Ce que vous devez savoir.

En tant qu'entreprise, traitez-vous des données à caractère personnel (pour plus d'informations sur le terme "données à caractère personnel", voir GDPR toolkit - données à caractère personnel) ? Dans ce cas, il est préférable de vous préparer à une demande d'accès de la part d’une personne concernée. En effet, dès que votre entreprise traite des données à caractère personnel, le GDPR s'applique et la personne concernée a le droit de consulter ses données à caractère personnel conformément à l'article 15 du GDPR. Concrètement, le droit d'accès aux données à caractère personnel signifie que la personne concernée peut demander à votre entreprise (i) si des données à caractère personnel la concernant sont ou non traitées, (ii) d'obtenir une copie de ces données à caractère personnel et (iii) d'obtenir des informations sur leur traitement.

En tant qu'entreprise, pouvez-vous invoquer une exception au titre du GDPR ? Le principe de base est qu’en tant qu'entreprise, vous ne pouvez pas refuser une demande d'accès aux données à caractère personnel. La Cour de Justice a déjà jugé qu'une personne concernée a le droit de consulter ses réponses aux examens écrits et les commentaires de l'examinateur à cet égard, car il s'agit de données à caractère personnel. La Cour de Cassation italienne a déjà jugé qu'un employé doit avoir accès aux documents d'évaluation que son employeur conserve à son sujet. Les motifs sous-jacents de la demande ne sont pas pertinents. Dans la pratique, il est donc possible que la personne concernée utilise ensuite les informations (dans le cadre d'une procédure) à l'encontre de votre entreprise. Bien que vous ne puissiez pas refuser une demande d'accès aux données à caractère personnel, l'article 15.4 du GDPR stipule explicitement que le droit d'accès aux données à caractère personnel ne peut pas porter atteinte aux droits et libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle. Vous devrez donc, en pratique, supprimer ou rendre anonymes ces informations relatives aux tiers.

Il semble aujourd’hui admis que ce droit d'accès aux données à caractère personnel n'inclut pas automatiquement le droit d’obtenir une copie du document contenant les données à caractère personnel et, en tout état de cause, n'implique pas un droit d'accès aux systèmes de données. Toutefois, en tant qu'entreprise, vous êtes, à tout le moins, tenue de fournir à la personne concernée un aperçu des données à caractère personnel traitées sous une forme compréhensible. Cet aperçu suffit s’il permet à la personne concernée de prendre connaissance des données à caractère personnel et de vérifier si elles sont correctes et traitées conformément au GDPR.

Il doit être répondu à une demande d'accès aux données à caractère personnel dans un délai d'un mois. Ce délai commence à courir dès que la demande est suffisamment claire (qui soumet la demande ? qu’est-il demandé ?). Une réponse tardive à une demande constitue également une infraction au GDPR et peut être sanctionnée.

Ce que vous devez faire.

En tant qu'entreprise, vous devez avant tout vous préparer à une demande d'accès aux données à caractère personnel. Il est donc conseillé d'établir une procédure à cet effet, par exemple une feuille de route interne ou des e-mails standards, et de désigner une personne interne chargée de répondre à ces demandes. En outre, il est conseillé de donner à vos employés, en particulier aux RH et à ceux en contact étroit avec les clients, des instructions claires sur la manière de traiter les données à caractère personnel et, en particulier, sur la manière de prendre des notes.

Lorsque vous recevez une demande d'accès aux données à caractère personnel d'une personne concernée, vous devez impérativement vérifier l'identité de la personne concernée, par exemple au moyen d'une adresse e-mail, d'un numéro de client, d'une copie du recto de la carte d'identité ou d'une identification à deux facteurs via téléphone portable. Si vous communiquez des informations sur la personne concernée à la mauvaise personne, il s'agit d'une violation de données.

Dès que vous êtes certain de l'identité de la personne concernée, vous devez vérifier si votre entreprise traite des données à caractère personnel concernant cette personne. Toutefois, vous pouvez toujours demander à la personne concernée de préciser sa demande si votre entreprise traite un grand nombre de données à caractère personnel. Si votre entreprise ne traite pas de données à caractère personnel concernant cette personne, il vous suffit d'en informer cette dernière. Si votre entreprise traite des données à caractère personnel concernant cette personne, vous devrez, à tout le moins, fournir un aperçu des données à caractère personnel traitées sous une forme compréhensible. Ce faisant, vous devrez donc supprimer ou rendre anonymes les informations concernant les tiers avant d'accorder le droit d'accès aux données à caractère personnel. En outre, conformément à l'article 15.1 du GDPR, vous devrez fournir certaines informations, qui devront également figurer dans une déclaration de confidentialité, mais qui seront ensuite concrètement appliquées à la personne concernée. Le fait que vous ayez déjà fourni une déclaration de confidentialité à la personne concernée ne libère pas votre entreprise de cette obligation d'information supplémentaire.

La procédure devrait vous permettre de répondre à la demande d'accès aux données à caractère personnel dans un délai d'un mois. Gardez également à l’esprit que les personnes concernées n'utiliseront pas toujours la procédure standard prévue dans la déclaration de confidentialité, mais prendront par exemple contact avec leur personne de contact habituelle au sein de votre entreprise. Informez donc vos employés au sujet de la personne interne responsable pour de telles demandes et prévoyez les renforts nécessaires en cas d'absence prolongée.