Article 15
Droit d'accès de la personne concernée

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 15 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 15 keyboard_arrow_up

(63) Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

(64) Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.

(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, et au droit de rectification ou d'effacement de ces données, ou au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée, et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre , notamment un intérêt économique ou financier important de l'Union ou d'un État membre , la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Afficher les considérants de la Directive 95/46 liés à l'article 15 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 15 keyboard_arrow_up

41) considérant que toute personne doit pouvoir bénéficier du droit d'accès aux données la concernant qui font l'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de la licéité de leur traitement; que, pour les mêmes raisons, toute personne doit en outre avoir le droit de connaître la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de la personne concernée;

(42) considérant que les États membres peuvent, dans l'intérêt de la personne concernée ou en vue de protéger les droits et libertés d'autrui, limiter les droits d'accès et d'information; qu'ils peuvent, par exemple, préciser que l'accès aux données à caractère médical ne peut être obtenu que par l'intermédiaire d'un professionnel de la santé;

(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;

(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;

Le GDPR

Le Règlement n’innove pas réellement concernant le droit d’accès, reprenant le principe contenu auparavant dans la Directive : la personne concernée a le droit d’obtenir la confirmation que des données la concernant sont ou ne sont pas traitées et dans l’affirmative, la personne concernée a le droit d’y accéder.

Une information spécifique doit être donnée suite au droit d’accès. Par rapport au régime antérieur, de nouveaux éléments d’information sont prévus telles que, notamment, l’obligation d’informer les personnes concernées de la durée de conservation, de leur droit à rectification et à l'effacement, de leur droit de réclamation auprès de l’autorité de contrôle, des garanties particulières prises en cas de transferts de données vers un pays tiers ou une organisation internationale ou encore de l’information sur l’existence d’une décision automatisée incluant un profilage.

Si elle le demande, la personne concernée a le droit à une copie des données. Celle-ci devrait être gratuite puisque le texte final ne prévoit le paiement de frais basés sur les coûts administratifs du responsable que pour des copies ultérieures. Le texte ne dit par contre plus rien sur les frais éventuels liés à l’accès sans copie (alors que la version antérieure prévoyait explicitement le libre accès gratuit à intervalle régulier). La disposition indique aussi que l’information peut être fournie par voie électronique, sauf demande différente, lorsque la demande d’accès a été faite par voie électronique.

Enfin, la version finale du Règlement précise en son paragraphe 4 que le droit d’obtenir une copie ne doit pas affecter négativement les droits et les libertés d’autrui. Dans la version antérieure du Règlement, il pouvait être fait exception au droit d’obtenir une copie en cas la délivrance d’une copie impliquait la divulgation de données confidentielles ou qu’elle était susceptibles de porter atteinte aux droits de propriété intellectuelle sur le traitement.

La Directive

La Directive en son article 12 accordait déjà un large droit d’accès aux données aux personnes concernées.

Belgique

Le Législateur belge a implémenté le droit d’accès à l’article 10 de la loi du 8 décembre 1992 ; il permet à la personne concernée par un traitement d’exiger du responsable non seulement la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations sur ledit traitement (finalité, catégories de données sur lesquelles il porte, et destinataires des données et toute information disponible sur l'origine de ces données, la logique qui sous-tend le traitement en cas de décisions automatisées au sens de l’article 12bis), mais également leur communication, sous une forme intelligible, ainsi qu’une information sur les droits dont dispose la personne concernée en vertu des articles 12 (droit de rectification et d’opposition ) et 14 (droit de saisir le président du Tribunal de première instance). Le régime du droit d’accès a été légèrement adapté en droit belge pour tenir compte de la nature spécifique des données relatives à la santé (art. 10, § 2). Enfin, un garde-fou est prévu pour éviter les demandes répétées et abusives d’accès aux données (art. 10, § 3).

Difficultés probables ?

Pour les responsables qui avaient déjà implémenté une procédure d’accès à leurs traitements, la nouvelle disposition n’amènera qu’une mise à jour de celle-ci.

La seule exception au droit d’obtenir une copie des données faisant l’objet d’un traitement figurant à l’article 15, 4 nous laisse toutefois perplexe. Selon cette disposition, le droit d’obtenir une copie ne peut pas affecter négativement les droits et libertés d’autrui.

L’exception est dangereuse dans la mesure où elle est formulée trop largement et qu’elle paraît impliquer que tout conflit entre, d’une part, le droit à obtenir une copie et, d’autre part, le droit et les libertés d’autrui se résoudrait toujours au préjudice du premier, ce qui serait inacceptable.

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Jurisprudence de la CJUE

C-553/07 (7 mai 2009)

L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, impose aux États membres de prévoir un droit d’accès à l’information sur les destinataires ou les catégories de destinataires des données ainsi qu’au contenu de l’information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres de fixer un délai de conservation de cette information ainsi qu’un accès corrélatif à celle-ci qui constituent un juste équilibre entre, d’une part, l’intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d’intervention et de recours prévus par la directive 95/46, et, d’autre part, la charge que l’obligation de conserver cette information représente pour le responsable du traitement.

Une réglementation limitant la conservation de l’information sur les destinataires ou les catégories de destinataires des données et le contenu des données transmises à une durée d’un an et limitant corrélativement l’accès à cette information, alors que les données de base sont conservées beaucoup plus longtemps, ne saurait constituer un juste équilibre des intérêt et obligation en cause, à moins qu’il ne soit démontré qu’une conservation plus longue de cette information constituerait une charge excessive pour le responsable du traitement. Il appartient à la juridiction nationale d’effectuer les vérifications nécessaires.

