Nul n'étant censé ignorer la loi, chaque citoyen sait pertinemment que lorsque des données le concernant personnellement ont été collectées et traitées où que ce soit (dans des fichiers d'entreprises ou sur un site internet), il dispose d'un certain nombre de droits sur ces données, dont l'un des premiers est le droit d'accès. S'ensuit aussi un droit de rectification et/ou de suppression.
Le mécanisme du droit d'accès
L'article 39-I du la loi n°78-17 du 3 janvier 1978 modifiée, dispose :
"I.-Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :
1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;
4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;
5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.
Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. (…)"
En clair, toute personne peut saisir la première entreprise venue dont elle pense que celle-ci détient des données la concernant (un commerçant par exemple) pour lui demander de lui communiquer les données ainsi détenues.
Les droits de rectification et de suppression font l'objet de l'article 40-I.
Un droit largement ignoré dans une loi elle-même trop peu appliquée
Et pourtant, nombreuses sont les entreprises et organismes publics — pas plus censés ignorer la loi que le simple citoyen — qui ne respectent pas ce droit. L'Association française des correspondants à la protection des données (AFCDP) réalise chaque année une mesure de ce droit d'accès, nommé "Index AFCDP du droit d'accès aux données personnelles". Cette étude relève les objections et motifs de refus totalement à côté de la plaque, voire surréalistes, de bien des organismes, publics ou privés, face à des demandes de droit d'accès (voir notre actualité du 31 janvier pour la publication de l'index 2017).
Rappelons quand même que la violation du droit d'accès est assortie d'une sanction pénale non négligeable (article R.625-11 du Code pénal, soit 1500 € d'amende par infraction constatée).
La Cnil à nouveau très didactique
C'est pourquoi nous saluons particulièrement l'initiative de la Cnil d'avoir publié, le 14 juin, un mode d'emploi très clair et méthodique pour guider les "responsables des traitements" (c'est-à-dire selon la loi les dirigeants des organismes) dans la manière de traiter une demande de droit d'accès.
Cet article prend même la peine d'avertir qu'à partir du 25 mai 2018 le Règlement général sur la protection des données (RGPD) s'appliquera et explique en quoi les dispositions changeront.
En savoir plus
Consulter l'article du 14 juin 2017 "Professionnels : comment répondre à une demande de droit d’accès ?" sur le site de la Cnil :
https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces
