La confrontation du droit d’accès aux droits des tiers
Par Marion ROUVIER • Consultante ANAXIA CONSEIL • Octobre 2023 • Journal du Management Juridique n° 96
Conféré à l’article 15 du Règlement général sur la protection des données (ci-après RGPD), le droit d’accès permet à chaque personne concernée par un traitement de données à caractère personnelles d’obtenir copie des données la concernant.
Contraignant pour les entreprises, ce droit souffre d’une limitation, celle du respect des droits des tiers. En effet, le droit d’accéder à ses données personnelles « ne porte pas atteinte aux droits et libertés d'autrui» (article 15 alinéa 4 du RGPD).
Ces droits sont notamment le secret des affaires et la propriété intellectuelle (considérant 63 du RGPD) mais pas seulement. Tout droit ou liberté basé sur le droit de l’Union ou le droit d’un État membre peut restreindre le droit d’accès des personnes concernées à leurs données personnelles. C’est notamment le cas du droit à la vie privée et du secret des correspondances.
Les droits des tiers susceptibles d’entrer en conflit avec le droit d’accès
Le secret des affaires et la propriété intellectuelle
Le droit d’accéder à ses données personnelles n’autorise pas pour autant la personne concernée à accéder à des données couvertes par le secret des affaires ou la propriété intellectuelle.
Ainsi, une entreprise ne serait par exemple pas tenue de communiquer à une personne les résultats d’un traitement algorithmique la concernant dans la mesure où ceux-ci seraient de nature à révéler le fonctionnement de l’algorithme, qui est protégé par le secret des affaires.
Le droit à la vie privée
La réponse à la demande de droit d’accès d’une personne concernées ne doit pas porter atteinte au droit à la vie privée d’autrui. Le droit d’accès étant un droit concernant ses propres données personnelles, les données personnelles des tiers ne doivent pas être communiquées.
Ainsi, si les fichiers comportant les données demandées par la personne concernée contiennent des données personnelles de tiers, ceux-ci ne peuvent pas être transmis sans évaluer au préalable l’opportunité d’occulter certaines informations.
Le secret des correspondances
Le secret des correspondances constitue une limite au droit d’accès qui intervient principalement dans le cas de demandes portant sur des courriels. Sur ce point, la CNIL distingue deux cas :
Si le demandeur est l’émetteur ou le destinataire du courriel, la transmission de celui‑ci est présumée respectueuse du droit des tiers dans la mesure où le demandeur est supposé avoir déjà eu connaissance du contenu;
Si le demandeur est simplement mentionné dans le courriel, le responsable de traitement doit étudier au cas par cas chaque échange afin d’étudier la portée de l’atteinte au secret des correspondances.
La nécessaire conciliation des droits des tiers avec le droit d’accès
Les lignes directrices 01/2022 sur les droits des personnes concernées – droit d’accès du Comité européen de la protection des données (ci-après CEPD) précisent que ces limitations au droit d’accès ne permettent en aucun cas au responsable de traitement d’éviter purement et simplement de répondre à la demande de droit d’accès. En réalité, la prise en considération du droit des tiers ajoute même une charge supplémentaire au responsable de traitement.
La conciliation des intérêts présents
En cas de risque d’atteinte aux droits des tiers, le responsable de traitement doit dans un premier temps tenter de concilier les droits concernés avec le droit d’accès. Cela peut être fait en éliminant des documents transmis les informations protégées par le secret des affaires ou des correspondances, la propriété intellectuelle ou le droit à la vie privée. Peu importe la difficulté du tri entre les données transmissibles et celles qui ne le sont pas, le responsable de traitement est tenu de répondre à la demande de droit d’accès avec le maximum d’information(s) qu’il est possible de communiquer sans nuire aux droits des tiers.
La décision de ne pas transmettre
Dans le cas où il serait impossible de concilier le droit des tiers et le droit d’accès de la personne concernée par l’exclusion ou la censure de certaines informations, le responsable de traitement a la possibilité de refuser de répondre totalement ou en partie à une demande de droit d’accès. Dans ce cas, il devra néanmoins informer la personne concernée des motifs et des circonstances concrètes justifiant cette décision.
Il est néanmoins important de rappeler que même lorsque les droits et libertés d’autrui font obstacle à la communication de tout ou partie des données à la personne concernée, celle-ci doit en tout état de cause recevoir les informations prévues par le premier alinéa de l’article 15 du RGPD concernant le traitement de ces données personnelles (la finalité du traitement, les catégories de données concernées, les destinataires des données…).