A l'initiative du CEPD, une action de contrôle au niveau européen du respect du droit d'accès a été coordonnée avec plusieurs autorités de contrôles européennes.
Cette action va permettre à la CNIL de contrôler dès 2024 des organismes publics et privés sur les modalités de mise en place et de gestion du droit d’accès. A noter que cette thématique fait aussi partie du programme annuel de contrôle de la CNIL sur l’année 2024.
Le Droit d'accès est en effet l’un des droits le plus exercé par les personnes concernées et compose une part importante des plaintes reçues par la CNIL, tout comme ses homologues européennes.
Objectifs des Contrôles de la CNIL
- Les contrôles de la CNIL permettront de vérifier si les process mis en place par les différents organismes contrôlés répondent bien aux exigences posées par le Règlement Européen sur la Protection des Données Personnelles et par la Loi Informatique et Libertés ;
- Les contrôles de la CNIL permettront aussi de vérifier l'effectivité des process mis en place par les organismes pour respecter le droit d'accès des personnes concernées.
Les vérifications opérées par la CNIL
Parmi les vérifications opérées par la CNIL lors de ses contrôles on peut citer :
- L'existence d’une information / mention d’information à destination des personnes concernées leur indiquant qu'elles disposent d'un droit d’accès et leur expliquant les enjeux de dernier ;
- Les modalités de délivrance de cette information (information écrite ou orale), accessibilité - support de l'information (politique de confidentialité, etc…), contenu - rédaction de l'information en termes clairs, simples (compréhension aisée de l’information pour les personnes concernées) ;
- La possibilité pour les personnes concernées d’exercer leur droit d’accès de manière simple (ex : mise à disposition d’un formulaire en ligne dédié, coordonnées postales ou électronique dédiées) ;
- La gratuité de l’exercice du droit d’accès ;
- La mise en place de procédure(s) interne(s) efficace(s) et sécurisée(s) afin de remonter les demandes de droits en interne au bon interlocuteur et de répondre à ces dernières dans les délais légaux ;
- Le respect des délais légaux impartis à l’organisme contrôlé pour répondre aux demandes de droit d’accès (1 mois en cas de demande simple, 8 jours pour une demande comportant des donnée de santé et 3 mois en cas de demandes qualifiées de complexes) ;
- Les modalités de réponses apportées aux personnes concernées (compréhension, accessibilité, rédaction dans des termes simples et clairs) ;
- La qualité, la transparence et l'exhaustivité des informations contenues dans les réponses aux demandes de droit délivrées aux personnes concernées ;
- La pertinence de choix du ou de(s) support(s) utilisé(s) par l'organisme contrôlé lors des réponses aux demandes de droits ;
- La mise en place de mesures de sécurité appropriées pour la communication des données (ex : dans le cas d’une réponse par courrier postal envoi des informations via courrier recommandé avec accusé de réception ; dans le cas d’une remise en main propre des informations ou d’une réponse par voie électronique : fourniture d’une clef USB chiffrée ou utilisation d’une messagerie électronique sécurisée) ;
- La tenue par l'organisme contrôlé d’un registre des demandes de droits d’accès à jour ;
Cette liste n'est pas exhaustive. Le périmètre et la portée du contrôle opéré par la CNIL seront fixés dans la lettre de mission des agents habilités à effectuer les contrôles.
Résultats des Contrôles en 2024
Les résultats des contrôles opérés sur l’année 2024 par la CNIL feront l’objet d’une analyse coordonnée avec ses homologues européennes ayant réalisé des contrôle similaires.
La CNIL pourra ensuite, de façon autonome, décider de prendre d’éventuelles mesures envers les organismes qu’elle aura contrôlés (mises en demeure, sanctions, etc.).
Il est prévu une publication par le CEPD d’un rapport détaillant les résultats de ces contrôles au niveau européen une fois ceux-ci terminés.
Automatisation avec Dastra
Le module de gestion des droits de Dastra vous permet d'automatiser la gestion de vos demandes de droits d'accès. Découvrez-le, en cliquant sur le bouton ci-dessous.
Pour en savoir plus sur la manière dont informer les personnes concernées sur leur droit d'accès, cliquez ci-dessous !
Texte de référence : Articles 15 du règlement général sur la protection des données (RGPD) – Droit d'accès de la personne concernée.