débuts et est à présent développé par des règles plus précises et plus précises à l’article 15 du RGPD.
Objectif et structure générale du droit d’accès
L’objectif général du droit d’accès est de fournir aux personnes physiques des informations suffisantes, transparentes et facilement accessibles sur le traitement de leurs données à caractère personnel afin qu’elles puissent connaître et vérifier la licéité du traitement et l’exactitude des données traitées. Cela facilitera — mais n’est pas une condition — l’exercice par l’individu d’autres droits tels que le droit à l’effacement ou à la rectification.
Le droit d’accès prévu par la législation sur la protection des données doit être distingué de droits similaires poursuivant d’autres objectifs, par exemple le droit d’accès aux documents publics, qui vise à garantir la transparence du processus décisionnel des autorités publiques et les bonnes pratiques administratives.
Toutefois, la personne concernée n’est pas tenue de motiver sa demande d’accès et il n’appartient pas au responsable du traitement d’analyser si la demande aidera effectivement la personne concernée à vérifier la licéité du traitement concerné ou à exercer d’autres droits. Le responsable du traitement devra traiter la demande, à moins qu’il ne soit clair que la demande est présentée en vertu d’autres règles que les règles relatives à la protection des données.
Le droit d’accès comprend trois éléments:
- la confirmation du traitement ou non des données relatives à la personne;
- l’accès à ces données à caractère personnel; et
- l’accès aux informations sur le traitement, telles que la finalité, les catégories de données et les destinataires, la durée du traitement, les droits des personnes concernées et les garanties appropriées en cas de transfert vers des pays tiers.
Considérations générales sur l’évaluation de la demande de la personne concernée
Lors de l’analyse du contenu de la demande, le responsable du traitement doit évaluer si la demande concerne des données à caractère personnel de la personne qui présente la demande, si la demande relève du champ d’application de l’article 15 et s’il existe d’autres dispositions plus spécifiques qui régissent l’accès dans un secteur donné. Il doit également déterminer si la demande porte sur la totalité ou seulement une partie des données traitées relatives à la personne concernée.
Il n’y a pas d’exigences spécifiques concernant le format d’une demande. Le responsable du traitement devrait fournir des canaux de communication appropriés et conviviaux qui puissent être facilement utilisés par la personne concernée. Toutefois, la personne concernée n’est pas tenue d’utiliser ces canaux spécifiques et peut envoyer la demande à un point de contact officiel du responsable du traitement. Le responsable du traitement n’est pas tenu de donner suite aux demandes envoyées à des adresses complètement aléatoires ou apparemment erronées.
Lorsque le responsable du traitement n’est pas en mesure d’identifier des données qui font référence à la personne concernée, il en informe la personne concernée et peut refuser de donner accès, à moins que la personne concernée ne fournisse des informations supplémentaires permettant leur identification. En outre, si le responsable du traitement a des doutes quant à la question de savoir s’il s’agit bien de la personne concernée, il peut demander des informations complémentaires afin de confirmer l’identité de la personne concernée. La demande d’informations complémentaires doit être proportionnée au type de données traitées, aux dommages qui pourraient survenir, etc., afin d’éviter une collecte excessive de données.
Groupe 29
Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)
Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.
Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.
Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.
La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.
Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.
Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.
Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.
Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.
Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.
Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI
Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.
Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.
Retour au sommaireSommaire
Union Européenne
-
Jurisprudence de la CJUE
- C-553/07 (7 mai 2009) - Rijkeboer
- C-486/12 (12 décembre 2013) - X
- C-131/12 (13 mai 2014) - Google Spain et Google
- C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.
- C-398/15 (9 mars 2017) - Manni
- C-154/21 (12 janvier 2023) - Österreichische Post
- C-487/21 (4 Mai 2023) - Österreichische Datenschutzbehörde
- C-579/21 (22 juin 2023) - Pankki S
- C‑307/22, FT contre DW, (26 octobre 2023)
- C-312/23 (27 May 2024) - Addiko Bank
- C-203/22 (27 février 2025 ) - Dun & Bradstreet Austria
Belgique
France
-
Jurisprudence français
- CE Fr., n°148975 (9 juillet 1997)
- CE Fr., n°140325 (29 décembre 1997)
- CE Fr., n°197751 (14 juin 1999)
- CE Fr., n°218108 (30 mai 2001)
- Cass. Fr., n°07-82.000 (6 mai 2008)
- CE Fr., n°339147 (29 juin 2011)
- CE Fr., n°386525 (8 juin 2016)
- CE Fr., n°409075 (6 novembre 2017)
- CE Fr., n°448729 (18 novembre 2021)
- CE Fr., n°447495 (24 février 2022)
- CE Fr., n°465229 (24 juillet 2023)
- CE Fr., n°488201 (31 décembre 2024)
Union Européenne
Jurisprudence de la CJUE
C-553/07 (7 mai 2009) - Rijkeboer
L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, impose aux États membres de prévoir un droit d’accès à l’information sur les destinataires ou les catégories de destinataires des données ainsi qu’au contenu de l’information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres de fixer un délai de conservation de cette information ainsi qu’un accès corrélatif à celle-ci qui constituent un juste équilibre entre, d’une part, l’intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d’intervention et de recours prévus par la directive 95/46, et, d’autre part, la charge que l’obligation de conserver cette information représente pour le responsable du traitement.
Une réglementation limitant la conservation de l’information sur les destinataires ou les catégories de destinataires des données et le contenu des données transmises à une durée d’un an et limitant corrélativement l’accès à cette information, alors que les données de base sont conservées beaucoup plus longtemps, ne saurait constituer un juste équilibre des intérêt et obligation en cause, à moins qu’il ne soit démontré qu’une conservation plus longue de cette information constituerait une charge excessive pour le responsable du traitement. Il appartient à la juridiction nationale d’effectuer les vérifications nécessaires.
