Le droit d’accès

Le droit d'accès

Vous pouvez demander à un organisme privé ou public (le responsable du traitement) soumis au RGPD s'il détient vos données personnelles et obtenir une copie des données traitées.

L'organisme doit expliquer comment vos données ont été utilisées.

Ce droit vous permet notamment de vérifier si vos données sont correctes.

  • Vous achetez un produit sur internet et vous souhaitez savoir quelles données personnelles ont été conservées par ce commerçant.
  • Vous souhaitez connaître le contenu de votre dossier médical.
  • Vous voulez savoir quelles données personnelles un réseau social dispose sur vous.
  • Vous souhaitez savoir quelles données personnelles sont conservées sur la carte de fidélité de votre supermarché.
  • Vous désirez connaître le contenu de votre dossier professionnel auprès de votre employeur.
  • Vous sollicitez auprès d’une administration publique les données personnelles vous concernant qu’elle conserve.
Que pouvez-vous demander ?
1) La confirmation que vos données personnelles sont traitées, avec les informations suivantes :
  • les types (catégories) de données traitées (par exemple : l’identité comme le nom ou le prénom, les données de connexion comme l’adresse IP, les données bancaires comme le numéro IBAN, etc .),
  • les raisons (finalités) des traitements de vos données et des explications sur la base de licéité qui autorise l'organisme à le traiter,
  • la durée de conservation de vos données,
  • les organismes (destinataires) avec lesquels vos données ont été ou seront partagées. L’organisme doit fournir le nom des organismes destinataires sauf si cela s’avère impossible ,
  • des explications sur la façon d’exercer vos autres droits (rectification, effacement, limitation, opposition) y compris le droit d’introduire une réclamation auprès de la CNPD,
  • d’où proviennent vos données (source des données) si celles-ci n’ont pas été récoltées directement auprès de vous-même (collecte indirecte de données),
  • si applicable, des explications sur les décisions prises sur base de processus automatisés ou de profilage,
  • si applicable, des informations sur le transfert de vos données vers un pays en dehors de l’Union européenne.
2) L’accès à vos données personnelles, c’est-à dire obtenir une copie de celles-ci

Vous avez en principe le droit de demander gratuitement une copie de vos données quel que soit le support sur lequel celles-ci sont enregistrées (papier, numérique). Celle-ci permettra notamment de vérifier l’exactitude de vos données.

La copie doit en principe contenir toutes les informations demandées et être délivrée sur support durable c’est-à-dire vous permettant de vous y reporter facilement ultérieurement.
Ce droit ne doit toutefois pas porter atteinte aux droits d’une tierce personne physique ou morale.

Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale

Vous avez également un droit d’accès aux traitements de données à caractère personnel effectués par la Police grand-ducale, le Service de renseignement de l’État, l’Autorité nationale de sécurité, l’Armée luxembourgeoise, la Cellule de renseignement financier et l'Administration des Douanes et Accises.

Vous pouvez obtenir les informations suivantes :

  • les raisons (finalités) du traitement ainsi que sa base juridique ;
  • les types (catégories) de données personnelles concernées ;
  • les destinataires ou catégories de destinataires auxquels les données personnelles ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
  • lorsque cela est possible, la durée de conservation des données personnelles envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
  • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données personnelles, ou la limitation du traitement des données personnelles ;
  • le droit d'introduire une réclamation auprès de l'une des deux autorités de contrôle compétentes et les coordonnées de ladite autorité ;
  • la communication des données personnelles en cours de traitement, ainsi que toute information disponible quant à leur source.

Les modalités de ce droit d’accès sont réglées par les articles 13 et 14 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.

Les limites du droit d'accès
  • en cas d’ informations concernant un tiers (par exemple : un collègue) : seules vos données peuvent être communiquées au titre du droit d’accès. De même si le droit d’obtenir une copie des documents porte atteinte à une tierce personne, un extrait partiel pourrait, par exemple, être communiqué,
  • en cas d’ informations portant atteinte à la propriété intellectuelle,
  • en cas d’ informations portant atteinte au secret des affaires ou au secret des correspondances,
  • dans le cadre d’un traitement à des fins de recherche scientifique ou historique ou à des fins statistiques, si cela n’est pas possible (en cas d’entrave à la réalisation des finalités spécifiques),
  • en cas de demandes infondées ou excessives (qu’il revient à l’organisation de démontrer).

