Le RGPD, l’avocat et l’obligation de transparence et de loyauté (partie 2)

Dans la première partie de cet article, parue dans le précédent Fil RGPD, nous avons vu que, du principe de transparence et de loyauté de l’article 5, §1, 1°, a) du RGPD découlaient, pour la personne concernée, un droit à l’information et un droit d’accès aux données. Le droit à l’information y avait été décrit et nous reprenons dès lors cet article à l’analyse du droit d’accès.

2. Le droit d’accès des personnes concernées 

Le droit d’accès est l’un des droits les plus fréquemment exercés et fait l'objet d'une part importante des plaintes reçues par l’APD.
Par ailleurs, son contrôle fait l’objet des thématiques de contrôle prioritaires de l’APD pour 2024.

Afin de guider au mieux l’avocat, seront abordés ci-après, le contenu de ce droit (2.1), ses exceptions (2.2) et les modalités de sa mise en œuvre (2.3).

2.1. Le contenu du droit d’accès  

Le droit d'accès, consacré à l’article 15 du RGPD, permet à la personne concernée par les données de contrôler la licéité des activités de traitement des responsables des traitements, en ce compris de l’avocat. 

Il permet à la personne concernée de savoir si des données personnelles qui la concernent sont traitées, quelles sont ces données et d’en obtenir une copie dans un format compréhensible. 

Il permet également à la personne de contrôler l’ampleur, la pertinence et l’exactitude de ces données et, au besoin, de les faire rectifier ou effacer. 

Il constitue ainsi un moyen, pour les personnes concernées, de maîtriser leurs données.

À cet effet, le droit d’accès comporte trois éléments ou modalités de mise en œuvre. 

Premièrement, la personne concernée a le droit de savoir si l’avocat traite ou non ses données à caractère personnel.

Deuxièmement, dans l’affirmative, la personne concernée a le droit d'obtenir les informations spécifiques aux traitements de ses données à caractère personnel, et ce avec plus d’exactitude que l’information mise à sa disposition dans la politique de protection des données ou dans le registre des traitements¹, le cas échéant. 

L’avocat, sollicité par une demande d’exercice du droit d’accès doit donc, sous réserve des exceptions, y répondre de manière spécifique en précisant, dans le cas d’espèce, les informations suivantes² : 

• les finalités du traitement ;
• les catégories de données à caractère personnel ;
• les destinataires ou catégories de destinataires des données à caractère personnel ;
• le délai de conservation des données à caractère personnel ou les critères utilisés pour déterminer ce délai ; 
• l'existence du droit à l’effacement, à la rectification des données à caractère personnel et du droit de limiter le traitement ou de s'y opposer ;
• l'existence du droit d'introduire une plainte auprès d'une autorité de contrôle ;
• la source des données (en cas de collecte indirecte) ;
• lors d'un transfert en dehors de l’Union européenne, les garanties appropriées assurant la conformité des traitements ; et enfin
• le cas échéant, l'existence d'une prise de décision automatisée, en ce compris les informations utiles concernant la logique sous‑jacente et les conséquences prévues de ce traitement pour la personne concernée.

Troisièmement, la personne concernée a le droit d'obtenir gratuitement une copie de ses données à caractère personnel. Si, néanmoins, la personne concernée demande des copies supplémentaires, le paiement de frais raisonnables, qui ne peuvent être supérieurs au coût administratif de ces copies, peut être requis.

En toute circonstance, la copie doit lui être transmise au format de sa demande. Ainsi, si la demande est adressée par courriel, il est opportun d’y répondre et de transmettre copie des données par voie électronique³.

2.2. Les exceptions au droit d’accès

Le droit d’accès, comme l’ensemble des droits des personnes concernées, n’est pas absolu. Le considérant 63 du RGPD dispose que le droit d'accès ne doit pas porter atteinte aux droits ou libertés d'autrui⁴, y compris au secret des affaires, à la propriété intellectuelle, au secret de la correspondance ou encore au secret professionnel, sans, pour autant, priver la personne concernée de toute information. Comme le rappelle l’Autorité de protection des données, dans sa décision 57/2023 du 17 mai 2023 relative au refus d'accès à des enregistrements sonores⁵, « l'exercice du droit d'accès doit (…) être pondéré à l'égard d'autres droits fondamentaux conformément au principe de proportionnalité. (Le European Data Protection Board - EDPB)⁶ a prévu dans les lignes directrices trois étapes pour réaliser cette pondération. Lorsque cette pondération de l'article 15, paragraphe 4 du RGPD démontre que l'acceptation de la demande a des effets négatifs pour les droits et libertés d'autres participants (étape 1), les intérêts de tous les participants doivent être pondérés, compte tenu des circonstances spécifiques du cas et de la probabilité et la gravité des risques liés à cette communication des données. Le responsable du traitement doit tenter de concilier les droits conflictuels (étape 2), par exemple en prenant des mesures appropriées pour limiter le risque pour les droits et libertés de tiers, comme par exemple en rendant illisibles les informations relatives à des tiers au lieu de refuser de fournir une copie des données à caractère personnel. S'il est toutefois impossible de trouver un compromis, le responsable du traitement doit décider dans une étape suivante quels droits et libertés conflictuels prévalent (étape 3). »

C’est pourquoi, dans la gestion des droits d’accès, l’avocat doit procéder comme suit :

1. vérifier les effets négatifs du droit d’accès pour les droits et libertés d’autrui, voire le caractère abusif de la demande ; 
2. en cas d’effets négatifs, vérifier si et comment, il est possible de réconcilier les droits en conflit ; 
3. si une réconciliation est impossible, examiner quels droits prévalent. 

