Article
En savoir plus...
Jurisprudence
Actualités
Article 15 - Droit d'accès de la personne concernée
1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:- a) les finalités du traitement;
- b) les catégories de données à caractère personnel concernées;
- c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
- d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
- f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
- g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
- h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.
4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.
En savoir plus...
Le droit d'accès est un élément essentiel du droit à la protection des données et est, par exemple, déjà établi dans la convention 108 de 1981. Tout comme le principe général de transparence énoncé à l'article 5, paragraphe 1, point a), du RGPD et les informations actives visées aux articles 13 et 14 du RGPD, ainsi que de nombreuses autres dispositions en matière de transparence, le droit d'accès vise à remédier au « déséquilibre informationnel ».Le droit d'accès est également explicitement désigné comme un droit fondamental à l'article 8, paragraphe 2 de la Charte des droits fondamentaux de l'UE. Il est donc important que le droit d'accès soit interprété à la lumière de la Charte et du principe de proportionnalité énoncé à l'article 52, paragraphe 1, de la Charte.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Modalités d'information des personnes afin de favoriser la transparence]
58. Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.
[Modalités pour faciliter l'exercice des droits]
59. Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d'obtenir sans frais, notamment, l'accès aux données à caractère personnel, et leur rectification ou leur effacement, et l'exercice d'un droit d'opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l'objet d'un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d'un mois et de motiver sa réponse lorsqu'il a l'intention de ne pas donner suite à de telles demandes.
[Modalités et périmètre du droit d'accès]
63. Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d'en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d'informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.
[Vérification de l'identité exerçant une demande d'accès]
64. Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.
58. Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.
[Modalités pour faciliter l'exercice des droits]
59. Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d'obtenir sans frais, notamment, l'accès aux données à caractère personnel, et leur rectification ou leur effacement, et l'exercice d'un droit d'opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l'objet d'un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d'un mois et de motiver sa réponse lorsqu'il a l'intention de ne pas donner suite à de telles demandes.
[Modalités et périmètre du droit d'accès]
63. Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d'en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d'informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.
[Vérification de l'identité exerçant une demande d'accès]
64. Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.
Droit souple
Lignes directrices et recommandations
> CEPD - Lignes directrices 01/2022 - Droit d'accès (v2.1)
28 mars 2023, modifiées le 30 mai 2024
> CNIL - Recommandations - Exercice des droits via un mandataire
27 mai 2021
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 22 - Décision individuelle automatisée, y compris le profilage
> Article 46 - Transferts moyennant des garanties appropriées
Cet article est cité par...
> Article 11 - Traitement ne nécessitant pas l'identification
> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
> Article 23 - Limitations
> Article 83 - Conditions générales pour imposer des amendes administratives
> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-203/22 | Dun & Bradstreet Austria GmbH | 27/02/2025 | Prise de décision automatisée - Droit d'accès - Fourniture d' "informations utiles concernant la logique sous-jacente" de l'algorithme - Obligation | Lien | Contenu, Transparence | Technologie | Cour de Justice de l'UE | 2025 |
