Mon Conseiller RGPD

Le Droit d’accès

L’exercice du Droit d’accès permet de savoir si les données personnelles de la personne concernée sont traitées par un Organisme et d’en obtenir la copie, ainsi que de contrôler l’exactitude des informations.

Le cas échéant les faire rectifier ou effacer.

Si l’Organisme estime que l’exercice du Droit d’accès est infondé ou excessif, il peut s’opposer à la demande mais dans ce cas c’est à lui de prouver ce qu’il soutient à savoir son refus de réponse.

L’exercice du Droit d’accès est gratuit et ce n’est que dans certains cas où des frais dits raisonnables peuvent être demandés en cas de nécessité pour le traitement du dossier comme la remise d’une copie supplémentaire.

La réponse du responsable de traitement ou de l’Organisme :

Il doit répondre dans les meilleurs délais et tout au plus dans les 30 jours suivants la demande.

Le délai peut être augmenté de deux mois en cas de complexité de la demande que le responsable de traitement doit indiquer et justifier dans les 30 jours de la demande.

Dans le cas où passé le délai des 30 jours il n’y a eu aucune réponse, sans informer de l’éventuelle obligation de proroger de deux mois supplémentaires, la plainte peut être déposée à la CNIL.

Les justificatifs d’envoi doivent être transmis et la personne concernée peut demander que l’utilisation de ses données personnelles soient limitées.

La réponse est incomplète :

L’Autorité nationale de contrôle préconise que le demandeur à l’exercice informe au préalable le responsable de traitement de son insatisfaction et de compléter ce qui lui a été demandé.

Dans ce cas si le refus est opposé ou une absence de réponse, la plainte peut être déposée à la CNIL avec tous les justificatifs de la demande initiale et de la demande complémentaire, le cas échéant avec les justificatifs d’envoi.

Les obligations du responsable de traitement dans sa réponse :

L’Organisme détenant les données personnelles doit en fournir la copie intégrale dans un langage clair et rappeler les informations suivantes à celui qui exerce son Droit :

  1. Les objectifs d’utilisation des données personnelles collectées, la finalité à atteindre.
  2. Les catégories des données collectées
  3. La durée de leur conservation et les critères qui déterminent cette durée
  4. Les informations de la source d’origine de la collecte si l’Organisme n’a pas recueilli directement les données personnelles auprès de la personne concernée.
  5. L’existence d’une prise de décision automatisée, incluant le profilage, avec son fonctionnement et les conséquences pour la personne concernée. Les informations doivent être complètes pour permettre à la personne concernée d’avoir toute la compréhension nécessaire à la situation.
  6. L’identité des destinataires auprès desquels les données personnelles sont communiquées ainsi que ceux qui le seront pour l’avenir si la situation existe. ( l’Organisme peut se limiter à l’indication des catégories des destinataires dans le cas où leur identification soit impossible ou s’il estime que la demande d’exercice est infondée ou excessive. )
  7. Le transfert des données hors Union européenne s’il existe ou, le cas échéant, vers un Organisme international.
  8. L’existence des autres Droits pour la personne concernée ( rectification, effacement, limitation et opposition. )
  9. La possibilité de déposer plainte à la CNIL