Droit d’accès et droit de communication des données

1. – Une première prérogative conférée par la loi aux personnes dont les données sont traitées est le droit d’accès (art. 39). Toute personne peut en effet interroger le responsable du traitement afin de se faire communiquer les données la concernant (art. 39, I).

Toute personne peut interroger le responsable du traitement afin de se faire communiquer les données la concernant

La seule condition réelle exigée par la loi est que la personne justifie de son identité. Mais à la différence du droit d’opposition pour motif légitime, par exemple, le demandeur ici n’a pas à justifier d’un intérêt particulier à sa demande. Cette condition est néanmoins importante et son respect doit être exigé avec rigueur par le responsable du traitement afin de s’assurer qu’il ne transmet pas des informations personnelles à des tiers non autorisés. Ce faisant il prendrait le risque de violer ses obligations de sécurité et de confidentialité dans le traitement des données personnelles. La CNIL a rappelé dans une délibération du 1er avril 1980 que la preuve de l’identité se fait « notamment par la production d’un titre d’identité » (!). Lorsque la demande est écrite, la CNIL précise que celle-ci doit être signée, accompagnée d’une photocopie d’un titre d’identité, et de l’adresse de la personne concernée.

Ce droit d’accès est un droit de communication et d’information à la demande ; en fait on peut également parler de « droit à la curiosité », puisqu’il permet à toute personne de s’enquérir de la nature des données traitées et de l’étendue du traitement opéré.

2. – Les modalités d’exercice de ce droit d’accès sont précisées et formalisées. Jusqu’à récemment elles étaient fixées par une recommandation de la CNIL (CNIL, délib. n°80-010, 1er avr. 1980), mais le décret du 20 octobre 2005 est venu apporter ses précisions. La délibération du 1er avril 1980 reste néanmoins en vigueur, et apporte quelques éclairages ; il est donc intéressant de s’y référer. De manière générale la CNIL encourage les personnes à utiliser leur droit d’accès ; elle a notamment publié plusieurs formulaires types permettant son exercice (v. image de droite).

Les informations à donner par le responsable du traitement

3. – Plusieurs informations doivent être délivrées au titre du droit d’accès ; elles sont énumérées par l’article 39 :

  • La confirmation du traitement ;
  • les finalités du traitement ;
  • l’existence d’un transfert hors UE ;
  • le contenu des données elles-mêmes (le responsable du traitement peut cependant subordonner la délivrance de cette copie au paiement d’une somme d’argent, à condition qu’elle n’excède pas le coût de la reproduction) ;
  • la logique dans laquelle est effectué le traitement.

L’objectif est de permettre à l’intéressé de disposer des données ainsi que d’une connaissance la plus exacte possible du traitement réalisé. A noter que, quand bien même le responsable du traitement ne souhaiterait pas transmettre ces informations, il est tenu légalement de le faire ; il est à ce titre totalement inutile d’invoquer une clause de confidentialité tirée de relations juridiques avec des tiers, celle-ci n’est pas opposable au demandeur (CE, 10ème et 7ème sous-sections réunies, 14 juin 1999).

Le refus de communiquer les données

4. –A strictement parler, le refus de communiquer les données en vertu du droit d’accès est sanctionné d’une contravention de cinquième classe (art. R 625-11 c. pen, 1 500 euros). Mais le responsable doit s’attendre à ce que la personne s’étant vue essuyer un refus de communication s’adresse ensuite à la CNIL. La Commission est compétente à ce titre pour prendre toute mesure nécessaire pour opérer la communication des données par le responsable, y compris adresser un avertissement ou des sanctions financières (à ce sujet voir la délibération n°2008-163 du 12 juin 2008 prononçant une sanction pécuniaire de 7 000 euros à l’encontre de la société Neuf Cegetel pour avoir ignoré l’exercice du droit d’accès). La loi a prévu les risques de dissimulation en permettant au demandeur la saisie des données : « En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition » (art. 39).

Les limites du droit d’accès

5. – Le droit d’accès n’est pas absolu, et plusieurs limites sont effectivement instituées. Tout d’abord, le responsable du traitement peut s’opposer aux demandes manifestement abusives (abusives par leur nombre, leur caractère répétitif ou systématique). Cette faculté pose cependant la question de savoir à partir de quand une demande devient abusive. Pour résoudre la question, la loi prend le parti de faire peser la charge de la preuve du caractère abusif sur le responsable du traitement. En d’autres termes, c’est à lui qu’il adviendra de démontrer que les demandes étaient abusives en cas de conflit. Ensuite, une seconde limite au droit d’accès est prévue, et tient aux cas où les données «sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique» (art. 39, II, al. 2).

Le droit d’accès indirect de certains traitements particuliers

6. – Le principe général du droit d’accès est écarté dans certains cas spécifiques, où est prévu un droit d’accès indirect ; il existe trois cas particuliers : les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique, les traitements relatifs aux infractions ou aux impositions, ainsi que les traitements relatifs aux données de santé.

Les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique

L’article 41 de la loi régit le droit d’accès pour les traitements de souveraineté qui intéressent « la sûreté de l’Etat, la défense ou la sécurité publique ». En effet, pour ceux-ci un droit d’accès indirect est prévu, qui s’exerce pour l’ensemble des informations contenues dans le traitement.

Schématiquement, la procédure est la suivante (art. 86 à 89 du décret du 20 octobre 2005) :

  • La demande, adressée à la CNIL, est signée et accompagnée d’une photocopie d’un titre d’identité ; elle précise l’adresse à laquelle doit parvenir la réponse. La Commission en apprécie le bien-fondé ; elle peut également rejeter toute demande manifestement abusive.
  • Ensuite, la CNIL désigne l’un de ses membres appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes. Cette personne disposera du droit de mener les démarches nécessaires pour accéder aux fichiers demandés.
  • Elle notifie ensuite au demandeur le résultat des investigations sous quatre mois à compter de la réception par la Commission d’un dossier complet de saisine.

Les traitements relatifs aux infractions et aux impositions

Un droit d’accès indirect est également applicable aux traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l’autorisation initiale_._

Les traitements de santé

Avant la modification de la loi opérée en 2004, l’accès aux données médicales ne pouvait être fait qu’indirectement par un médecin (art. 40 de la loi de 1978 : les données n’étaient communiquées à l’intéressé que « par l’intermédiaire d’un médecin qu’il désigne à cet effet »). L’idée derrière ce dispositif est d’éviter que les patients fassent les frais d’importants chocs émotionnels à la lecture des risques de maladies qu’ils sont susceptibles de développer (ex. : risque de cancer), ce type de choc étant un risque pour le patient. Une loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé a mis en place un système mixte, au choix du malade. La procédure a été reprise par la loi du 6 août 2004. Il en résulte, aux termes de l’article 43 de la loi, que les données de santé peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des dispositions de l’article L.1111-7 du Code de la santé publique.

Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)