Droit d'accès

La personne concernée peut à tout moment demander à accéder aux données que vous conservez à son sujet. Mieux encore : la personne concernée peut même demander une copie pour vérifier si les données sont bel et bien correctes.

Le droit d'accès permet à la personne concernée de contrôler la licéité de chaque activité de traitement. Le droit d'accès comporte trois éléments :

  • La personne concernée a le droit de savoir si vous traitez ou non ses données à caractère personnel.
     
  • Si oui, la personne concernée a le droit d'obtenir les informations mentionnées ci-dessous :
    • les finalités du traitement ;
    • les catégories de données à caractère personnel ;
    • les destinataires ou catégories de destinataires des données à caractère personnel ;
    • le délai de conservation des données à caractère personnel ou les critères utilisés pour déterminer ce délai ;
    • l'existence du droit à l’effacement, à la rectification des données à caractère personnel et du droit de limiter le traitement ou de s'y opposer ;
    • l'existence du droit d'introduire une plainte auprès d'une autorité de contrôle ;
    • la source des données (en cas de collecte indirecte) ;
    • lors d'un transfert en dehors de l’Union européenne : les garanties appropriées (par ex. des dispositions types - voir titre II.4 Où vont vos données) ;
    • l'existence d'une prise de décision automatisée, les informations utiles concernant la logique sous‑jacente et les conséquences prévues de ce traitement pour la personne concernée.
       
  • La personne concernée a le droit d'obtenir gratuitement une copie de ses données à caractère personnel que vous traitez. Si la personne concernée demande des copies supplémentaires, vous pouvez exiger le paiement de frais raisonnables qui ne sont pas supérieurs au coût administratif de ces copies.

 

Questions

L'article 15.1.g) du RGPD dispose que le responsable du traitement doit fournir à la personne concernée "toute information disponible" quant à la source des données lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée.

Le principe de responsabilité implique que tout responsable du traitement doit fournir des informations de base aux personnes concernées quant à la source des données à caractère personnel. Ces informations doivent non seulement démontrer que le responsable du traitement traite lui-même les données à caractère personnel conformément au RGPD, mais aussi que préalablement à la location ou à l'achat du fichier d'adresses, il a vérifié si la source de ce fichier d'adresses a elle-même traité ces données à caractère personnel de manière licite.

Cela signifie concrètement que la simple mention de la source proprement dite des données à caractère personnel n'est pas suffisante. Il faut également communiquer à la personne concernée des informations sur la manière dont la source a obtenu ses données à caractère personnel ainsi que la base juridique de ce traitement initial. Enfin, vous devez aussi transmettre les coordonnées de la source afin que la personne concernée puisse exercer son droit d'accès à l'égard de cette source.

Pour respecter l'article 15.1.g) du RGPD, vous devez donc fournir les informations suivantes :

  • la source (l'entreprise qui a vendu ou loué le fichier d'adresses) ;
  • les coordonnées de cette source ;
  • la base juridique du traitement initial réalisé par la source ; et
  • la manière dont la source a obtenu les données à caractère personnel de la personne concernée.

À titre d'exemple, vous pouvez consulter la décision n° 20/2021 de la Chambre Contentieuse (temporairement uniquement disponible en néerlandais)