Demande d'accès aux données personnelles
L'exercice du droit d'accès permet aux personnes concernées de savoir si des données les concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Le Tribunal administratif de Marseille a toutefois rappelé qu'il existe certaines limites à l'exercice de ce droit.
Le 17 février 2023, les juges ont rejeté la demande d'un avocat qui souhaitait obtenir l'accès aux enregistrements d'une caméra de surveillance située sur le domaine public de la commune de Marseille.
Il sollicitait les images de vidéoprotection afin d'identifier des personnes qu'il suspectait d'avoir portées atteinte à ses biens ou à son intimité.
Le DPO de la ville avait refusé d'accéder aux données en indiquant que l'avocat n'était pas la personne filmée, et que même s'il voulait déterminer qui avait porté atteinte à ses biens, il ne pouvait pas demander l'accès aux données personnelles qui ne le concernaient pas. Le tribunal a confirmé cette décision, rappelant la nécessité de respecter les limites du droit d'accès aux données personnelles.
Le droit d'accès aux données : un droit nécessaire
Toute personne concernée se voit reconnaître un droit d'accès à ses données à caractère personnel détenues par le responsable de traitement (art. 15 RGPD).
Ce droit lui permet d'obtenir un certain nombre d'informations si elle le demande. Il a pour fonction de lui permettre de vérifier la licéité des traitements effectués par ce responsable de traitement.
En savoir plus sur le site de la CNIL
Les limites du droit d'accès aux données personnelles
Comme l'indique l'article 15 du RGPD, seule la personne concernée a le droit d'obtenir du responsable du traitement l'accès à ses données personnelles la concernant, soit la personne à laquelle appartiennent les données en cause.
Dans l'hypothèse d'une demande de droit d'accès aux enregistrements d'un système de vidéoprotection de la voie publique, cet accès est de droit (art. L. 253-5 du code de la sécurité intérieure). Cependant, le responsable de traitement peut opposer à la personne qui le demande un refus pour un motif tenant au droit des tiers.
En effet, l'accès aux enregistrements qui la concernent par une personne ne peut se faire qu'à la condition qu'elle présente le caractère d'une personne intéressée.
Le DPO peut donc légitimement refuser l'accès à des données personnelles à une personne qui n'est pas concernée par les informations en cause.
Cela garantit la protection des tiers, car même si l'avocat voulait identifier les auteurs d'une atteinte à ses droits et à son intimité, ses intentions pourraient être différentes. C'est la raison pour laquelle le RGPD précise, dans son article 15, que seule la personne concernée peut demander l'accès à ses données personnelles au responsable de traitement.
💡 Il existe deux cas particuliers dérogeant à ce principe :
- Le mandataire : une personne ou une organisation qui est autorisée à agir en tant que représentant d'une autre personne ou entité afin de faire des affaires à leur nom.
- Le tuteur : les demandes d'exercice des droits sont faites par le tuteur lorsque la personne concernée est mineure ou est un majeur incapable.
Dastra, le Logiciel de registre RGPD
Il est important de pouvoir mettre en place des procédures permettant de répondre aux demandes d'exercice des droits et d'en apporter la preuve. Le logiciel RGPD Dastra vous permet de constituer un registre de demandes d'exercice de droits centralisant toutes les demandes passées, présentes et à venir.