Article 15 du RGPD

Droit d'accès de la personne concernée

RGPD » chapitre 3 - droits de la personne concernée » section 2 - information et accès aux données à caractère personnel »  article 15

  1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:
    • a) les finalités du traitement;
    • b) les catégories de données à caractère personnel concernées;
    • c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
    • d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
    • e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;
    • f) le droit d’introduire une réclamation auprès d’une autorité de contrôle;
    • g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
    • h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
  2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
  3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
  4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

Article 15 du RGPD : Ce qu'il faut comprendre

L’article 15 du RGPD donne à une personne le droit de savoir si ses données personnelles sont traitées, et si c’est le cas, d’accéder à ces données ainsi qu’à diverses informations comme les finalités du traitement, les catégories de données concernées, les destinataires, la durée de conservation, et ses droits en matière de rectification ou de suppression.

Elle peut également obtenir des informations sur la source des données si elles n’ont pas été collectées directement auprès d’elle, et sur les décisions automatisées, comme le profilage.

Si les données sont transférées à l’étranger, elle doit être informée des garanties associées. La personne peut obtenir une copie de ses données, moyennant parfois des frais pour les copies supplémentaires.

Article 15 du RGPD – Exemples concrets

  • Exemple 1 : Demande d’accès à ses données
    Un utilisateur d’un service en ligne souhaite savoir quelles données l’entreprise détient sur lui. Il envoie une demande d’accès et reçoit un fichier listant toutes les informations personnelles collectées (comme ses achats, ses préférences, son adresse e-mail), ainsi que la raison pour laquelle ces données sont utilisées (par exemple, pour la gestion de son compte).
  • Exemple 2 : Demande de la source des données
    Une personne découvre qu’une entreprise lui envoie des publicités personnalisées. Elle demande d’où viennent les données utilisées pour cela. L’entreprise doit lui dire si ces données ont été obtenues via un achat de base de données ou un autre partenaire.
  • Exemple 3 : Décision automatisée
    Si une personne est refusée pour un prêt en ligne basé sur une évaluation automatisée (profilage), elle peut demander des informations sur le fonctionnement de l’algorithme et comprendre pourquoi elle a été refusée.

← Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
Article 16 – Droit de rectification →

Les articles du RGPD mentionnant l'article 15