| C-203/22 | Dun & Bradstreet Austria GmbH | 27/02/2025 | Prise de décision automatisée - Droit d'accès - "Informations utiles concernant la logique sous-jacente" de l'algorithme protégées par un secret - Obligation de fournir ces informations à l'autorité compétente pour qu'elle pondère les intérêts en cause | Lien | Restrictions, Transparence | Technologie | Cour de Justice de l'UE | 2025 |
| 490416 | Mme D... F... | 27/01/2025 | Exercice des droits - Adresser une demande au responsable de traitement préalablement à une saisine de la CNIL - Obligation | Lien | Procédure | Conseil d'Etat | 2025 | |
| 488201 | M. B... C... | 05/12/2024 | Droit d'accès - Restrictions - 1) Demandes imprécises concernant une grande quantité de données - Admission - 2) Pouvant être liées aux caractéristiques du traitement - Admission | Lien | Restrictions | Conseil d'Etat | 2024 | |
| C-461/22 | MK (Curateur professionnel) | 11/07/2024 | Droit d'accès - Ancien curateur vis-à -vis d'une personne protégée - Applicabilité | Lien | Responsable de traitement | Cour de Justice de l'UE | 2024 | |
| C-333/22 | Ligue des droits humains (Vérification du traitement des données par l’autorité de contrôle) | 16/11/2023 | Exercice des droits de manière indirecte (Directive Police-Justice) - Recours juridictionnel contre la décision de clôturer la procédure - Existence | Lien | Exercice indirect des droits | Police-Justice | Cour de Justice de l'UE | 2023 |
| C-307/22 | FT (Copies du dossier médical) | 26/10/2023 | Droit d'accès - Fourniture d’une première copie des données à titre gratuit - Obligation - Demande motivée par un but étranger à ceux visés au considérant 63 RGPD - Inclusion | Lien | Gratuité | Cour de Justice de l'UE | 2023 | |
| C-307/22 | FT (Copies du dossier médical) | 26/10/2023 | Droit d'accès - Législation mettant à la charge de la personne concernée les frais d’une première copie de ses données - Illicéité | Lien | Gratuité | Cour de Justice de l'UE | 2023 | |
| C-307/22 | FT (Copies du dossier médical) | 26/10/2023 | Droit d'accès - Reproduction fidèle et intelligible de l'ensemble des données - Obligation - Application dans le domaine médical | Lien | Contenu | Santé | Cour de Justice de l'UE | 2023 |
| C-579/21 | Pankki S | 22/06/2023 | Droit d'accès - Opérations de traitement antérieures à la date d’entrée en application du RGPD - Application du RGPD - Conditions | Lien | Procédure | Cour de Justice de l'UE | 2023 | |
| C-579/21 | Pankki S | 22/06/2023 | Droit d'accès - 1) Journaux de consultation - Inclusion - 2) Identité des salariés ayant consulté les données - Exclusion en principe | Lien | Contenu | Travail | Cour de Justice de l'UE | 2023 |
| C-579/21 | Pankki S | 22/06/2023 | Droit d'accès - 1) Restrictions en lien avec l'activité bancaire dans le cadre du mission réglementée du responsable - Absence - 2) Restrictions en lien avec la qualité de la personne concernée (cliente ou employée) - Absence | Lien | Restrictions | Economie et fiscalité | Cour de Justice de l'UE | 2023 |
| C-487/21 | Österreichische Datenschutzbehörde et CRIF | 04/05/2023 | Droit d’accès - 1) - Notion de "copie" - Reproduction fidèle et intelligible - 2) Notion d’ "informations" - Données à caractère personnel que le RT doit fournir | Lien | Définitions | Cour de Justice de l'UE | 2023 | |
| C-154/21 | Österreichische Post | 12/01/2023 | Droit d’accès - Inclusion de la liste des destinataires - Obligation, sauf impossibilité ou demande abusive | Lien | Contenu | Cour de Justice de l'UE | 2023 | |
| SAN-2022-021 | EDF | 24/11/2022 | Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion | Lien | Contenu de l'information | Marketing et prospection | CNIL ou équivalent | 2022 |
| 40/2022 | Mme X | 17/03/2022 | Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission | Lien | Minimisation, Procédure | CNIL ou équivalent | 2022 | |
| 447495 | M. A... B... | 24/02/2022 | Droit d'accès - "Autrui" : personne autre que le demandeur - Communication des informations relatives aux « destinataires ou catégories de destinataires » (ici, l’identité des agents publics ou des salariés ayant consulté les données) - Exclusion | Lien | Définitions, Contenu | Administration | Conseil d'Etat | 2022 |
