Droit d’accès : bilan des contrôles de la CNIL dans le cadre d’une action coordonnée européenne
À l’occasion d’une action coordonnée au niveau européen, la CNIL a mené en 2024 une série de contrôles d’organismes publics et privés pour vérifier la prise en compte du droit d’accès. Elle a pris des mesures répressives contre des organismes qui ne répondaient que partiellement aux personnes concernées.
Pour la troisième édition de l’action coordonnée (coordinated enforcement framework - CEF) du Comité européen de la protection des données (CEPD), la CNIL et plusieurs de ses homologues européens ont évalué la mise en œuvre du droit d’accès des personnes à leurs données personnelles par des organismes.
Pour rappel, les responsables de traitement ont l’obligation de répondre aux demandes de droit d’accès des personnes. Cette réponse doit contenir un certain nombre d’informations (article 15 du RGPD).
Des réponses incomplètes aux demandes d’accès
Dans le cadre de cette action, la CNIL a procédé à des contrôles sur place auprès de 11 organismes publics et privés, de tailles et de secteurs d’activité divers. Ces organismes ont notamment été choisis sur la base de plaintes reçues par la CNIL.
Il ressort de ces investigations que ces organismes ont majoritairement mis en œuvre des mesures organisationnelles pour traiter les demandes de droit d’accès qu’ils reçoivent (par exemple la désignation d'un délégué à la protection des données).
Toutefois, ces mesures sont parfois insuffisantes et insatisfaisantes. Par exemple, lorsque les personnes concernées exercent leur droit d’accès à l’intégralité de leurs données, certains organismes ne fournissent qu’une réponse partielle ou incomplète :
- certains organismes répondent en fournissant seulement les informations relatives au traitement de données personnelles mis en œuvre, sans comporter une copie des données traitées ;
- à l’inverse, d’autres organismes ne donnent qu’une copie des données traitées, sans fournir les informations sur le traitement mis en œuvre ;
- enfin, d’autres organismes excluent systématiquement de leurs réponses certains traitements ou certaines catégories de données personnelles.
Les lignes directrices sur le droit d’accès adoptées par le CEPD en 2023 sont peu prises en compte par les organismes contrôlés, voire méconnues. Or, ces lignes directrices donnent de nombreux conseils et exemples pratiques visant à aider les organismes à répondre aux demandes de droit d’accès des personnes concernées conformément au droit applicable. Ce document illustre, par exemple, les conditions dans lesquelles les responsables des traitements peuvent demander des précisions à la personne exerçant son droit afin de satisfaire sa demande.
La CNIL a également publié une fiche pratique rappelant aux professionnels leurs obligations et les informations à transmettre lorsqu’une personne en fait la demande.
Les mesures répressives de la CNIL
Dans le cadre de cette action coordonnée et à la suite des contrôles menés, la CNIL a déjà prononcé plusieurs rappels aux obligations légales.
La CNIL poursuit l’instruction des autres contrôles qu’elle a menés : en fonction des cas, elle pourra soit prononcer d’autres mesures correctrices (rappel aux obligations légales, mises en demeure ou amendes), soit clore les procédures en l’absence de manquement aux règles applicables.
Pour approfondir
- Les droits des personnes sur leurs données
- Professionnels : comment répondre à une demande de droit d’accès ?
- Les contrôles de la CNIL en 2024 : données des mineurs, Jeux Olympiques, droit d’accès et tickets de caisse dématérialisés
- Droit d’accès, guichet unique, violation de données : le CEPD publie de nouvelles lignes directrices
- Le contrôle de la CNIL
- Comment se passe un contrôle de la CNIL ?
- Le Comité européen de la protection des données (CEPD)
- Document du comité européen de la protection des données sur la mise en œuvre du cadre d’application coordonné dans le cadre du règlement (UE) 2016/679 - CEPD
