EDSA : précisions dans la version finale des lignes directrices sur le droit d’accès

FR DE EN

David Vasella

sur le site

19.04.2023

Branches

Autorité

EDSA

Lois

RGPD 15, RGPD 23

Thèmes

Espace de travail, Droit d’accès, Vidéo

Vente à emporter (AI)

L’EDSA publie des lignes directrices finales sur le droit d’accès (28 mars 2023) avec des modifications précisées par rapport à la version de consultation de 2022.
Les employeurs peuvent exiger une spécification des demandes d’information formulées de manière générale afin d’éviter de fournir des données inutiles.
Format : les copies électroniques doivent utiliser des formats courants ou ouverts (ISO) ; les personnes concernées ne doivent pas être obligées d’acheter des logiciels.
Les lignes directrices mettent l’accent sur la mention des différents destinataires, autorisent la prolongation dans les cas de suppression et intègrent les questions préjudicielles de la CJUE sur la “copie” et la portée.

Le Comité européen de la protection des données (CEPD) a adopté la décision du CEPD, dont l’échéance est fixée au 28 mars 2023. version finale des lignes directrices sur le droit d’accès a été publié. Le site version précédente datait du 18 janvier 2022 et était ouvert à la consultation publique. Un aperçu delta est disponible ici.

Les modifications pertinentes ne concernent pas une question conceptuelle transversale, mais des points particuliers :

Les lignes directrices contiennent un nouvel exemple utile 5 dans le contexte de Demande de renseignements dans le cadre du processus de travail. Dans ce cas, l’employeur ne peut pas partir du principe qu’une demande de renseignements concerne toutes les données, c’est pourquoi il est nécessaire d’établir un lien entre la demande et les données. l’employeur peut d’abord demander une spécification de la demande d’information:

Exemple 5Dans une relation d’emploi, en cas de demande d’accès généralement formulée, il n’est pas évident en soi que le salarié souhaite recevoir toutes les données de connexion de l’utilisateur, les données relatives à l’accès à un poste de travail, les données relatives aux règlements dans la cantine, les données relatives aux paiements des salaires, etc. Une demande de spécification faite par l’employeur pourrait, par exemple, conduire à préciser que l’intérêt du salarié est de comprendre ou de vérifier à qui son évaluation des performances a été transmise. Sans demande de précision, le salarié recevrait une grande quantité d’informations, sans avoir d’intérêt dans la plupart des données. En même temps, l’employeur devrait fournir des informations sur les différents contextes de traitement qui pourraient concerner le salarié, afin de permettre à ce dernier de préciser sa demande de manière sensible.

Une clarification est apportée concernant le cas où une demande d’informations porte sur des données dont la suppression est prévue – dans ce cas, le responsable est autorisé à traiter les données correspondantes plus longtemps afin de pouvoir clarifier l’obligation d’information, sur la base de l’article 6, paragraphe 1, point c), du RGPD, c’est-à-dire pour satisfaire à une obligation légale.

Suppression de la déclaration précédente faisant référence à une renseignements antérieurs basés sur une réglementation sectorielleDans ce cas, le responsable du traitement doit vérifier si la demande d’accès ultérieure a déjà été satisfaite conformément au RGPD. Cette suppression ne peut toutefois pas signifier qu’une demande d’information antérieure – pour utiliser cette expression peu élégante – ne serait pas prise en compte, par exemple lors de l’examen du caractère infondé ou excessif d’une demande d’information.

La Commission a également intégré Jurisprudence de la CJCELe droit d’accès doit, dans la mesure du possible, inclure les différents destinataires (et pas seulement les catégories). Si la personne concernée ne limite pas la demande d’accès à cet égard, tous les destinataires doivent donc en principe être mentionnés – en d’autres termes, la personne concernée ne doit pas le demander expressément. Le fait qu’il puisse y avoir un grand nombre de destinataires ne rend pas la demande excessive.

Vers Format des renseignements l’art. 15, al. 3 du RGPD prévoit que la copie des données, en cas de demande électronique, “doit être conservée dans un format électronique courantdoit mettre à disposition “. Ici, l’EDSA précise

Afin de déterminer quel format doit être considéré comme un format couramment utilisé dans la situation en question, le contrôleur devra évaluer s’il existe des formats spécifiques généralement utilisés dans le domaine d’activité du contrôleur ou dans le contexte donné. Lorsqu’il n’existe pas de tels formats généralement utilisés, les formats ouverts définis dans une norme internationale, telle que l’ISO, devraient, en général, être considérés comme des formats électroniques couramment utilisés. Toutefois, le CEPD n’exclut pas la possibilité que d’autres formats soient également considérés comme étant d’usage courant au sens de l’article 15(3). Lorsqu’il évalue si un format est un format électronique couramment utilisé, le CEPD considère qu’il importe la facilité avec laquelle l’individu peut accéder à l’information fourni dans le format actuel. cet égard, il convient de noter les informations que le contrôleur a fournies au sujet des données sur la manière d’accéder à un fichier qui a été fourni dans un format spécifique, comme les programmes ou les logiciels qui pourraient être utilisés pour rendre le format plus accessible au sujet des données, qui ne devrait toutefois pas être obligé d’acheter un logiciel pour accéder aux informations.