Conclusions de l'Avocat général
C-486/12 (12 décembre 2013) - X
1) L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne s’oppose pas à la perception de frais à l’occasion de la communication par une autorité publique de données à caractère personnel.
2) L’article 12, sous a), de la directive 95/46 doit être interprété en ce sens que, afin de garantir que les frais perçus à l’occasion de l’exercice du droit d’accès aux données à caractère personnel ne soient pas excessifs au sens de cette disposition, leur montant ne doit pas excéder le coût de la communication de ces données. Il appartient à la juridiction nationale d’effectuer, au regard des circonstances de l’affaire au principal, les vérifications nécessaires.
C-131/12 (13 mai 2014) - Google Spain et Google
1. L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).
2. L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.
3. Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.
4. Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.
Conclusions de l'Avocat général
C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.
1. L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.
2. L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.
3. L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.
Conclusions de l'Avocat général
C-398/15 (9 mars 2017) - Manni
L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.
Conclusions de l'Avocat général
C-154/21 (12 janvier 2023) - Österreichische Post
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Conclusions de l'Avocat général
C-487/21 (4 Mai 2023) - Österreichische Datenschutzbehörde
1) L’article 15, paragraphe 3, première phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui.
2) L’article 15, paragraphe 3, troisième phrase, du règlement 2016/679
doit être interprété en ce sens que :
la notion d’« informations » qu’il vise se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application de la première phrase de ce paragraphe.
Conclusions de l'avocat général
C-579/21 (22 juin 2023) - Pankki S
1) L’article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu à la lumière de l’article 99, paragraphe 2, de ce règlement,
doit être interprété en ce sens que :
il est applicable à une demande d’accès aux informations visées par cette disposition lorsque les opérations de traitement concernées par cette demande ont été effectuées avant la date d’entrée en application dudit règlement, mais que la demande a été présentée après cette date.
2) L’article 15, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés dudit responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés.
3) L’article 15, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne en vertu de cette disposition.
Conclusions de l'avocat Général
C‑307/22, FT contre DW, (26 octobre 2023)
1) L’article 12, paragraphe 5, et l’article 15, paragraphes 1 et 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que
l’obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données à caractère personnel faisant l’objet d’un traitement s’impose au responsable du traitement même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63, première phrase, dudit règlement.
2) L’article 23, paragraphe 1, sous i), du règlement 2016/679
doit être interprété en ce sens que :
est susceptible de relever du champ d’application de cette disposition une législation nationale adoptée avant l’entrée en vigueur de ce règlement. Toutefois, une telle faculté ne permet pas d’adopter une législation nationale qui, en vue de protéger les intérêts économiques du responsable du traitement, met à la charge de la personne concernée les frais d’une première copie de ses données à caractère personnel faisant l’objet de ce traitement.
3) L’article 15, paragraphe 3, première phrase, du règlement 2016/679
doit être interprété en ce sens que
dans le cadre d’une relation médecin/patient, le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie intégrale des documents figurant dans son dossier médical qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est nécessaire pour permettre à la personne concernée d’en vérifier l’exactitude et l’exhaustivité ainsi que pour garantir leur intelligibilité. S’agissant de données relatives à la santé de la personne concernée, ce droit inclut en tout état de cause celui d’obtenir une copie des données de son dossier médical contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés à celle‑ci.
Conclusions de l'Avocat général
C-312/23 (27 May 2024) - Addiko Bank
1) L’article 15, paragraphe 3, première phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit, pour la personne concernée, d’obtenir une copie des données à caractère personnel la concernant et faisant l’objet d’un traitement implique qu’il soit remis à cette personne une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir une copie intégrale des documents qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est nécessaire pour permettre à la personne concernée d’en vérifier l’exactitude et l’exhaustivité ainsi que pour garantir leur intelligibilité.
2) L’article 15, paragraphes 1 et 3, du règlement 2016/679,
doit être interprété en ce sens que :
l’obligation de fournir à la personne concernée qui en fait la demande une copie des données à caractère personnel la concernant et faisant l’objet d’un traitement s’impose au responsable du traitement, même lorsque cette demande est motivée par un but étranger à ceux visés au considérant 63, première phrase, de ce règlement.
Ordonnance de la Cour
C-203/22 (27 février 2025 ) - Dun & Bradstreet Austria
1) L’article 15, paragraphe 1, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
en cas de prise de décision automatisée, y compris un profilage, au sens de l’article 22, paragraphe 1, de ce règlement, la personne concernée peut exiger du responsable du traitement, au titre des « informations utiles concernant la logique sous-jacente », que celui-ci lui explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
2) L’article 15, paragraphe 1, sous h), du règlement 2016/679
doit être interprété en ce sens que :
dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée conformément à cette disposition comportent des données de tiers protégées par ce règlement ou des secrets d’affaires, au sens de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 de ce règlement.
