CONTACT

Réponse à une demande de droit d’accès : l’incohérence peut coûter cher !

05 mars 2025 | Alexandre Fievée & Valentin Vauge|

Réponse à une demande de droit d’accès : l’incohérence peut coûter cher !

L’autorité de contrôle maltaise a sanctionné une banque qui avait répondu de manière incohérente à une demande de droit d’accès.

1/ L’exercice du droit d’accès et la réponse du responsable du traitement

Une personne concernée avait exercé son droit d’accès auprès de sa banque en vue d’obtenir une copie de l’intégralité de ses données à caractère personnel, y compris les courriels internes échangés entre les employés et tous les documents internes la concernant. 

La banque a répondu favorablement à cette demande en transmettant la copie de nombreuses données. Toutefois, la réponse était, selon la requérante, incomplète dans la mesure où il manquait la copie des courriels internes échangés entre les employés et tous les documents internes la concernant. 

Malgré l’insatisfaction de la requérante, la banque a refusé de transmettre ces éléments au motif que leur transmission porterait atteinte au secret professionnel et au secret bancaire (exception posée à l’article 15(4) du RGPD).

La personne concernée a réitéré sa demande, considérant que cette exception ne lui était pas opposable.

En réponse, la banque lui a indiqué avoir transmis l’intégralité des données personnelles dont elle disposait et qu’elle ne compléterait pas sa réponse initiale.

Face à cette incohérence, la personne concernée a déposé une plainte auprès de l’autorité de contrôle maltaise.

2/ La sanction pour réponse incohérente à la demande de droit d’accès

L’autorité a considéré que la banque avait manqué au principe de transparence, posé à l’article 5(1)a du RGPD, en n’indiquant pas, dès la première réponse, qu’elle s’était fondée sur l’article 15(4) du RGPD pour refuser de transmettre certains éléments. En effet, si la personne concernée n’avait pas insisté, elle n’aurait jamais su que la réponse initiale était incomplète.

L’autorité de contrôle maltaise a également ajouté que la réponse de la banque était contraire au RGPD. En effet, selon l’autorité, le responsable du traitement ne peut pas, d’un côté, prétendre avoir fourni toutes les données à caractère personnel d’une personne et, de l’autre côté, invoquer l’article 15(4) du RGPD pour refuser l’accès à certaines données.

En conséquence, l’autorité de contrôle a adressé un avertissement à la banque et lui a ordonné de répondre à la demande de droit d’accès de la personne concernée.

Source : IDPC (Malte), 14 janvier 2025, n° CDP/COMP/332/2024

articles similaires

| Derriennic Associés

Le droit d’accès dans le viseur du CEPD

Le CEPD a annoncé que le thème de sa troisième action coordonnée 2024 est le droit d’accès. Créé en 2020, l’action coordonnée vise à « faciliter [entre les autorités de...

| Alexandre Fievée & Valentin Vauge

L’intérêt supérieur de l’enfant est une limite au droit d’accès

L’autorité slovène de contrôle a rappelé les contours de l’exercice du droit d’accès d’un parent au nom de son enfant et a, en l’espèce, considéré qu’une école avait légalement refusé...

| Derriennic associés

Le droit d’accès ne permet pas d’obtenir l’identité des personnes ayant consulté les données

Dans un arrêt du 22 juin 2023, la CJUE s’est prononcée sur les limites du droit d’accès en confirmant qu’on ne peut, en principe, pas d’obtenir l’identité des personnes ayant...