Conclusions de l'Avocat général

Arrêt rendu

C-486/12 (12 décembre 2013)

1)      L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne s’oppose pas à la perception de frais à l’occasion de la communication par une autorité publique de données à caractère personnel.

2)      L’article 12, sous a), de la directive 95/46 doit être interprété en ce sens que, afin de garantir que les frais perçus à l’occasion de l’exercice du droit d’accès aux données à caractère personnel ne soient pas excessifs au sens de cette disposition, leur montant ne doit pas excéder le coût de la communication de ces données. Il appartient à la juridiction nationale d’effectuer, au regard des circonstances de l’affaire au principal, les vérifications nécessaires.

Arrêt rendu

C-131/12 (13 mai 2014)

1)      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu 

C-141/12 ; C-372/12 (17 juillet 2014)

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

C-398/15 (9 mars 2017)

L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.

Conclusions de l'Avocat général 

Arrêt rendu

Règlement
1e 2e

Art. 15

1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.

3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.

Proposition 1 close

1. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes:

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers;

d) la durée pendant laquelle les données à caractère personnel seront conservées;

e) l’existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;

f) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données;

h) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20.

2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g).

4. La Commission peut préciser les formulaires types et les procédures de demande et d'accès aux informations mentionnées au paragraphe 1, y compris pour la vérification de l’identité de la personne concernée et la communication de ses données à caractère personnel à la personne concernée, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. La personne concernée a le droit d'obtenir du responsable du traitement, à intervalles raisonnables et gratuitement, (...) la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations qui suivent:

a) les finalités du traitement;

b) (...)

c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée envisagée pendant laquelle les données à caractère personnel seront conservées;

e) l'existence du droit de demander au responsable du traitement la rectification, l'effacement ou la limitation du traitement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle (…);

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) dans le cas des décisions résultant d'un traitement automatisé, y compris le profilage, visées à l'article 20, paragraphes 1 et 3, l'information relative à la logique sous-jacente ainsi que l'importance et les conséquences envisagées de ce traitement.

1 bis. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, conformément à l'article 42 relatif aux transferts.

1 ter. À la demande et sans frais excessifs, le responsable du traitement fournit à la personne concernée une copie des données à caractère personnel faisant l'objet d'un traitement.

2. (...)

2 bis. Le droit d'obtenir une copie visé au paragraphe 1 ter (...) ne s'applique pas lorsqu'une telle copie ne peut être fournie sans divulguer des données à caractère personnel relatives à d'autres personnes concernées ou des données confidentielles relatives au responsable du traitement. En outre, ce droit ne s'applique pas si la divulgation des données à caractère personnel est susceptible de porter atteinte aux droits de propriété intellectuelle pour ce qui relève du traitement de données à caractère personnel.

3. (...)

4. (...)

Directive close

Art. 12

Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

- la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données,

- la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1;

b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

Aucune disposition spécifique

Ancienne loi close

Art. 10

§ 1. La personne concernée qui apporte la preuve de son identité a le droit d'obtenir du responsable du traitement :

a) la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les catégories de destinataires auxquels les données sont communiquées;

b) la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine de ces données;

c) la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, dans le cas des décisions automatisées visées à l'article 12bis;

d) un avertissement de la faculté d'exercer les recours prévus aux articles 12 et 14 et, éventuellement, de consulter le registre public prévu à l'article 18.

A cette fin, la personne concernée adresse une demande datée et signée au responsable du traitement ou à toute autre personne désignée par le Roi.

Les renseignements sont communiqués sans délai et au plus tard dans les quarante-cinq jours de la réception de la demande.

Le Roi peut fixer les modalités pour l'exercice du droit visé à l'alinéa 1.

§ 2. (Sans préjudice de l'article 9, § 2, de la loi du 22 août 2002 relative aux droits du patient, toute personne a le droit, soit directement, soit avec l'aide d'un praticien professionnel en soins de santé, de prendre connaissance des données à caractère personnel traitées en ce qui concerne sa santé.)

(Sans préjudice de l'article 9, § 2, de la loi précitée, la communication peut être effectuée par l'intermédiaire d'un professionnel des soins de santé choisi par la personne concernée, à la demande du responsable du traitement ou de la personne concernée.)

Lorsque les données relatives à la santé de la personne concernée sont traitées aux fins de recherches médico-scientifiques, qu'il est manifeste qu'il n'existe aucun risque qu'il soit porté atteinte à la vie privée de cette personne et que les données ne sont pas utilisées pour prendre des mesures à l'égard d'une personne concernée individuelle, la communication peut, pour autant qu'elle soit susceptible de nuire gravement auxdites recherches, être différé au plus tard jusqu'à l'achèvement des recherches.

Dans ce cas, la personne concernée doit avoir préalablement donné son autorisation écrite au responsable du traitement que les données à caractère personnel la concernant peuvent être traitées à des fins médico-scientifiques et que la communication de ces données peut dès lors être différée.

  § 3. Il ne doit être donné suite à une demande visée aux §§ 1er et 2 qu'à l'expiration d'un délai raisonnable, à compter de la date d'une demande antérieure d'une même personne à laquelle il a été répondu ou de la date à laquelle les données lui ont été communiquées d'office.

close