Conclusions de l'Avocat général
Retour au sommaire
Belgique
Jurisprudence belge
Cass. Be, P.16.1110.F (22 février 2017)
1) Le fichier est défini comme tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ; en application de la loi du 11 décembre 1998, la structure des données à caractère personnel doit permettre leur accessibilité selon des critères déterminés en telle sorte que ce ne sont pas les dossiers eux-mêmes, ni les contrats qui doivent faire l’objet d’une organisation ou d’une structuration mais les données qu’ils contiennent. (L. du 8 décembre 1992 ou « L. LVP », art. 1er)
2) Le niveau d’accessibilité à atteindre pour répondre à la qualification de fichier relève, en l’absence de prescription légale, de l’appréciation du juge du fond. (L. LVP, art. 1er)
3) En l’occurrence, le juge du fond considère que (i) ce sont les données à caractère personnel qui doivent faire l’objet d’un traitement au sein d’un fichier et (ii) qu’un contrat liant la banque à son client ne constitue pas un fichier au sens de la L. LVP. Par ces considérations, les juges d’appel n’ont pas confondu les notions de « données à caractère personnel », « traitement » et de « fichier » définies à l’article 1er de la L. LVP ni méconnu le champ d’application de ladite loi (art. 3). La Cour de cassation confirme la décision prise par la Cour d’appel en ce qu’elle conclut à la non-application de la L. LVP en l’absence de « fichier ». En outre, la Cour de cassation estime que les juges d’appel n’ont pas restreint le droit d’accès du demandeur lorsqu’ils ont considéré que les informations fournies par la banque étaient suffisantes à déduire qu’aucune opération n’avait été réalisée au moyen de la carte de crédit.
C. const. Be., n°51/2014 (27 mars 2014)
La Cour - annule l'article 11 de la loi du 3 août 2012 « portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions » en ce qu'il permet au responsable du traitement des données de (i) refuser l'exercice des droits garantis par les articles 9, § 2, 10 et 12 de la loi du 8 décembre 1992 « relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel » à l'égard des données personnelles du contribuable qui sont étrangères à l'objet de l'enquête ou du contrôle en cours et (ii) en ce qu'il ne prévoit pas de limitation dans le temps de la possibilité de faire exception à l'application de ces droits justifiée par l'accomplissement d'actes préparatoires à un contrôle ou à une enquête
La circonstance que la loi ne définisse pas explicitement ce qu’il faut entendre par la notion de « préparatifs » à une enquête ou à un contrôle n’a pas forcément pour effet que le critère de distinction, qui repose en partie sur cette notion, soit non objectif ou dénué de pertinence. Dans le silence de la loi, cette notion doit s’entendre dans son sens courant. Elle implique que des actes indiquant l’intention de l’administration d’ouvrir une enquête ou de procéder à un contrôle à l’égard d’un contribuable déterminé aient été posés préalablement à la demande de celui-ci d’exercer les droits garantis par la loi du 8 décembre 1992 et qu’une mention de ces actes figure dans le dossier du contribuable. En d’autres termes, la demande formulée par le contribuable d’avoir accès aux données personnelles le concernant ne peut pas constituer elle-même l’élément déclencheur d’une enquête ou d’un contrôle à partir duquel l’accès peut lui être refusé.
Retour au sommaireFrance
Jurisprudence française
CE Fr., n°148975 (9 juillet 1997)
Les résultats d'un sondage comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité ne constituent pas des informations nominatives concernant cette personnalité. Celle-ci ne saurait, par suite, être titulaire du droit d'accès organisé par l'article 34 de la loi du 6 janvier 1978, ni des droits de communication, de rectification et d'effacement qui en découlent.
CE Fr., n°140325 (29 décembre 1997)
1. L'organisation internationale de police criminelle Interpol n'étant pas une autorité administrative française, la juridiction administrative n'est pas compétente pour connaître de conclusions tendant à l'annulation d'une décision rejetant une demande d'accès aux fichiers de l'organisation.
2. L'article 39 de la loi du 6 janvier 1978 limite l'accès aux traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique à un droit d'accès indirect exercé par un membre de la CNIL. Compte tenu des stipulations de l'article 9 de la convention européenne pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, qui autorisent les Etats à déroger par la loi aux stipulations de l'article 8 lorsqu'une telle mesure est nécessaire à la protection de la sécurité de l'Etat ou de la sûreté publique, les modalités d'accès prévues par l'article 39 de la loi ne sont pas incompatibles avec les stipulations de la convention.
CE Fr., n°197751 (14 juin 1999)
1. M. B., qui demandait l'accès à une information nominative le concernant dans l'exercice de sa profession, était en droit d'adresser cette demande soit auprès de la société qui l'employait soit à la société à laquelle la mise en œuvre du traitement automatisé avait été confiée en vertu d'un contrat de prestation de service passé entre les deux sociétés, sans que la clause de confidentialité figurant dans la convention entre ces deux sociétés puisse lui être opposée.
2. Dès lors que la délibération par laquelle la C.N.I.L. a décidé une vérification sur place auprès des sociétés en cause désignait un commissaire chargé de cette mission, elle n'était pas tenue de désigner elle-même les agents chargés de l'assister. Par suite, le moyen tiré de ce que la procédure aurait été rendue irrégulière du fait de la désignation de ces agents par le président de la commission et non par la commission doit être écarté.
CE Fr., n°218108 (30 mai 2001)
Il résulte des stipulations des articles 109 et 114 de la convention d'application de l'accord de Schengen que le droit d'accès au fichier Système d'information Schengen (SIS) s'effectue dans le cadre du droit national du pays dans lequel s'effectue la demande. L'article 39 de la loi du 6 janvier 1978 limite l'accès aux traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique à un droit d'accès indirect exercé par un membre de la CNIL. Le fichier SIS est au nombre des fichiers visés à cet article et le droit d'y accéder ne peut être qu'indirect sans que la CNIL dispose du droit de communiquer au demandeur les informations le concernant contenues dans ce fichier.
