Procédure d'accès à ses propres données (art. 27 ss LPrD)

L’objectif principal de la nouvelle loi sur la protection des données est de renforcer les droits fondamentaux des personnes concernées par un traitement de données personnelles.

Pour atteindre ce but, il est nécessaire que le citoyen ou la citoyenne ait un certain nombre de moyens à sa disposition pour s’informer du traitement de ses données, en connaître le cadre légal et ses moyens d’actions pour conserver une certaine maîtrise de ses propres données personnelles.

Le droit d’accès permet à une personne de consulter toutes les données personnelles la concernant, traitées par un organe public (art. 27 ss LPrD).

Explications et contexte

L’accès à ses propres données constitue pour la personne concernée le pendant du droit à traiter des données personnelles pour un organe public. Il s’agit d’un droit strictement personnel, ce qui veut dire qu’un mineur ou une personne sous curatelle de portée générale, qui est capable de discernement, peut exercer son droit d’accès, sans le consentement de son représentant légal.

L’art. 27 al. 4 LPrD dispose que nul ne peut renoncer par avance à son droit d’accès.

En exerçant son droit d’accès, le citoyen peut, par exemple demander si ses données personnelles sont traitées (art. 27 al. 1 et 2 LPrD) (exercice du droit d’accès) et obtenir les informations suivantes :

-           Le nom et les coordonnées du responsable du traitement de ses données

-           Quelles données sont traitées

-           Le but de l’utilisation de ses données (finalité)

-           Les bases légales permettant le traitement

-           Le délai de conservation des données ou, si ce n’est pas possible, les critères pour le fixer

-           Comment les données ont été collectées (origine)

-           A qui sont destinées les données (à qui les données ont été ou seront communiquées)

-           Cas échéant, la logique et les critères d'une mesure ou d'une décision prise sur la base d'un traitement automatisé de données

Si un citoyen constate que ses données sont traitées de manière illicite, ou qu’elles sont inexactes ou erronées, il peut entreprendre diverses démarches auprès de la commune pour se défendre (art. 33 LPrD). La personne concernée peut notamment demander l’arrêt ou la suppression du traitement illicite, la correction ou l’effacement des données, ou encore la suspension temporaire de leur traitement. Par ailleurs, si un dommage résulte d’une violation des dispositions de la LPrD, la personne concernée peut également réclamer une indemnisation pour les préjudices subis, y compris pour le tort moral (art. 35 LPrD).

La procédure de droit d’accès à ses propres données est relativement simple (art. 28 LPrD).

La personne doit justifier de son identité. Elle est libre de demander l’accès à toutes les données qui la concernent et dont la commune est responsable, sans avoir à motiver sa demande.

La commune peut néanmoins demander que la sollicitation du citoyen soit produite par écrit. Cela peut être nécessaire pour s’assurer de l’identité de la personne car il faut éviter de communiquer les données d’une personne à la mauvaise personne. Il est aussi possible de présenter sa pièce d’identité sur place, ou d’utiliser d’autres moyens, pour s’assurer que les données sont communiquées à la bonne personne. Il n’est pas conseillé de conserver une copie de la pièce d’identité de la personne en question.

La commune est également tenue de renseigner des activités de traitements qui sont sous-traitées.

Il est d’usage que les différentes informations soient fournies sur un support papier ou électronique. Il est possible que la consultation se fasse sur place à l’administration communale, avec accord du responsable du traitement.

Le droit d’accès est gratuit. Le délai de réponse du responsable du traitement ne devrait en principe pas excéder 30 jours.

Le droit d’accès doit en principe être accordé. Toutefois, il peut être refusé, restreint ou différé aux conditions suivantes (art. 29 al. 1 LPrD) :

-           Une loi au sens formel le prévoit

-           Un intérêt privé ou public prépondérant le commande (p. ex. risque de compromettre une procédure ou une enquête en cours)

-           L'intérêt prépondérant d'un tiers le commande (une personne autre que le requérant et le responsable du traitement, p. ex. un membre de la famille)

-           La demande est clairement abusive, (p. ex. si la demande est répétitive)

De plus, le droit d'accès ne s'exerce pas sur les notes personnelles, "pense-bêtes", qui ne servent ni de moyens de preuve ni à former l'opinion de celui ou de ceux qui traitent le dossier et qui ne sont pas destinés à figurer dans le dossier. Attention, la notion de notes personnelles doit être interprétées de manière restrictive.

Le refus du droit d’accès doit être motivé par le responsable du traitement.

La décision, qu'elle accorde, refuse, restreint ou diffère le droit d'accès doit être transmise à l’Autorité de surveillance (ATPrDM), à moins que la personne concernée ne s’y oppose (art. 34 al. 2 LPrD). La décision est sujette à recours.

