Le droit d’accès aux données à caractère personnel conditionne d’autres droits (rectification, effacement, opposition…) puisqu’il permet à une personne de faire en sorte un premier pas pour se réapproprier les données la concernant et détenues par un organisme, une administration ou un établissement, parfois au mépris des règles relatives à la protection des données.

Ainsi le droit d’accès n’est pas un droit à la « curiosité », mais bien un droit à contrôler les données détenues nous concernant.

https://www.cnil.fr/fr/le-droit-dacces-connaitre-les-donnees-quun-organisme-detient-sur-vous

Le service public fédéral belge Santé publique, Sécurité de la chaîne alimentaire et Environnement, s’est vu infliger une réprimande il y a quelques semaines, pour ne pas avoir répondu à une demande d’exercice de droit d’accès d’un professionnel de santé qui avait fait l’objet d’un retrait de poste.

Selon l’Autorité de protection des données, l’homologue belge de la CNIL, « Le respect des droits des citoyens en matière de protection des données personnelles est une pierre angulaire du RGPD, et les responsables du traitement des données se doivent de tout mettre en place pour l’assurer ».

Tout responsable de traitement doit prévoir les procédures internes pour permettre de gérer efficacement les obligations inhérentes au RGPD.

Rappelons que le responsable de traitement a un mois à compter de la réception de la demande pour répondre à la personne.

Si la demande est imprécise, le responsable de traitement peut demander un complément d’information (précisions sur l’identité de la personne et/ou sur sa demande). Le délai de réponse est alors suspendu dans l’attente des éléments demandés.

Dans une situation de demande d’accès complexe ou d’un nombre important de telles demandes, le responsable de traitement peut informer la personne concernée du prolongement du délai de réponse à deux mois à condition toutefois de préciser les motifs justifiant un tel report.

Enfin, en cas de demande manifestement infondée ou excessive (en raison de son caractère répétitif), le responsable de traitement peut refuser de donner suite à une demande d’accès en motivant la ou les raison(s) du refus et en l’informant du délai et des voies de recours pour contester cette décision.

Bien-sûr il conviendra d’être prudent pour décider un tel refus d’autant que de nouvelles données ont pu être collectées depuis la précédente demande de droit d’accès et que l’exception est d’interprétation stricte.

L’article 625-11 du Code pénal punit « de l’amende prévue pour les contraventions de la 5e classe le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas répondre aux demandes d’une personne physique justifiant de son identité qui ont pour objet :

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;

2° Les informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

3° Le cas échéant, les informations relatives aux transferts de données à caractère personnel envisagés à destination d’un Etat n’appartenant pas à l’Union européenne ;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. ».

Le Code pénal punit « de la même peine le fait de refuser de délivrer, à la demande de l’intéressé, une copie des données à caractère personnel le concernant, le cas échéant, contre paiement d’une somme qui ne peut excéder le coût de la reproduction. Est puni de la même peine le fait de ne pas répondre aux demandes tendant à la mise en œuvre des droits prévus à l’article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ou, hors les cas prévus à l’article 107 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’article 104 et à l’article 105 de cette même loi. ».

Par ailleurs, le droit d’accès s’exerce dans le respect des réglementations et du droit des tiers.

Ainsi l’article précité du Code pénal ajoute : « Les contraventions (…) ne sont toutefois pas constituées si le refus de réponse est autorisé par la loi soit afin de ne pas porter atteinte au droit d’auteur, soit parce qu’il s’agit de demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique, soit parce que les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. ».

Dans sa documentation de conformité, le responsable de traitement devra être en mesure de démontrer qu’il a donné suite à une demande d’accès.

Enfin, rappelons que l’accès aux données de santé est soumis à des délais particuliers et que ce droit d’accès peut être indirect, en particulier dans le cadre d’une demande d’admission en soins psychiatriques (article L. 1111-7, alinéa 4 du Code de la santé publique) ou en cas de diagnostic ou de pronostic grave (article L. 1110-4, V, alinéa 2 du même code).

La communication des données de santé doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt, dans l’intérêt de la personne, dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois (article L.1111-7 du Code de la santé publique).