Cass. Fr., n°07-82.000 (6 mai 2008)
La contravention d'opposition à l'exercice du droit d'accès à une information nominative, prévue et réprimée par les articles 35 de la loi du 6 janvier 1978 dans sa rédaction antérieure à la loi du 6 août 2004, 1er 3° du décret du 23 décembre 1981 et consistant dans la fourniture de données présentées sous une forme non directement intelligible, constitue une infraction instantanée, consommée à la date d'envoi de l'information à la personne titulaire du droit d'accès. Ne caractérisent pas la réitération de cette infraction, les réponses faites ultérieurement aux réclamations du titulaire du droit d'accès se plaignant de l'absence de clarté des informations données. Justifie, dès lors, sa décision, la cour d'appel qui constate l'extinction de l'action publique par la prescription après avoir retenu qu'il s'était écoulé plus d'une année entre l'envoi des informations au titulaire du droit d'accès et la plainte adressée par lui au procureur de la République.
CE Fr., n°339147 (29 juin 2011)
Les ayants droit héritant des soldes des comptes bancaires de leur tante sont des « personnes concernées » au sens de l'article 39 de la loi du 6 janvier 1978, et bénéficient, sur ce fondement, de la possibilité d'accès qu'il prévoit.
CE Fr., n°386525 (8 juin 2016)
Il résulte des dispositions des articles 2 et 39 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qu'elles ne prévoient la communication des données à caractère personnel qu'à la personne concernée par ces données. Des personnes ne peuvent, en leur seule qualité d'ayants droit de la personne à laquelle se rapportent les données, être regardées comme des personnes concernées.
CE Fr., n°409075 (6 novembre 2017)
Il résulte des articles L. 841-2 et R. 841-2 du code de justice administrative que les contestations dirigées contre le refus du responsable du traitement de communiquer au demandeur tout ou partie des informations le concernant doivent être portées devant la formation spécialisée du Conseil d'Etat lorsque ce refus concerne des données intéressant la sûreté de l'Etat et devant le tribunal administratif lorsque tel n'est pas le cas.
CE Fr., n°448729 (18 novembre 2021)
La CNIL a clôturé la plainte dont elle était saisie par les requérantes en se fondant notamment sur les échanges intervenus entre ces dernières et le docteur K... et sur une conversation téléphonique que ses services ont eue avec celui-ci. Il ressortait de ces éléments, d'une part, que ce médecin estimait que le dossier médical de la mère des requérantes, par ailleurs saisi dans le cadre d'une procédure pénale qui a donné lieu à un classement sans suite en l'absence de lien de causalité avéré entre un acte médical dispensé à l'intéressée et son décès, ne contenait pas de données à caractère personnel qui permettraient aux requérantes de faire valoir leurs droits ou de connaître les causes de ce décès, d'autre part, que ce professionnel de santé a cessé d'être le médecin traitant de la mère des requérantes plus d'un an avant son décès et, enfin, que le conseil départemental de l'ordre des médecins de la Drôme, que le docteur K... a consulté pour avis, lui a indiqué que le secret médical faisait obstacle à la communication du dossier médical demandé. Dans ces conditions, eu égard à ses pouvoirs d'instruction et aux diligences qu'elle a accomplies, et alors au surplus que la demande d'accès formulée par les requérantes ne visait pas à l'organisation et au règlement de la succession de la défunte, dont il n'est pas allégué qu'elle aurait établi de son vivant des directives sur la communication de ses données à caractère personnel, la CNIL n'a pas commis d'erreur manifeste d'appréciation en procédant à la clôture de la plainte dont elle était saisie.
CE Fr., n°447495 (24 février 2022)
En premier lieu, aux termes de l'article L. 111-2 du code des relations entre le public et l'administration : " Toute personne a le droit de connaître le prénom, le nom, la qualité et l'adresse administratives de l'agent chargé d'instruire sa demande ou de traiter l'affaire qui la concerne ; ces éléments figurent sur les correspondances qui lui sont adressées. Si des motifs intéressant la sécurité publique ou la sécurité des personnes le justifient, l'anonymat de l'agent est respecté ". La circonstance que M. B... dispose, en vertu de ces dispositions, du droit de connaître l'identité du ou des agents du bureau d'aide juridictionnelle chargés de traiter les affaires qui le concernent est sans incidence sur l'application de la loi du 6 janvier 1978 et du RGPD et, en particulier, sur l'étendue du droit d'accès ouvert par l'article 15 de ce règlement et la possibilité pour lui d'accéder aux données identifiantes des journaux de connexion de l'application CAFPRO/CDAP.
En deuxième lieu, M. B... a formé auprès de la CAF de Seine-et-Marne une demande tendant à l'exercice du droit d'accès aux données à caractère personnel le concernant et aux informations relatives au traitement litigieux, sur le fondement de l'article 15 du RGPD, et non une demande d'accès à des documents administratifs, sur le fondement des dispositions du livre III du code des relations entre le public et l'administration. La circonstance que des données demandées sont susceptibles de figurer dans des documents administratifs qui lui seraient communicables à ce second titre est sans incidence sur la légalité des décisions de la CNIL refusant d'enjoindre à la CAF de faire droit à la demande présentée au premier titre. Par suite, le requérant ne peut utilement soutenir que la CNIL aurait méconnu les dispositions régissant la communication des documents administratifs.
En troisième lieu, le requérant ne peut utilement se prévaloir des dispositions de l'article 13 du RGPD qui garantit à une personne auprès de laquelle des données à caractère personnel sont collectées le droit d'obtenir du responsable de traitement les informations qu'il énumère, dès lors que les données identifiantes des journaux de connexion à l'application CAFPRO/CDAP qu'il réclame n'ont en tout état de cause pas été collectées auprès de lui.
