Le 18 novembre dernier, la CNIL a actualisé sa fiche pratique relative aux modalités de réponse à une demande de droit d’accès d’une personne concernée.
Pour mémoire, le RGPD et la loi Informatique et Libertés permettent à toute personne d’accéder aux données qui la concernent.
Il en ressort que la personne concernée peut demander l’accès à l’information sur le traitement éventuel de données la concernant ainsi que l’obtention d’une copie de ces données.
A ce titre, la CNIL rappelle que toute personne peut exercer son droit d’accès auprès d’un organisme, dès l’instant qu’il détient des données personnelles la concernant. Par exemple, peuvent être destinataires d’une demande d’accès : la société dont la personne est cliente, son employeur, son médecin ou encore, une administration.
Face à une telle demande, l’organisme doit mettre en œuvre une procédure interne adaptée afin d’apporter une réponse conforme au RGPD et à la loi Informatique et Libertés.
Dans cette perspective, la fiche pratique publiée par la CNIL (accessible ici) a vocation à rappeler aux professionnels les bonnes pratiques à adopter pour répondre correctement à une demande d’exercice de droit d’accès.
1. Démarche à adopter face à une demande d’exercice de droit d’accès
La CNIL recommande aux organismes destinataires d’une demande d’exercice de droit d’accès de suivre les quatre étapes suivantes :
(i) Tout d’abord, en cas de doute, l’organisme peut vérifier l’identité de la personne qui exerce sa demande.
A ce titre, la CNIL rappelle que la justification de l’identité de la personne concernée peut intervenir « par tous moyens » (par exemple, par la fourniture d’un numéro client ou adhérent) et précise que la demande de la pièce d’identité de la personne ne doit intervenir qu’en cas de « doute raisonnable sur l’identité du demandeur ».
(ii) Ensuite, lorsque la demande porte sur une grande quantité de données, l’organisme peut demander à la personne concernée de préciser sur quelles données ou quels traitements de données porte sa demande.
(iii) L’organisme doit respecter les droits des tiers, ce qui implique qu’il doit :
- Vérifier que la demande ne concerne pas un tiers (par exemple, le conjoint ou le collègue de la personne), sauf à justifier d’un mandat en bonne et due forme; et
- Veiller, dans la réponse, à ne pas porter atteinte aux droits des tiers, au secret des affaires ou à la propriété intellectuelle (par exemple, en masquant des éléments dans les documents transmis au demandeur).
(iv) Enfin, l’organisme doit respecter les délais de réponse imposé
La CNIL rappelle que la réponse doit intervenir :
- En cas de demande simple: dans un délai d’un mois maximum à compter de la demande.
- En cas de demande portant sur des données de santé : dans un délai de quarante-huit heures minimum (compte tenu du délai de réflexion légal) etde huit jours maximum suivant la demande.
A noter que si les données de santé sont traitées depuis plus de cinq ans, le délai de réponse est porté à deux mois.
- En cas de demande complexe(par exemple, portant sur un grand nombre de données) : dans un délai de 3 mois maximum à compter de la demande.
S’il est possible de refuser de faire droit à la demande de la personne (par exemple, lorsque la demande est infondée ou excessive ou encore, lorsque les données ont été effacées), la CNIL rappelle qu’il convient d’en informer le demandeur dans un délai d’un mois.
2. Précisions sur les obligations pesant sur les organismes
La CNIL rappelle que des obligations pèsent sur les organismes et apporte des précisions à cet égard. En particulier :
(i) Tout d’abord, la CNIL indique que l’organisme doit prendre des mesures pratiques permettant à la personne concernée d’exercer son droit d’accès (par exemple, par le biais d’un formulaire en ligne) et mettre en place une procédure interne efficace pour traiter la demande dans les délais impartis et répondre au demandeur de manière compréhensible, accessible et formulée en des termes clairs et simples.
(ii) La CNIL estime que les données personnelles présentes dans un document (par exemple, enregistrement vocal, courrier, rapport, etc.), peuvent être communiquées soit par la copie du document lui-même, soit par une retranscription fidèle sur un autre support.
Aussi, s’agissant des données personnelles enregistrées dans un « logiciel métier » (par exemple, CRM ou gestion RH), la CNIL précise qu’elles peuvent être communiquées par la transmission d’impressions d’écrans du logiciel métier ou par une retranscription fidèle sur tout autre support.
(iii) La CNIL recommande de conserver une preuve de l’envoi et la réception de la réponse apportée au demandeur (par exemple, en répondant par écrit à une demande écrite, en envoyant un courrier par LRAR).
(iv) Enfin, la CNIL impose aux organismes de sécuriser la transmission des données. A titre d’exemple, la CNIL propose de chiffrer les données qui seraient transmises par une clé USB afin d’éviter que ces données soient accessibles à tous.