| 448729 | Mmes I..., J... et H... | 18/11/2021 | Droit d'accès - Demande par un héritier d'accéder aux données médicales d'une personnes décédée - 1) Secret médical - Exclusion sauf volonté contraire du défunt - 2) Loi Informatique et Libertés - Admission sous conditions | Lien | Dossier médical, Personnes décédées | Santé | Conseil d'Etat | 2021 |
| 447088 | Mme B...-C.. | 05/07/2021 | Droit d'accès - Demande par un héritier d'accéder aux données d'une personnes décédée - 1) RGPD - Exclusion (hors champ d'application - 2) Loi Informatique et Libertés - Admission sous conditions | Lien | Personnes décédées | Conseil d'Etat | 2021 | |
| MED-2021-042 | Société X | 01/07/2021 | Droit d’accès au dossier médical du mineur - Exercice par le titulaire de l'autorité parentale - Admission sous conditions | Lien | Dossier médical | Jeunesse et éducation, Santé | CNIL ou équivalent | 2021 |
| C-272/19 | Land Hessen | 09/07/2020 | Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Conséquence - Applicabilité du droit d’accès | Lien | Responsable de traitement | Administration | Cour de Justice de l'UE | 2020 |
| 434473 | M. B... | 12/02/2020 | Droit d'accès - Portée - Données dont la durée de conservation est échue ou qui ne sont plus traitées - Exclusion | Lien | Contenu | Conseil d'Etat | 2020 | |
| C-434/16 | Nowak | 21/12/2017 | Donnée à caractère personnel et droit d'accès (directive 95/46) - Réponses écrites fournies par le candidat à un examen professionnel - Annotations de l’examinateur relatives à ces réponses - Inclusion | Lien | Contenu | Cour de Justice de l'UE | 2017 | |
| C-141/12 et C-372/12 | YS e.a. | 17/07/2014 | Droit d'accès - Demandeur d'un titre de séjour vis à vis de l'ensemble des données le concernant traitées par les autorités administratives nationales - Admission - Conditions d'application | Lien | A classer | Administration | Cour de Justice de l'UE | 2014 |
| C-486/12 | X | 12/12/2013 | Droit d'accès (directive 95/46) - Facturation de la communication de données personnelles par une autorité publique - Admissible si le montant est inférieur ou égal au coût de la communication | Lien | Gratuité | Administration | Cour de Justice de l'UE | 2013 |
| 327916 | Société Centrapel | 20/10/2010 | Droit d'accès - 1) Obligation du responsable du traitement de transmettre ces données, sauf demande abusive - Admission - 2) Communication faite préalablement au mandataire de la personne : circonstance ne levant pas l'obligation de donner accès à la personne concernée | Lien | Restrictions | Conseil d'Etat | 2010 | |
| C-553/07 | Rijkeboer | 07/05/2009 | Droit d'accès (directive 95/46) - 1) Information sur les destinataires et les catégories de destinataires des données - Inclusion - 2) Durée de conservation de l’information sur les destinataires ou les catégories de destinataires - Inclusion | Lien | Contenu | Cour de Justice de l'UE | 2009 | |
| C-553/07 | Rijkeboer | 07/05/2009 | Délai d’exercice du droit d’accès - Exigence d’équilibre entre l’intérêt de la personne à protéger sa vie privée et la charge que l’obligation de conservation représente pour le responsable de traitement - Illustration | Lien | Procédure | Cour de Justice de l'UE | 2009 | |
| 197751 | Société TVF | 14/06/1999 | Droit d'accès - Information détenue par la société employeur du demandeur et par le sous-traitant - Demande pouvant être adressée à cette dernière, sans que la clause de confidentialité figurant dans la convention entre ces deux sociétés puisse être opposée | Lien | Procédure | Travail | Conseil d'Etat | 1999 |
Actualités
Profitez de nos actualités en lien avec cet article !AEPD (autorité espagnole)
06 avril 2025
Une entreprise de jeux vidéo condamnée à une amende de 5 000 euros pour entrave au droit d’accès
L’autorité espagnole de protection des données (AEPD) a, ce samedi, publié une décision de sanction à l’encontre de la société CREMA GAMES, S.L. pour ne pas avoir correctement traité une demande d’exercice du droit d’accès. L’affaire a, comme très souvent, débuté par une réclamation déposé [...]