En quatrième lieu, les dispositions du c) du paragraphe 1 de l'article 15 du RGPD, qui prévoient le droit pour la personne concernée d'obtenir communication des informations relatives aux " destinataires ou catégories de destinataires " auxquels les données à caractère personnel la concernant ont été communiquées, n'ont ni pour objet, ni pour effet d'autoriser une personne à connaître l'identité des agents publics ou des salariés ayant consulté les données à caractère personnel la concernant dans l'exercice de leurs fonctions au sein de la personne morale ou du service destinataire. Le moyen tiré de ce que les décisions attaquées méconnaîtraient ces dispositions ne peut donc, en tout état de cause, qu'être écarté.
En cinquième lieu, contrairement à ce que soutient M. B..., il résulte clairement des dispositions du paragraphe 4 de l'article 15 du RGPD que le droit, pour une personne dont les données à caractère personnel sont traitées, d'obtenir une copie de ces dernières, ne doit pas porter atteinte aux droits et libertés d'" autrui ", c'est-à-dire d'autres personnes que le demandeur. En particulier, aucune disposition de ce règlement n'exclut de cette catégorie les destinataires des données qui ont eux-mêmes la qualité de personne concernée à l'égard des données demandées. Par suite, M. B... n'est, en tout état de cause, pas fondé à soutenir que la CNIL aurait méconnu ces dispositions en estimant que des destinataires de données au sens du c) du paragraphe 1 de l'article 15 du RGPD pouvaient être au nombre des personnes dont les droits et libertés sont susceptibles de justifier un refus d'accès aux données à caractère personnel.
En sixième et dernier lieu, selon l'article R. 114-9-7 du code des relations entre le public et l'administration, " les données relatives à la traçabilité des échanges sont conservées pendant une durée de trente-six mois, sans préjudice des obligations de conservation incombant aux administrations destinataires des informations échangées. Elles sont mises à la disposition de l'intéressé par le responsable des échanges ". La circonstance alléguée que la CAF aurait détruit prématurément les données demandées, en méconnaissance de ces dispositions, est sans incidence sur leur inexistence matérielle, laquelle fait obstacle à toute communication. Par suite, il ne peut être utilement reproché à la CNIL d'avoir méconnu ces dispositions en refusant d'enjoindre à la CAF de transmettre à M. B... des données dont elle ne disposait plus.
Il résulte de tout ce qui précède, sans qu'il y ait lieu, en l'absence de tout doute raisonnable, ainsi qu'il a été dit au point 7, de saisir la Cour de justice de l'Union européenne à titre préjudiciel sur la portée du paragraphe 4 de l'article 15 du RGPD, que les conclusions de M. B... tendant à l'annulation de la décision de la CNIL du 10 juillet 2020 et du rejet du recours gracieux introduit contre cette décision doivent être rejetées.
CE Fr., n°465229 (24 juillet 2023)
En premier lieu, le requérant ne saurait utilement se prévaloir d'un droit d'obtenir une copie " papier " des données personnelles, transmise par voie postale, qui résulterait des lignes directrices sur le droit d'accès adoptées par le comité européen de la protection des données, dès lors que, d'une part, ces dernières sont dépourvues de valeur contraignante et que, d'autre part, en tout état de cause, elles ne prévoient pas de modalités différentes de communication de la copie de données à caractère personnel de celles prévues par les dispositions, citées au point 8, de l'article 15 du RGPD. Dès lors, la CNIL a pu sans erreur de droit considérer que la communication à M. D... par la seule voie du téléchargement, des documents demandés qui faisaient partie du dossier contentieux prud'homal de la société Biocodex, eu égard à leur volume, et en l'absence de toute demande spécifique préalable adressée par le requérant, constituait une " réponse appropriée " à sa demande d'accès.
En deuxième lieu, il ressort des pièces du dossier que c'est sans entacher sa décision d'erreur de fait que la CNIL a relevé que, le 30 juin 2022, le délégué à la protection des données de la société Biocodex l'avait informée de l'envoi à M. D... de toutes les données personnelles auxquelles il avait demandé à accéder à l'exclusion des données inexistantes ou non conservées.
En troisième lieu, dès lors que la CNIL a clôturé la plainte du requérant dans une décision du 1er septembre 2022, ce dernier ne saurait utilement lui reprocher de ne pas avoir tenu compte de la réponse qu'il a apportée postérieurement, le 14 septembre suivant, à la lettre du délégué à la protection des données de la société Biocodex du 30 juin 2022, laquelle, en tout état de cause, n'apportait aucun élément nouveau.
En dernier lieu, si le requérant est fondé à soutenir que la circonstance que le responsable du traitement avait auparavant répondu favorablement à une demande de communication présentée par son avocat, formulée dans le cadre du litige l'opposant à son ancien employeur, est sans influence sur l'exercice ultérieur de son droit d'accès à ces mêmes données dès lors que sa demande ne présente pas un caractère abusif, il ressort des pièces du dossier qu'en l'espèce, la société Biocodex a fait droit intégralement à sa demande d'accès. Il s'ensuit que la CNIL n'a entaché sa décision d'aucune erreur d'appréciation en estimant que la société Biocodex avait répondu à l'intégralité de la demande d'accès à ses données personnelles présentée par le requérant.