Modalités

Un citoyen a le droit de demander à la commune si ses données personnelles sont traitées (exercice du droit d’accès) :

  • Quel organe public ou entité est responsable du traitement
  • Quels types de données sont traitées
  • Quel est le but du traitement
  • Quels articles de loi justifient le traitement
  • Comment les données ont été collectées (d’où viennent-elles ?)
  • Combien de temps les données sont conservées et selon quels critères cette durée est fixée
  • Qui peut avoir accès aux données personnelles (destinataires)
  • La demande n’a pas besoin d’être justifiée par le citoyen. Ce droit concerne uniquement ses propres données.
  • Une personne mineure ou n’ayant pas l’exercice des droits civils peut, si elle dispose de la capacité de discernement, faire une demande d’accès à ses propres données.
  • En cas de représentation par un tiers (avocat-e, représentant-e légal-e, curateur ou curatrice, etc.), il convient de s’assurer de l’existence d’une procuration valable.
  • La loi prévoit aussi des éléments particuliers si la décision est prise sur la base d’un traitement automatisé. Il faut indiquer la logique et les critères d’une mesure ou d’une décision dans de tels cas.

Réception de la demande

  • Vérifier l’identité de la personne qui demande l’accès, par exemple au moyen d’un document d’identité reconnu. Attention, il faut s’assurer de communiquer les données à la bonne personne ! Cette vérification est donc essentielle.
  • Vérifier que la demande concerne ses propres données personnelles
  • La demande peut être faite par oral ou écrit, mais l’écrit est recommandé car sinon la vérification de l’identité est difficile
  • Prendre les coordonnées de la personne qui fait la demande d’accès et informer que la commune a 30 jours pour répondre

Vérification de la compétence et du responsable du traitement

  • Qui est le responsable du traitement ? Est-ce la commune ou un service en particulier (p.ex. le contrôle des habitants, la caisse communale, le service des constructions, etc.)
  • Qui est comptent pour répondre à la demande ?

Portée et recevabilité de la demande

  • Identifier les secteurs concernés par la demande
  • La demande est-elle précise ? Si non, demander des compléments au demandeur. Sans complément, il faut tout de même traiter la demande
  • Quelle période est concernée par la demande ?
  • Cela concerne-t-il des données archivées ? (se référer à la législation sur l’archivage et attention à l’art. 29 al. 2 LPrD)
  • Quel est le support sur lequel les données doivent être transmises ? Le citoyen ou la citoyenne peut également les consulter sur place

Remarques : selon l’art. 29 LPrD, il y a des cas où l’on peut refuser, restreindre ou différer l’accès, voici une rapide explication :

  1. Si c’est prévu par une loi au sens formel
  2. S’il y a un intérêt public plus important, par exemple si cela risque de compromettre une enquête en cours
  3. Si l’intérêt prépondérant d’un tiers le commande (p.ex un ex-conjoint s'il justifie d'un intérêt supérieur)
  4. La demande est-elle répétitive ou abusive ?

Si l'accès est accordé, refusé, restreint ou différé, la réponse doit être motivée et se faire par écrit, sous forme d’une décision. Les voies de recours et délais doivent également être mentionnés. Le délai de recours sur le canton de Fribourg est de 30 jours. Sauf opposition de la personne concernée, la décision doit être communiquée à l’ATPrDM, qui peut aussi faire recours contre celle-ci.

 

 

Recherche des données : utilisation du ReAcT ou autres moyens

  • Consulter le ReAcT (ou le fichier Excel) directement afin de déterminer les domaines dans lesquels les types de données recherchées se trouvent
  • Rechercher par tout autre moyen les données concernées, par exemple dans les dossiers ou à travers une recherche électronique dans la GED

Créer le support de transmission écrit

  • Collecter les données pertinentes
  • Contrôler l’exactitude des données
  • Lister et détailler les informations à communiquer à la personne concernée selon sa demande initiale
  • Lister l’origine des données et les destinataires des données
  • Vérifier que les données peuvent être communiquées (exceptions de l’art. 29 LPrD)
  • Vérifier l’identité du destinataire avant transmission
  • Si la personne ne consulte pas le dossier sur place, les documents devront être transmis soit par courrier postal ou messagerie sécurisée (principe de sécurité). Toutefois, la messagerie, facilement sujette à erreur et peu sûre, est déconseillée

Remarque : la personne a droit à l’ensemble des informations même si elle ne le précise pas expressément dans sa demande.

Conservation et archivage

  • Définir la valeur archivistique de ces dossiers et cas échéant, les archiver et/ou détruire les parties sans valeur archivistique une fois l’affaire close