ANSPDCP (autorité roumaine)
23 mars 2025
En Roumanie, un hôtel condamné pour ne pas avoir répondu à une demande de droit d’accès
Ce vendredi, l’autorité roumaine a publié une décision de sanction à l’encontre de l’opérateur Bucharest Down Town Hotel SRL en raison de manquements en matière de droits des personnes. L’entreprise a été sanctionnée à  une amende d’un montant de 4 975,00 RON (équivalent à 1 000 EUR). Comme souvent, l’ [...]
ANSPDCP (autorité roumaine)
20 mars 2025
Marketing non sollicité : l’autorité roumaine condamne une entreprise à 2 000 euros d’amende
L’autorité roumaine a aujourd’hui annoncé avoir condamné l’opérateur ONE UNITED PROPERTIES S.A à une amende d’environ 10 000 lei, soit 2 000 euros (au total), en raison de marketing non sollicité. Au cours de l’enquête, qui a été ouverte à la suite de plaintes de la part de particuliers, [...]
DPA (autorité grecque)
13 mars 2025
Imposition d’une amende à la Banque Nationale pour un incident de violation des données personnelles ayant abouti à des transferts d’argents non désirés
L’autorité grecque a annoncé aujourd’hui avoir sanctionné la Banque Nationale à une amende totale de 120 000€ pour des lacunes de sécurité ayant abouti à une violation. Cette affaire commence avec des plaintes qui ont été déposées auprès de l&rsq [...]
AEPD (autorité espagnole)
11 mars 2025
En Espagne, une chaîne hôtelière échappe à la sanction grâce aux délais de prescriptions locaux
L’AEPD a aujourd’hui publié une décision d’archivage d’un dossier en raison du dépassement du délai de prescription des frais reprochés, celui-ci étant de 3 ans en Espagne. La réclamation initiale a été déposée auprès de l’autorité allemande de protection des données de Bavière en avril 2021 par [...]
ANSPDCP (autorité roumaine)
11 mars 2025
Un hôtel condamné pour ne pas avoir accordé l’accès aux images de vidéosurveillance
L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction à l’encontre de Noy Business Transactions SRL (avec une amende de 1 000 euros à la clef) pour ne pas avoir répondu correctement à une demande d’exercice des droits. L’enquête a été initiée à la suite d’une plainte [...]
DPA (autorité grecque)
06 mars 2025
Imposition d’une amende et d’un avertissement à une la Banque Nationale de Grèce pour violation du droit d’accès et absence de procédures
Suite à un nombre significatif de plaintes contre la Banque Nationale pour violation du droit d’accès aux données personnelles, l’autorité a aujourd’hui annoncé avoir examiné, de manière groupée, sept affaires et, d’office, les procédures tenu [...]
DPA (autorité grecque)
28 février 2025
Une société de gestion de prêts et créances condamnée en Grèce pour avoir refusé une demande de droit d’accès
L’autorité grecque a aujourd’hui publié une décision de sanction à l’encontre d’une société gérant des prêts et des créances. (avec 3 000 euros d’amende à la clé) pour ne pas avoir répondu à une demande de droit d’accès de manière satisfaisante. L’autorité indique [...]
NOYB – None of your business
27 février 2025
Swedbank refuse la transparence dans le calcul automatique des intérêts : NOYB dépose plainte
Aujourd’hui, de plus en plus de banques fixent leurs taux d’intérêt automatiquement, sans aucune intervention humaine. Or, la moindre inexactitude peut coûter aux consommateurs des milliers d’euros supplémentaires. Si la législation européenne autorise l’utilisation d’un tel système automatique dan [...]
CJUE – Arrêt C-203/22
27 février 2025
Évaluation de crédit automatisée : la personne concernée a droit à ce qu’on lui explique comment la décision a été prise à son égard
Dans un arrêt publié ce jour, la Cour de Justice a estimé qu’en matière d’évaluation de crédit automatisée (« credit score »), le responsable du traitement doit décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse compre [...]
<< Retourner au menu