CE Fr., n°488201 (31 décembre 2024)
1. M. B... D..., qui se dénomme désormais M. B... C..., a demandé au préfet de police, sur le fondement des dispositions de l'article 15 du règlement (UE) du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE, dit RGPD, la communication des données à caractère personnel le concernant figurant dans le traitement AGRIPPA (application du répertoire informatisé des propriétaires et possesseurs d'armes) et le traitement SIA (système d'information sur les armes), ainsi que de " toute donnée figurant dans les fichiers informatisés ou manuels " gérés par la préfecture de police. Après lui avoir communiqué les informations le concernant relatives à ces deux fichiers ainsi qu'au traitement de données personnelles dénommé " Enquêtes administratives liées à la sécurité publique " (EASP), la préfecture de Police lui a indiqué être dans l'impossibilité de traiter le surplus de sa demande eu égard au nombre très important de traitements qu'elle met en œuvre. La Commission nationale de l'informatique et des libertés (CNIL), par un message du 25 août 2023, a informé l'intéressé qu'elle procédait à la clôture de sa plainte dirigée contre la préfecture de police. Ce dernier demande l'annulation pour excès de pouvoir de cette décision en tant qu'elle prononce une telle clôture pour la partie de sa demande relative aux données le concernant figurant " dans les autres fichiers informatisés ou manuels " gérés par la préfecture de police.
2. D'une part, l'article 8 de la Charte des droits fondamentaux de l'Union européenne dispose que : " 1. Toute personne a droit à la protection des données à caractère personnel la concernant. / 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. /3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante ".
3. D'autre part, aux termes de l'article 15 du RGPD : " La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel (...) ".
4. Enfin, aux termes de l'article 49 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " Le droit d'accès de la personne concernée s'exerce dans les conditions prévues à l'article 15 du règlement (UE) 2016/679 du 27 avril 2016. / En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition. / Le même premier alinéa ne s'applique pas : / Lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée et à la protection des données des personnes concernées, pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de réalisation de recherches scientifiques ou historiques ; / À l'information selon laquelle des données à caractère personnel ont été transmises en application du premier alinéa de l'article L. 863-2 du code de la sécurité intérieure ". L'article 107 de la même loi dispose que : " I. - Les droits de la personne physique concernée peuvent faire l'objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu'une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour : / Eviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ; / Eviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ; / Protéger la sécurité publique ; / Protéger la sécurité nationale ; / Protéger les droits et libertés d'autrui. / Ces restrictions sont prévues par l'acte instaurant le traitement. / II. - Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut : / Retarder ou limiter la communication à la personne concernée des informations mentionnées au II de l'article 104 ou ne pas communiquer ces informations ; / Refuser ou limiter le droit d'accès de la personne concernée prévu à l'article 105 ; / Ne pas informer la personne du refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement de ces données, ni des motifs de cette décision, par dérogation au IV de l'article 106. / III. - Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d'accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l'informatique et des libertés. / IV. - En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité, prévue à l'article 108, d'exercer ses droits par l'intermédiaire de la Commission nationale de l'informatique et des libertés. Hors le cas prévu au 1° du II, il l'informe également de la possibilité de former un recours juridictionnel ".
5. Il n'est pas contesté, en premier lieu, ainsi que la CNIL l'a précisé en défense pour expliquer sa décision de clôture de la plainte, que la préfecture de police est responsable d'un nombre important de traitements et divers en raison des régimes juridiques différents auxquels ils répondent ou de leurs caractéristiques propres et dont certains peuvent comporter une grande quantité de données à caractère personnel. Il résulte, en second lieu, d'une part, des dispositions du RGPD, telles qu'elles sont en particulier commentées notamment par les § 62 et 63 du préambule de ce règlement ou par les lignes directrices du Comité européen de la protection des données personnelles, que des restrictions à l'accès peuvent être prononcées lorsqu'en particulier, les demandes sont présentées de manière non précise compte tenu de la quantité de données personnelles traitées par un fichier et, d'autre part, des dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés citées au point 4, que d'autres restrictions peuvent être apportées à ce droit d'accès compte tenu notamment des caractéristiques des données en cause. Par suite, en invitant le requérant à préciser sa demande et, en l'état de sa plainte, en prononçant la clôture de celle-ci, la CNIL n'a commis ni erreur de droit, notamment au regard des dispositions de l'article 8 de la Charte des droits fondamentaux de l'Union européenne qui ne prohibent pas par elles-mêmes toute restriction ou de celles du RGPD invoquées sans autre précision par M. C..., ni erreur d'appréciation en estimant que le défaut de précision de celle-ci ne la mettait pas à même, dans les circonstances de l'espèce, d'exercer son contrôle du refus opposé par la préfecture de police au titre du droit d'accès de l'intéressé à un ensemble indéterminé de traitements. M. C... n'est, dès lors, pas fondé à demander l'annulation de la décision qu'il attaque.
Le GDPR
Le Règlement n’innove pas réellement concernant le droit d’accès, reprenant le principe contenu auparavant dans la Directive : la personne concernée a le droit d’obtenir la confirmation que des données la concernant sont ou ne sont pas traitées et dans l’affirmative, la personne concernée a le droit d’y accéder.
Une information spécifique doit être donnée suite au droit d’accès. Par rapport au régime antérieur, de nouveaux éléments d’information sont prévus telles que, notamment, l’obligation d’informer les personnes concernées de la durée de conservation, de leur droit à rectification et à l'effacement, de leur droit de réclamation auprès de l’autorité de contrôle, des garanties particulières prises en cas de transferts de données vers un pays tiers ou une organisation internationale ou encore de l’information sur l’existence d’une décision automatisée incluant un profilage.
Si elle le demande, la personne concernée a le droit à une copie des données. Celle-ci devrait être gratuite puisque le texte final ne prévoit le paiement de frais basés sur les coûts administratifs du responsable que pour des copies ultérieures. Le texte ne dit par contre plus rien sur les frais éventuels liés à l’accès sans copie (alors que la version antérieure prévoyait explicitement le libre accès gratuit à intervalle régulier). La disposition indique aussi que l’information peut être fournie par voie électronique, sauf demande différente, lorsque la demande d’accès a été faite par voie électronique.
