par Manon LEONARD, étudiante du Master 2 Droit des communications électroniques.
Tout le long de l’année 2024, la CNIL (Commission nationale de l’informatique et des libertés) a mené des contrôles dans des organismes publics et privés pour évaluer la prise en charge du droit d’accès des personnes concernées concernant leurs données à caractère personnel.
Ce droit d’accès, inscrit à l’article 15 du RGPD, garantit à toute personne la possibilité d’accéder aux informations collectées, traitées à son sujet afin d’en vérifier la licéité.
Le 20 janvier 2025, la CNIL a publié son bilan concernant le droit d’accès des personnes au sein des organismes publics et privés. Ce bilan est né de la troisième édition de l’action coordonnée (Coordination Enforcement Framework) réalisée par le Comité européen de la protection des données (CEPD), la CNIL ainsi que plusieurs autres autorités européennes. Cette initiative avait pour objectif de constater et d’analyser la manière dont le responsable de traitement gérait les demandes liées au droit d’accès.
Par principe, la CNIL contrôle les organismes, soit à la suite de plaintes, soit à la suite de signalements, soit elle se saisit elle-même d’un cas particulier. En cas de manquement, la CNIL peut décider de prononcer des mesures correctrices. Au sein de ce bilan, la CNIL s’intéressait à environ 11 organismes publics et privés, avec des secteurs différents.
Malgré la fiche pratique de la CNIL, publiée le 13 juin 2017, et les lignes directrices sur le droit d’accès publiées par le CEPD, le 28 mars 2023, permettant de fournir des précisions sur le droit d’accès avec des exemples pratiques, la plupart des organismes publics et privés fournissent des réponses incomplètes. Pourtant, ces lignes directrices prévoyaient notamment le champ d’application du droit d’accès aux données personnelles, le format de la demande, les informations que le responsable de traitement doit fournir à la personne concernée, mais aussi la notion de demandes manifestement infondées ou excessives. De plus, la CNIL avait déjà publié un guide pratique permettant de répondre correctement à une demande d’accès d’une personne concernée.
En effet, au sein des investigations de la CNIL, les organismes ont nécessairement mis en œuvre des mesures pour traiter les demandes liées au droit d’accès. Cependant, les mesures employées par les organismes pour traiter les demandes d’accès sont en réalité insuffisantes, voire même insatisfaites.
Certains organismes ne transmettent aux personnes concernées que les informations relatives aux traitements de données à caractère personnel, en oubliant de transmettre la copie des données traitées. Alors que d’autres organismes ne fournissent que la copie des données traitées, en oubliant les informations liées aux traitements de données à caractère personnel. La CNIL a aussi constaté que certains organismes ne répondent pas aux sollicitations des personnes concernées.
Le bilan de la CNIL révèle un décalage préoccupant entre les pratiques des organismes audités et les exigences du RGPD en matière de droit d’accès. Par conséquent, la CNIL prévoit de prendre des mesures correctrices : avertissements, mises en demeure ou sanctions pécuniaires selon la gravité des manquements constatés. De nouvelles sanctions pourraient également être prononcées à la suite des contrôles réalisés en 2024.
Ce bilan permet de mettre en lumière les faiblesses et les axes d’améliorations liées à l’application du droit d’accès, un droit essentiel au maintien de la transparence et de la protection des données à caractère des personnes concernées.
NB : Image générer par IA ( Intelligence artificielle)
Sources :