Des restrictions sont possibles sur les bases mentionnées ci-dessus, mais ces cas ne devraient pas systématiquement aboutir à un refus général de donner une suite favorable à votre demande. Il appartient au responsable du traitement de concilier autant que possible les droits en conflits et de prévoir des solutions adaptées comme l’anonymisation des données des tiers par ex.

 

Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale

​Le responsable du traitement peut limiter, entièrement ou partiellement, le droit d'accès pour :​

  1. éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
  2. éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ;
  3. protéger la sécurité publique ;
  4. protéger la sécurité nationale et la défense nationale ; ou
  5. protéger les droits et libertés d'autrui.
Comment faire valoir votre droit et à quelle procédure s’attendre ?

 

  • Ciblez l’organisme responsable et le(s) moyen(s) pour le contacter (informations disponibles sur le site de l’organisme ou dans un document intitulé : « notice d’information sur la protection des données », « politique de confidentialité », « politique vie privée », « mentions légales », etc.). Il est par ailleurs possible chez certains organismes d’accéder directement à vos données sur un espace numérique sécurisé via une rubrique « mes données » ou « tableau de bord ».
  • Utilisez votre droit d’accès : 
    • La demande est à faire de préférence par écrit (lettre, e-mail ou via un formulaire de demande d’accès sur le site internet de l’organisme). 
    • Vous pouvez d’ores et déjà spécifier, si vous le souhaitez, le type de données auxquelles vous demandez accès. Le cas échéant, le responsable de traitement pourrait vous demander de préciser celles-ci lorsqu’il traite, par exemple, une grande quantité de données à votre sujet.
  • Vérification potentielle de votre identité si et seulement si, l’organisme a des doutes raisonnables sur votre identité ou doit vérifier votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité. Si vous utilisez un moyen d’identification déjà connu comme une adresse e-mail ou un numéro client/adhérent, cela devrait être suffisant pour l’organisme.
  • Recherche de vos données par l’organisme dans sa/ses base(s) de données numériques et ses dossiers papier.
  • Envoi des informations demandées par l’organisme. Lorsque vous exercez votre droit sous forme électronique, les informations sont fournies par voie électronique à moins que vous n’ayez demandé qu’il en soit autrement. Les informations sont à vous transmettre en des termes clairs et simples et sous une forme d’usage courant. 
Quand l’organisme doit-il vous répondre ?

Dans un délai de 1 mois maximum à compter de la réception de la demande :

  • soit en faisant suite à votre demande,
  • soit en vous informant de l’impossibilité de donner suite à votre demande et de la possibilité de déposer une réclamation auprès de la CNPD et de former un recours en justice,
  • soit, en cas de demande complexe (par exemple : pour une copie de l’intégralité de vos données ou pour un organisme gérant une grande quantité de données), en vous informant de la prolongation du délai initial (de deux mois supplémentaires maximum) et de ses raisons.

Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale

Le responsable du traitement doit vous répondre dans les meilleurs délais.

 

Si l’organisation ne respecte pas ces délais ou que vous n’êtes pas satisfait de sa réponse et que vous décidez de saisir la CNPD, vous pouvez introduire une réclamation via notre formulaire en ligne en prenant soin d’y joindre les pièces justificatives de vos démarches antérieures.

Quels frais peuvent vous être demandés ?

Aucun paiement ne peut en principe être exigé pour vous fournir les éléments d’information demandés, sauf si vos demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Dans ce cas, le responsable du traitement peut soit exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations soit refuser de donner suite à vos demandes. Par ailleurs, si vous demandez une copie supplémentaire de vos données personnelles, le responsable du traitement pourrait dans certains cas exiger le paiement de frais raisonnables basés sur les coûts administratifs. 

Le responsable du traitement doit vous expliquer pourquoi un paiement est exigé. 

Dernière mise à jour