Enfin, la version finale du Règlement précise en son paragraphe 4 que le droit d’obtenir une copie ne doit pas affecter négativement les droits et les libertés d’autrui. Dans la version antérieure du Règlement, il pouvait être fait exception au droit d’obtenir une copie en cas la délivrance d’une copie impliquait la divulgation de données confidentielles ou qu’elle était susceptibles de porter atteinte aux droits de propriété intellectuelle sur le traitement.
La Directive
La Directive en son article 12 accordait déjà un large droit d’accès aux données aux personnes concernées.
BelgiqueLe Législateur belge a implémenté le droit d’accès à l’article 10 de la loi du 8 décembre 1992 ; il permet à la personne concernée par un traitement d’exiger du responsable non seulement la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations sur ledit traitement (finalité, catégories de données sur lesquelles il porte, et destinataires des données et toute information disponible sur l'origine de ces données, la logique qui sous-tend le traitement en cas de décisions automatisées au sens de l’article 12bis), mais également leur communication, sous une forme intelligible, ainsi qu’une information sur les droits dont dispose la personne concernée en vertu des articles 12 (droit de rectification et d’opposition ) et 14 (droit de saisir le président du Tribunal de première instance). Le régime du droit d’accès a été légèrement adapté en droit belge pour tenir compte de la nature spécifique des données relatives à la santé (art. 10, § 2). Enfin, un garde-fou est prévu pour éviter les demandes répétées et abusives d’accès aux données (art. 10, § 3).
FranceLe Législateur français a implémenté le droit d’accès à l’article 39 de la loi Informatique et Libertés. Comme le prévoit la Directive, la personne concernée par un traitement peut exiger du responsable la confirmation que ses données sont ou non traitées, des informations relatives au traitement (finalité, destinataire des données, catégories de données traitées, transferts de données, informations sur la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci), ainsi qu’une copie des données (contre le cas échéant, le paiement d’une somme qui ne peut excéder le coût de la reproduction).
Le responsable peut s’opposer aux demandes répétées et abusives d’accès aux données, à charge pour lui d’en démontrer le caractère manifestement abusif. Un droit d’accès indirect est également prévu en droit français, via la CNIL, pour certains traitements, tels que ceux qui intéressent la sûreté de l’État, la défense ou la sécurité publique (art. 41) ou ceux qui sont mis en œuvre par les administrations publiques ou les personnes privées chargées d’une mission de service public, qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions (art. 42). En matière de santé, les données de santé à caractère personnel peuvent être communiquées à la personne concernée ou à un médecin de son choix, dans le respect des dispositions de l'article L. 1111-7 du code de la santé publique.
Difficultés probables
Pour les responsables qui avaient déjà implémenté une procédure d’accès à leurs traitements, la nouvelle disposition n’amènera qu’une mise à jour de celle-ci.
La seule exception au droit d’obtenir une copie des données faisant l’objet d’un traitement figurant à l’article 15, 4 nous laisse toutefois perplexe. Selon cette disposition, le droit d’obtenir une copie ne peut pas affecter négativement les droits et libertés d’autrui.
L’exception est dangereuse dans la mesure où elle est formulée trop largement et qu’elle paraît impliquer que tout conflit entre, d’une part, le droit à obtenir une copie et, d’autre part, le droit et les libertés d’autrui se résoudrait toujours au préjudice du premier, ce qui serait inacceptable.
|
Art. 15 1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes: a) les finalités du traitement; b) les catégories de données à caractère personnel concernées; c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales; d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée; e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement; f) le droit d'introduire une réclamation auprès d'une autorité de contrôle; g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source; h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. 2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert. 3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement. 4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui. |
Proposition 1
close
1. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes: a) les finalités du traitement; b) les catégories de données à caractère personnel concernées; c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers; d) la durée pendant laquelle les données à caractère personnel seront conservées; e) l’existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données; f) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données; h) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20. 2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. 3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g). 4. La Commission peut préciser les formulaires types et les procédures de demande et d'accès aux informations mentionnées au paragraphe 1, y compris pour la vérification de l’identité de la personne concernée et la communication de ses données à caractère personnel à la personne concernée, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
Proposition 2
close
1. La personne concernée a le droit d'obtenir du responsable du traitement, à intervalles raisonnables et gratuitement, (...) la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations qui suivent: a) les finalités du traitement; b) (...) c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales; d) lorsque cela est possible, la durée envisagée pendant laquelle les données à caractère personnel seront conservées; e) l'existence du droit de demander au responsable du traitement la rectification, l'effacement ou la limitation du traitement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données; f) le droit d'introduire une réclamation auprès d'une autorité de contrôle (…); g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source; h) dans le cas des décisions résultant d'un traitement automatisé, y compris le profilage, visées à l'article 20, paragraphes 1 et 3, l'information relative à la logique sous-jacente ainsi que l'importance et les conséquences envisagées de ce traitement. 1 bis. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, conformément à l'article 42 relatif aux transferts. 1 ter. À la demande et sans frais excessifs, le responsable du traitement fournit à la personne concernée une copie des données à caractère personnel faisant l'objet d'un traitement. 2. (...) 2 bis. Le droit d'obtenir une copie visé au paragraphe 1 ter (...) ne s'applique pas lorsqu'une telle copie ne peut être fournie sans divulguer des données à caractère personnel relatives à d'autres personnes concernées ou des données confidentielles relatives au responsable du traitement. En outre, ce droit ne s'applique pas si la divulgation des données à caractère personnel est susceptible de porter atteinte aux droits de propriété intellectuelle pour ce qui relève du traitement de données à caractère personnel. 3. (...) 4. (...) |
Directive
close
Art. 12 Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement: a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs: - la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées, - la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données, - la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1; b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données; c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné. |
France
