Article 15 – Droit d’accès de la personne concernée

Article 15 - Droit d'accès de la personne concernée

1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:

a) les finalités du traitement;
b) les catégories de données à caractère personnel concernées;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.

3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.

En savoir plus...

Le droit d'accès est un élément essentiel du droit à la protection des données et est, par exemple, déjà établi dans la convention 108 de 1981. Tout comme le principe général de transparence énoncé à l'article 5, paragraphe 1, point a), du RGPD et les informations actives visées aux articles 13 et 14 du RGPD, ainsi que de nombreuses autres dispositions en matière de transparence, le droit d'accès vise à remédier au « déséquilibre informationnel ».

Le droit d'accès est également explicitement désigné comme un droit fondamental à l'article 8, paragraphe 2 de la Charte des droits fondamentaux de l'UE. Il est donc important que le droit d'accès soit interprété à la lumière de la Charte et du principe de proportionnalité énoncé à l'article 52, paragraphe 1, de la Charte.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Modalités d'information des personnes afin de favoriser la transparence]
58. Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

[Modalités pour faciliter l'exercice des droits]
59. Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d'obtenir sans frais, notamment, l'accès aux données à caractère personnel, et leur rectification ou leur effacement, et l'exercice d'un droit d'opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l'objet d'un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d'un mois et de motiver sa réponse lorsqu'il a l'intention de ne pas donner suite à de telles demandes.

[Modalités et périmètre du droit d'accès]
63. Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d'en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d'informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

[Vérification de l'identité exerçant une demande d'accès]
64. Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 01/2022 - Droit d'accès (v2.1)

28 mars 2023, modifiées le 30 mai 2024

> CNIL - Recommandations - Exercice des droits via un mandataire

27 mai 2021

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...

> Article 22 - Décision individuelle automatisée, y compris le profilage

> Article 46 - Transferts moyennant des garanties appropriées

Cet article est cité par...

> Article 11 - Traitement ne nécessitant pas l'identification

> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

> Article 23 - Limitations

> Article 83 - Conditions générales pour imposer des amendes administratives

> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

En savoir plus...

Droit souple (sectoriel ou transversal)

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Lien
C-154/21	Österreichische Post	12/01/2023	2023	Autriche	Cour de Justice de l'UE	A classer		Inclusion de la liste des destinataires dans une demande de droit d'accès - Obligation	39. Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.	15	4c7a18c8baa891976ae8102b846b3aa8143fe90d	Cliquer pour accéder à la décision
SAN-2022-021	EDF	24/11/2022	2022	France	CNIL ou équivalent	Contenu de l'information	Marketing et prospection	Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion	22. [...] En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.	13, 14, 15	4c7a18c8baa891976ae8102b846b3aa8143fe90d	Cliquer pour accéder à la décision
447495	M. A... B...	24/02/2022	2022	France	Conseil d'Etat	A classer	Administration	Droit d’obtenir communication des informations relatives aux « destinataires ou catégories de destinataires » - Connaissance de l’identité des agents publics ou des salariés ayant consulté les données - Exclusion	6. En quatrième lieu, les dispositions du c) du paragraphe 1 de l'article 15 du RGPD, qui prévoient le droit pour la personne concernée d'obtenir communication des informations relatives aux " destinataires ou catégories de destinataires " auxquels les données à caractère personnel la concernant ont été communiquées, n'ont ni pour objet, ni pour effet d'autoriser une personne à connaître l'identité des agents publics ou des salariés ayant consulté les données à caractère personnel la concernant dans l'exercice de leurs fonctions au sein de la personne morale ou du service destinataire. Le moyen tiré de ce que les décisions attaquées méconnaîtraient ces dispositions ne peut donc, en tout état de cause, qu'être écarté.	15	4c7a18c8baa891976ae8102b846b3aa8143fe90d	Cliquer pour accéder à la décision
C-272/19	Land Hessen	09/07/2020	2020	Allemagne	Cour de Justice de l'UE	A classer	Administration	Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Conséquence - Applicabilité du droit d’accès	72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires. 74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci.	4, 15, 24	4c7a18c8baa891976ae8102b846b3aa8143fe90d	Cliquer pour accéder à la décision
C-434/16	Nowak	21/12/2017	2017	Angleterre	Cour de Justice de l'UE	A classer		Donnée à caractère personnel et droit d'accès - Réponses écrites fournies par le candidat à un examen professionnel - Annotations de l’examinateur relatives à ces réponses - Inclusion	42. S’agissant des annotations de l’examinateur relatives aux réponses du candidat, il convient de constater que celles-ci constituent, tout comme les réponses fournies par le candidat lors de l’examen, des informations concernant ce candidat.	15	4c7a18c8baa891976ae8102b846b3aa8143fe90d	Cliquer pour accéder à la décision
C-553/07	Rijkeboer	07/05/2009	2009	Pays-Bas	Cour de Justice de l'UE	A classer		Directive 95/46/CE - Droit d’accès à l’information sur les destinataires et les catégories de destinataires des données - Durée de conservation de l’information sur les destinataires ou les catégories de destinataires	70. Il y a lieu, dès lors, de répondre à la question posée de la manière suivante: - L’article 12, sous a), de la directive impose aux États membres de prévoir un droit d’accès à l’information sur les destinataires ou les catégories de destinataires des données ainsi qu’au contenu de l’information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres de fixer un délai de conservation de cette information ainsi qu’un accès corrélatif à celle-ci qui constituent un juste équilibre entre, d’une part, l’intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d’intervention et de recours prévus par la directive et, d’autre part, la charge que l’obligation de conserver cette information représente pour le responsable du traitement.	15	4c7a18c8baa891976ae8102b846b3aa8143fe90d	Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

