Article 15 du RGPD
Droit d'accès de la personne concernée

1.  La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

2.  Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.

3.  Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.

4.  Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.

L’article 15 RGPD concerne le droit pour personnes concernées par un traitement de données personnelles, de former une demande d’accès auprès du responsable de traitement.

💡 Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle (article 4 RGPD).

Rappelons également qu’un responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle (article 4 RGPD).

Cet article appartient plus largement au Chapitre III concernant le “Droit de la personne concernée” :

• Le premier de ces droits est le “droit à l’information” (article 12 RGPD) avec en miroir l’obligation de transparence du responsable de traitement (article 13 RGPD) et du sous-traitant (article 14 RGPD).
• Le deuxième de ces droits concerne le “droit d’accès de la personne concernée” (article 15 RGPD).

La différence entre le droit à l’information et le droit d’accès aux informations est assez subtile :

→ Le droit à l’information est rédigé sous la forme d’une obligation pour celui qui traite la donnée personnelle de fournir une liste d’information aux personnes concernées (article 13 RGPD, article 14 RGPD).

Concrètement, le responsable de traitement doit mettre à disposition un certain nombre d’informations relatives aux traitements des données personnelles dans d’un document accessible. Par exemple une Privacy Policy (ou politique de confidentialité) ou un Data processing agreement (DPA).

→ Le droit d’accès est rédigé sous la forme d’une action de la personne concernée pour obtenir :

• Soit la confirmation que ses données personnelles sont traitées.
• Et si oui, l’accès à une liste d’informations énumérées à l’article 15 §1 RGPD.

Voici les informations à laquelle la personne concernée a le droit d’avoir accès :

a) Aux finalités du traitement, c’est-à-dire les objectifs pour lesquels sont traitées les données personnelles.

b) Aux types de données personnelles traitées.

Il s’agit pour le responsable de traitement de livrer des informations sur les catégories de données collectées. Par exemple, il peut s’agir de l’identité des personnes (nom, prénom etc.), de leurs données de navigation (navigateur utilisé, adresse IP etc.) ou historique d’achat etc.

c) Aux destinataires auxquels les données personnelles ont été communiquées et surtout s’il s’agit de destinataires en dehors de l’Union européenne (UE) et si tel est le cas, les garanties appropriées.

Le responsable de traitement doit donner accès à l’information relative aux destinataires du transfert de ces données. En effet, pour l’exercice de ces activités, le responsable de traitement utilise des sous-traitants qui peuvent aussi bien être le transporteur qui livre le produit chez le client ou un logiciel utilisé par l’entreprise contenant des données personnelles (gmail, google analytics, payfit, airtable, notion etc.).

💡Pour rappel, le sous-traitant est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).

⚠️ Lorsque ce sous-traitant n’est pas d’origine européenne, et surtout américaine, même si les données sont hébergées en Europe, il existe un risque pour la conformité avec le droit européen.

Pour cette raison, l’article 15 §2 précise que dans l’hypothèse de transfert de données personnelles vers un pays hors UE, la personne concernée a le droit d’être informée des garanties appropriées concernant ce transfert. Par exemple, si le responsable de traitement a mis en place une sécurité renforcée avant le transfert de ces données par un système de chiffrement des données.

Pour plus d’information au sujet des transferts de données hors UE, rendez-vous sur notre article ici.

d) À la durée de conservation ou les critères utilisés pour déterminer cette durée.

En effet, l’un des éléments de la protection des données personnelles est l’interdiction de traitement des données personnelles sans limite de temps. Le responsable de traitement doit donc fixer à l’avance le délai durant lequel il envisage de traiter les données personnelles ou à défaut le critère pour déterminer cette durée (par exemple, durant le délai nécessaire à l’exécution du contrat).

e) À la liste des droits que la personne concernée peut exercer sur ses données personnelles.

C’est-à-dire que le responsable de traitement doit informer les personnes concernées de leurs droits :

• À la rectification, c'est-à-dire le droit de toute personne de faire rectifier, actualiser, compléter ou effacer ses données personnelles en cas d’erreurs ou d’inexactitudes (article 16 RGPD et article 19 RGPD).
• À l’effacement des données personnelles définitivement (aussi appelé “droit à l’oubli”) (article 17 RGPD).
• À la limitation, c'est-à-dire la demande concernant une utilisation limitée à ce que demande la personne concernée (article 18 RGPD). Par exemple, sur le lieu de travail, il peut y avoir une vidéo surveillance dont les images doivent être supprimées au bout d’un mois. La personne concernée peut demander une conservation de ces images au-delà du délai en vue d’une procédure judiciaire.
• À l’opposition, ce qui correspond au refus de l’utilisation des données pour une certaine finalité (article 21 RGPD). Par exemple, les personnes ont le droit de s’opposer à ce que les données collectées soient utilisées à des fins de prospections commerciales.
• Et à la portabilité des données (15§3) c'est-à-dire le droit d’en obtenir une copie gratuitement (et moyennant le paiement des frais engagés par une demande de copies supplémentaires).

f) À l’information concernant le droit d’introduire une réclamation auprès de la CNIL.

En effet, lorsqu’une personne exerce ses droits (rectification, effacement, limitation, opposition, portabilité), il se peut que le responsable de traitement refuse (pour des raisons légales ou non) ou ne réponde pas. Dans ce cas, il doit tout de même informer la personne concernée qu’elle a la possibilité de former une réclamation auprès de la CNIL.

g) Au droit de savoir comment les données ont été collectées si elles n’ont pas été collectées auprès de la personne concernée.

Cette disposition correspond aux hypothèses où le responsable de traitement n’a pas collecté lui-même les données personnelles.

Cela peut être notamment le cas lorsqu’il est également sous-traitant et que le responsable de traitement lui transfère des données personnelles (par exemple une entreprise de e-commerce transfère l’adresse du client au transporteur). Cela peut être aussi le cas lorsque les données personnelles sont en accès libre en Open data. Dans les deux cas, la personne concernée doit être en mesure de connaître la source de sa donnée personnelle.

h) L’existence d’une décision automatisée ou un profilage.

💡Pour rappel, une décision automatisée ou profilage, est une décision prise grâce à un algorithme, pour évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement (article 4 RGPD). L’exemple assez classique de profilage est lorsque l’accord d’un crédit bancaire est conditionné au résultat d’un algorithme qui se fonde sur tout un tas de critère entièrement automatisé.

Dans la mesure où les décisions automatisées peuvent avoir des effets préjudiciables sur les droits et libertés des personnes, elles sont très encadrées (article 22 RGPD).

L’objet de cette disposition est d’apporter un premier niveau de protection en obligeant le responsable de traitement à informer la personne concernée qu’elle fait l’objet d’une décision automatisée.