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Art. 49 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Le droit d'accès de la personne concernée s'exerce dans les conditions prévues à l'article 15 du règlement (UE) 2016/679 du 27 avril 2016. En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition. Les dispositions du premier alinéa ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée et à la protection des données des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de réalisation de recherche scientifique ou historique. Art. 52 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d'accès, de rectification et d'effacement s'exercent dans les conditions prévues à l'article 118, si de telles restrictions ont été prévues par l'acte instaurant le traitement. Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l'application des dispositions du titre III. Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d'une procédure juridictionnelle, le droit d'accès peut être limité dans les conditions prévues aux e et h du 1 de l'article 23 du règlement (UE) 2016/679 du 27 avril 2016. |
Ancienne loi
en France close Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Art. 39 Version initiale I.-Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir : 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ; 2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ; 3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ; 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ; 5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle. Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction. En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition. II.-Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées. Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation ou dans la déclaration adressée à la Commission nationale de l'informatique et des libertés. Pour les modalités du droit d’accès décret 2005/1309 ART 98 + délibération de la CNIL du 1er avril 1980 n°80-010 + CNIL « guide du droit d’accès » 2010 Art. 39 Modifié par la loi n°2018-493 du 20 juin 2018 I.-Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir : 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ; 2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ; 3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ; 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ; 5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle. Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction. En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition. II.-Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées. Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation adressée à la Commission nationale de l'informatique et des libertés. Art. 40-1 Modifié par loi n°2016-1321 du 7 octobre 2016 I. - Les droits ouverts à la présente section s'éteignent au décès de leur titulaire. Toutefois, ils peuvent être provisoirement maintenus conformément aux II et III suivants. II. - Toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières. Les directives générales concernent l'ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés. Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique dont les modalités et l'accès sont fixés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés. Elles font l'objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d'utilisation. Les directives générales et particulières définissent la manière dont la personne entend que soient exercés, après son décès, les droits mentionnés à la présente section. Le respect de ces directives est sans préjudice des dispositions applicables aux archives publiques comportant des données à caractère personnel. Lorsque les directives prévoient la communication de données qui comportent également des données à caractère personnel relatives à des tiers, cette communication s'effectue dans le respect de la présente loi. La personne peut modifier ou révoquer ses directives à tout moment. Les directives mentionnées au premier alinéa du présent II peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés. Toute clause contractuelle des conditions générales d'utilisation d'un traitement portant sur des données à caractère personnel limitant les prérogatives reconnues à la personne en vertu du présent article est réputée non écrite. III. - En l'absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits mentionnés à la présente section dans la mesure nécessaire : - à l'organisation et au règlement de la succession du défunt. A ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d'identifier et d'obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers ; - à la prise en compte, par les responsables de traitement, de son décès. A ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s'opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour. Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en application du troisième alinéa du présent III. Les désaccords entre héritiers sur l'exercice des droits prévus au présent III sont portés devant le tribunal de grande instance compétent. IV. - Tout prestataire d'un service de communication au public en ligne informe l'utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu'il désigne. Décret d'application. CF chapitre II TITRE VI décret pris pour l'application de la loi n°78-17 du 6 janvier 1978. |
Belgique
Aucune disposition spécifique |
Ancienne loi
en Belgique close Art. 10 § 1. La personne concernée qui apporte la preuve de son identité a le droit d'obtenir du responsable du traitement : a) la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les catégories de destinataires auxquels les données sont communiquées; b) la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine de ces données; c) la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, dans le cas des décisions automatisées visées à l'article 12bis; d) un avertissement de la faculté d'exercer les recours prévus aux articles 12 et 14 et, éventuellement, de consulter le registre public prévu à l'article 18. A cette fin, la personne concernée adresse une demande datée et signée au responsable du traitement ou à toute autre personne désignée par le Roi. Les renseignements sont communiqués sans délai et au plus tard dans les quarante-cinq jours de la réception de la demande. Le Roi peut fixer les modalités pour l'exercice du droit visé à l'alinéa 1. § 2. (Sans préjudice de l'article 9, § 2, de la loi du 22 août 2002 relative aux droits du patient, toute personne a le droit, soit directement, soit avec l'aide d'un praticien professionnel en soins de santé, de prendre connaissance des données à caractère personnel traitées en ce qui concerne sa santé.) (Sans préjudice de l'article 9, § 2, de la loi précitée, la communication peut être effectuée par l'intermédiaire d'un professionnel des soins de santé choisi par la personne concernée, à la demande du responsable du traitement ou de la personne concernée.) Lorsque les données relatives à la santé de la personne concernée sont traitées aux fins de recherches médico-scientifiques, qu'il est manifeste qu'il n'existe aucun risque qu'il soit porté atteinte à la vie privée de cette personne et que les données ne sont pas utilisées pour prendre des mesures à l'égard d'une personne concernée individuelle, la communication peut, pour autant qu'elle soit susceptible de nuire gravement auxdites recherches, être différé au plus tard jusqu'à l'achèvement des recherches. Dans ce cas, la personne concernée doit avoir préalablement donné son autorisation écrite au responsable du traitement que les données à caractère personnel la concernant peuvent être traitées à des fins médico-scientifiques et que la communication de ces données peut dès lors être différée. § 3. Il ne doit être donné suite à une demande visée aux §§ 1er et 2 qu'à l'expiration d'un délai raisonnable, à compter de la date d'une demande antérieure d'une même personne à laquelle il a été répondu ou de la date à laquelle les données lui ont été communiquées d'office. |
Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.