Le secret professionnel de l’avocat constitue un droit pour ses clients. Dès lors, lorsque qu’une personne requiert d’un avocat responsable de traitement l’accès aux données qui la concernent, celui-ci ne peut fournir aucune information protégée par ce secret. Ainsi, sollicité par une partie adverse, l’avocat peut valablement invoquer son secret pour ne pas donner suite à la demande d’accès, et en particulier s’agissant d’obtention d’une copie des données. L’avocat peut également refuser de donner suite à une demande qui est abusive, notamment lorsqu’elle est manifestement infondée ou excessive par son caractère répétitif.

2.3. Les modalités de sa mise en œuvre

Ce droit doit être mis en œuvre dans le respect du principe de transparence et des règles énoncées aux articles 12 (qui guident la mise en œuvre de l’ensemble des droits des personnes concernées) et 15 § 3 (qui traite plus particulièrement du droit d’accès) du RGPD.

Ainsi, l’avocat doit prendre des mesures appropriées pour communiquer avec la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. 

En outre, il y a lieu de toujours répondre gratuitement à la demande dans un délai d’un mois à compter de la réception d’une demande complète. A tout le moins, la personne concernée doit toujours, dans ce délai, savoir si sa demande est acceptée et dans le cas contraire, pour quels motifs. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes, si la personne concernée est informée de cette prolongation et des motifs du report de ce premier délai dans ce délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement.

Compte tenu des exceptions ci-avant énoncées et des obligations définies en aux articles 12 et 15 du RGPD, afin de donner les suites utiles à l’exercice d’un droit d’accès, il y a lieu de procéder par étapes. Sur le modèle de la CNIL, l’Autorité française de protection des données, nous proposons le processus en 4 étapes suivant⁷ : 

1. Vérifier l’identité de la personne qui exerce sa demande, afin d’éviter de divulguer les données à des personnes non autorisées. Le cas échéant, si la personne n’est pas identifiée ou identifiable préalablement par vos soins par d’autres moyens, demander une copie de sa carte d’identité ;
2. Demander sur quelles données porte la demande, surtout lorsque la demande est adressée de manière très vague ;
3. Vérifier que la demande ne concerne pas des tiers ou ne porte pas atteinte à leurs droits. Le cas échéant masquer, l’identité des tiers ou les éléments permettant indirectement de les identifier ; 
4. Le cas échéant, refuser la demande de droit d’accès si :
   • elle est manifestement infondée ou excessive, notamment par son caractère répétitif  (par exemple, en cas de demandes multiples et rapprochées dans le temps d’une copie déjà fournie) ;
   • les données ne sont plus conservées / ont été effacées : dans ce cas, l’accès est impossible ;
   • il est impossible de concilier les droits d’autrui, et notamment le secret professionnel, avec la demande, même en anonymisant les copies.

En guise de résumé, nous partageons, ci-dessous l’infographie réalisée par la CNIL.

Saba Parsa
DPO de l’OBFG
Avocate au barreau du Brabant wallon

--------------------------

¹ En ce sens, l’APD, dans sa décision 126/2022 du 18 août 2022 portant sur une campagne d’invitation à la vaccination par voie de courrier électronique et l’absence de mise en œuvre du droit à l’effacement, dispose que : 
« 30. La Chambre contentieuse constate qu'un extrait général du registre de traitement a été transmis. On peut ainsi voir quelles catégories de données à caractère personnel peuvent être utilisées pour une finalité de traitement spécifique. Cependant, la personne concernée ne sait pas clairement quelles sont les données à caractère personnel dont dispose réellement le responsable du traitement et comment il les a obtenues. Par conséquent, un tel extrait général ne peut suffire à répondre au droit d'accès d'une personne concernée » (nous soulignons) (Traduction libre du néerlandais URL : https://www.autoriteprotectiondonnees.be/publications/ordonnance-n-126-2022.pdf) 

² Nous invitons à conserver la liste de contrôle.

³ C’est ainsi qu’en dispose d’APD dans sa décision 7/2024 du 16 janvier 2024, relative au droit d’accès exercé à l’encontre du revendeur de données Black Tiger Belgium : « 173. S’il n’est pas exclu qu’une transmission postale apporte plus de certitude qu’une transmission électronique en l’absence d’une pièce d’identité, la chambre contentieuse estime qu’il existe, en plus des courriers électroniques ordinaires, d’autres canaux de communication plus sûrs pour la transmission ultérieure des informations demandées par voie électronique, conformément à l’article 12.3 du RGPD. En outre, selon la chambre contentieuse, l’envoi par voie postale n’offre pas nécessairement plus de garanties que les informations envoyées aboutissent finalement à la « bonne » personne concernée, car le défendeur ne peut pas exclure la possibilité que la personne concernée ait déménagé entre-temps. D’une manière plus générale, la Chambre contentieuse a jugé que le défendeur n’avait pas agi avec la diligence requise en ne demandant pas de justificatif d’identité ou en vérifiant au préalable l’identité des requérants (...). Par conséquent, la Chambre contentieuse estime que le défendeur dispose d’informations suffisantes pour vérifier si l’adresse e-mail correspond aux coordonnées de la personne concernée déjà incluses dans la ou les bases de données du défendeur avant le traitement ultérieur de la demande. » (Traduction libre du Néerlandais)

⁴ En ce sens également, l’arrêt C-487/21, Österreichische Datenschutzbehörde et CRIF, du 4 mai 2023 de la Cour de justice, qui considère que « le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement (en vertu de l’article 15, paragraphe 3, première phrase, du RGPD) implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par (le RGPD), étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui. » (Nous soulignons)

⁵ URL : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-57-2023.pdf 

⁶ European Data Protection Board.

⁷ CNIL ou Commission nationale informatique et liberté ; URL : https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces