En vertu du RGPD, chaque personne concernée (candidats à l'emploi, (ex-)travailleurs, etc.) a le droit de demander l'accès à toutes les données que le responsable du traitement (l’employeur) détient à son sujet. En outre, la personne concernée peut demander une copie de toutes ces données. Fin janvier 2022, le Comité Européen de la Protection des Données (EDPB) a publié de nouvelles lignes directrices sur la portée de ce droit. Après écoulement de la période de consultation publique, les lignes directrices seront définitivement adoptées.
Qu’est-ce que le “droit d’accès”?
Le droit d’accès est repris à l’article 15 du RGPD. L'objectif de ce droit est de fournir aux personnes des informations suffisantes, transparentes et facilement accessibles sur le traitement de leurs données à caractère personnel, afin de leur permettre de vérifier la licéité du traitement et de contrôler l'exactitude des données traitées.
Le droit d’accès comprend 3 composantes :
- La confirmation de l’existence ou non du traitement des données à caractère personnel de la personne concernée ;
- L’accès à ces données à caractère personnel ; et
- L'accès aux informations concernant le traitement, telles que la finalité, les catégories de données et les destinataires, la durée du traitement, les droits de la personne concernée et les garanties appropriées en cas de transfert vers des pays tiers.
Quelles sont les formalités d’une demande d’accès?
Il n'y a pas d'exigences particulières quant à la forme ou au contenu de la demande, et la personne concernée n'a pas à motiver sa demande. Le demandeur ne doit pas non plus faire explicitement référence au droit d'accès ou au RGPD.
Le responsable du traitement doit fournir des canaux de communication appropriés et facilement utilisables par la personne concernée. Toutefois, la personne concernée n'est pas obligée d'utiliser ces canaux spécifiques et peut envoyer sa demande à un point de contact officiel de la société. Le responsable du traitement peut passer outre la demande que si elle est envoyée à une adresse (électronique) totalement aléatoire ou manifestement incorrecte. En d'autres termes, une demande ne peut être ignorée si elle n'est pas adressée à la personne de contact et/ou à l'adresse électronique figurant dans la politique de confidentialité de l'entreprise. Si le responsable du traitement a des doutes sur l'authenticité de (l'auteur de) la demande, il peut demander des informations supplémentaires pour confirmer l'identité de la personne concernée.
Quelles sont les données à caractère personnel qu’il faut fournir ?
Le droit d'accès a un large champ d'application : outre les données à caractère personnel de base, il comprend également, selon l'EDPB, les notes subjectives prises lors d’un entretien d’embauche, l'historique des données de navigation, les activités de recherche, etc.
Sauf indication contraire explicite, la demande doit être considérée comme couvrant toutes les données à caractère personnel relatives à la personne concernée, mais le responsable du traitement peut demander à la personne concernée de préciser sa demande s'il traite un grand nombre de données. Cela s'applique à chaque demande : ainsi, si une personne concernée fait plus d'une demande, il ne suffit pas de donner accès uniquement aux changements intervenus depuis la dernière demande.
Même les données qui pourraient avoir été traitées de manière incorrecte ou illicite doivent être fournies. Il n'est pas nécessaire de fournir les données qui ont déjà été supprimées, par exemple conformément à une politique de conservation, et dont le responsable du traitement ne dispose donc plus.
Concrètement, le responsable du traitement devra rechercher des données à caractère personnel dans tous les systèmes informatiques et autres archives en utilisant des critères de recherche qui reflètent la manière dont les informations sont structurées, par exemple, le nom et le numéro de client ou d'employé.
De quelle manière doit-il être répondu à la demande?
Le principal moyen d'accorder l'accès consiste à fournir à la personne concernée une copie de ses données, mais d'autres modalités (telles qu'une information orale et un accès sur place) peuvent être prévues si la personne concernée le demande. Il appartient au responsable du traitement de décider de la forme la plus appropriée pour fournir les données : par courrier, par e-mail (à condition que toutes les mesures de sécurité nécessaires, telles que le cryptage, soient appliquées), par USB, ...
En tout état de cause, la communication des données et des autres informations relatives au traitement doivent être fournies sous une forme concise, transparente, intelligible et facilement accessible, dans un langage clair et simple. En ce qui concerne les informations relatives au traitement, il ne suffit pas de copier le texte de la politique de confidentialité dans la réponse à la personne concernée, mais le texte de la politique de confidentialité devra être précisé en fonction des activités de traitement pertinentes pour la personne concernée (par exemple, si la politique de confidentialité indique en termes généraux que les données à caractère personnel des travailleurs peuvent être transférées à des "hôtels" pour des voyages d'affaires, la réponse à la personne concernée devra préciser à quels hôtels les données à caractère personnel du travailleur ont été transférées).
Dans quel délai faut-il répondre à la demande ?
La réponse à la demande doit être apportée dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de sa réception (par exemple, une demande reçue le 5 mars doit recevoir une réponse au plus tard le 5 avril). Si le dernier jour du délai tombe un week-end ou un jour férié, le délai sera prolongé jusqu'au jour ouvrable suivant. S'il est nécessaire de vérifier l'identité du demandeur (par exemple en demandant une copie de la carte d'identité), le délai ne commencera à courir qu'à partir du moment où le responsable du traitement aura obtenu la confirmation nécessaire.
Ce délai d'un mois peut être prolongé de deux mois si nécessaire, en tenant compte de la complexité de la demande et du nombre de demandes. La personne concernée doit alors être informée de la raison de ce retard. Cette exception doit être interprétée de manière restrictive car, selon l'EDPB, le responsable du traitement doit mettre en place de manière proactive des systèmes permettant de répondre rapidement et précisément à une demande d'exercice du droit d'accès.
Le responsable du traitement doit prendre les mesures nécessaires afin de traiter les demandes dans les meilleurs délais. Lorsqu'il traite un grand nombre de données, le responsable du traitement devra donc mettre en place des mécanismes adaptés à la complexité du traitement. Selon l'EDPB, le simple fait qu'une entreprise soit importante et reçoive de nombreuses demandes ne devrait pas automatiquement conduire à une prolongation du délai.
L’accès peut-il être refusé pour certaines raisons ?
Le RGPD autorise certaines restrictions au droit d'accès:
- Le droit d'accès ne doit pas porter atteinte aux droits et libertés d'autrui. Toutefois, selon l'EDPB, cela ne devrait pas conduire à un refus complet de la demande d'accès : cela pourrait seulement conduire à ce que les parties susceptibles d'avoir un impact négatif sur les droits et libertés d'autrui soient omises ou rendues illisibles ;
- Les demandes manifestement infondées ou excessives peuvent être rejetées ou peuvent justifier l'imposition d'une indemnisation raisonnable pour couvrir les frais administratifs. Toutefois, ces notions doivent être interprétées de manière restrictive selon l'EDPB, ce qui signifie que les possibilités de considérer une demande comme manifestement infondée ou excessive sont plutôt limitées.