CNIL

30 janvier 2025

Observatoire du droit d’accès sur les réseaux sociaux : le Laboratoire d’innovation numérique de la CNIL (LINC) publie son bilan

Le LINC a sélectionné 10 réseaux sociaux parmi les plus utilisés en Europe et en France : Discord, Facebook, Instagram, LinkedIn, Meta, Pinterest, Snapchat, TikTok, Twitch, X (ex-Twitter), YouTube. Les parcours d’accès aux copies des données personnelles de ces réseaux sociaux ont été examiné [...]

Disponible sur: veille.portail-rgpd.com

CNIL

20 janvier 2025

Droit d’accès : bilan des contrôles de la CNIL dans le cadre d’une action coordonnée européenne

Pour la troisième édition de l’action coordonnée (coordinated enforcement framework – CEF) du Comité européen de la protection des données (CEPD), la CNIL et plusieurs de ses homologues européens ont évalué la mise en œuvre du droit d’accès des personnes à leurs données personnelles par des organismes. Pour rappel, les [...]

Disponible sur: veille.portail-rgpd.com

Comité européen sur la protection des données (EDPB)

20 janvier 2025

L’EDPB recense les obstacles à la pleine mise en œuvre du droit d’accès dans un rapport

Le comité européen de la protection des données (CEPD, EDPB en anglais) a annoncé aujourd’hui avoir adopté un rapport sur la mise en œuvre du droit d’accès des responsables du traitement. Le rapport résume les résultats d’une série d’actions nationales coordonnées menées en 2024 au titre du cadre de mise en œuvre coordonn [...]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

08 janvier 2025

Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés

L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une décision motivée [...]

Disponible sur: veille.portail-rgpd.com

CNIL

19 décembre 2024

Aspiration de données : sanction de 200 000 euros à l’encontre de la société KASPR

Le 5 décembre 2024, la CNIL a prononcé une amende de 200 000 euros à l’encontre de la société KASPR, notamment pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient pourtant choisis d’en limiter la visibilité. La société KASPR commercialise une extension payante pour le navigateur Chrome qui permet à ses clients d’o [...]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

07 décembre 2024

Vodafone condamné en Grèce à 20 000 euros d’amende pour avoir mal répondu à une demande de droit d’accès

Ce 02 décembre 2024, l’autorité grecque a publié une décision de sanction (20 000 euros d’amende) à l’encontre de Vodafone en raison de problèmes dans la gestion de l’exercice des droits des personnes. Le plaignant, abonné à « My Vodafone », a déposé une plainte auprès de l’a [...]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

27 novembre 2024

Le « médiateur des assurances » belge réprimandé pour ne pas avoir accordé une demande de droit d’accès

Dans une décision du 21 novembre dernier publiée ce jour, l’APD annonce avoir réprimandé ASBL Service Ombudsman des Assurances pour ne pas avoir correctement accordé le droit d’accès à des personnes concernées. Ou, en tout cas, au moins un, qui a déposé une plainte auprès de l’autorité. Le pla [...]

Disponible sur: veille.portail-rgpd.com

CNIL

06 novembre 2024

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victi [...]

Disponible sur: veille.portail-rgpd.com

Signaler une erreur / Faire une suggestion
<< Retourner au menu