Vers Respect de la Dans une nouvelle note de bas de page, le CEPD ajoute que, le cas échéant, le droit national relatif à l’accès et aux jours fériés locaux doit être respecté.

Les lignes directrices font également référence à la procédure pendante devant la CJCE Rs. C‑487/21La Cour fédérale administrative d’Autriche a posé les questions suivantes

Est-ce que le Notion de “copie à l’article 15, paragraphe 3, [RGPD] doit être interprété en ce sens qu’il s’agit d’une photocopie ou d’un fac-similé ou d’une copie électronique d’une donnée (électronique), ou relève-t-il, selon l’interprétation des dictionnaires allemand, français et anglais, de la notion de “données” ? également une “Transcription”, un “double” (“duplicata”)) ou un “transcript”?

L’article 15, paragraphe 3, première phrase, du RGPD, selon lequel “le responsable du traitement met à disposition une copie des données à caractère personnel qui font l’objet du traitement”, doit-il être interprété en ce sens qu’il prévoit un “droit d’accès” ? droit général d’une personne concernée à obtenir une copie, y compris de l’ensemble des documents dans lesquelles des données à caractère personnel de la personne concernée sont traitées, ou à la délivrance d’une copie d’un extrait de la base de données en cas de traitement de données à caractère personnel dans une telle base, ou bien il n’existe pas de droit d’accès à ces données. seulement – un droit légal pour la personne concernée à une reproduction fidèle à l’original des données à caractère personnel à fournir en vertu de l’article 15, paragraphe 1, du RGPD ?

S’il est répondu à la question 2 qu’il n’existe qu’un droit pour la personne concernée à la reproduction fidèle à l’original des données à caractère personnel devant être communiquées en vertu de l’article 15, paragraphe 1, du RGPD, l’article 15, paragraphe 3, troisième alinéa, du RGPD doit être interprété en ce sens que la personne concernée a le droit d’obtenir une copie fidèle à l’original. 3, première phrase, du RGPD doit être interprété en ce sens que, en raison de la nature des données traitées (par exemple, en ce qui concerne les diagnostics, les résultats d’examen, les résultats ou également les documents liés à un examen au sens de l’arrêt de la Cour de justice du 20 décembre 2017, Nowak) et du principe de transparence énoncé à l’article 12, paragraphe 1, du RGPD, dans certains cas, il peut être nécessaire d’inclure des passages de texte ou des documents entiers. à la personne concernée ?

Est-ce que le Terme “informationsL’article 15, paragraphe 3, troisième phrase, du RGPD, qui prévoit que les données à caractère personnel doivent être “mises à la disposition de la personne concernée dans un format électronique d’usage courant”, “sauf indication contraire de sa part”, doit être interprété en ce sens qu’il s’agit uniquement des “données à caractère personnel” visées à l’article 15, paragraphe 3, première phrase, du RGPD.données personnellesLes termes “produits” et “objets” désignent-ils les “produits qui font l’objet d’une transformation” ?

a) En cas de réponse négative à la question 4 : Faut-il interpréter en ce sens la notion d’ ”informations” qui, en vertu de l’article 15, paragraphe 3, troisième phrase, du RGPD, doivent être mises à la disposition de la personne concernée “dans un format électronique courant” lorsque celle-ci introduit sa demande par voie électronique, “sauf indication contraire de sa part” ? qu’en outre, les informations visées à l’article 15, paragraphe 1, points a) à h) du RGPD sont également visées?

b) En cas de réponse négative à la question 4, sous a), ci-dessus : 2) La notion d’ ”informations” qui, en vertu de l’article 15, paragraphe 3, troisième phrase, du RGPD, doivent être mises à la disposition de la personne concernée “dans un format électronique courant, sauf indication contraire de sa part”, doit-elle être interprétée en ce sens que, outre les “données à caractère personnel qui font l’objet du traitement” ainsi que les informations visées à l’article 15, paragraphe 1, sous a) à h), du RGPD par exemple, les métadonnées correspondantes sont-elles concernées ?

EDSA : pré­cis­i­ons dans la ver­si­on fina­le des lignes direc­tri­ces sur le droit d’accès

EDSA : précisions dans la version finale des lignes directrices sur le droit d’accès