Le droit d’accès

Sur base de votre droit d’accès, vous pouvez vous adresser directement au responsable du traitement, afin qu’il vous communique l’intégralité des données vous concernant, et certaines informations supplémentaires. 

Exemples :

  • Vous achetez un produit sur Internet et souhaitez savoir quelles informations ont été conservées par le commerce en ligne.
  • Votre voiture est éraflée pendant votre absence alors que vous étiez garé dans un parking sous vidéosurveillance et vous voudriez consulter les images relatives à l’emplacement de votre voiture.
  • Vous voulez savoir de quelles informations dispose un réseau social sur vous.
  • Vous souhaitez savoir de quelles données personnelles dispose votre supermarché sur vous.
Qu’est-ce que vous pouvez demander ?

Vous pouvez tout d’abord demander la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par l’entreprise ou l’organisme auquel vous vous adressez.

Si elles le sont, vous pouvez demander une copie des données à caractère personnel faisant l'objet d'un traitement. Vous pouvez également demander communication des informations suivantes :

  1. les finalités du traitement;
  2. les catégories de données à caractère personnel concernées;
  3. les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
  4. lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
  5. l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
  6. le droit d'introduire une réclamation auprès d'une autorité de contrôle;
  7. lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
  8. l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4 du RGPD, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Enfin, lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, vous avez également le droit d'être informé des garanties appropriées, en vertu de l'article 46 du RGPD, en ce qui concerne ce transfert.

Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale

Vous avez également un droit d’accès aux traitements de données à caractère personnel effectués par la Police grand-ducale, le Service de renseignement de l’État, l’Autorité nationale de sécurité, l’Armée luxembourgeoise, la Cellule de renseignement financier et l'Administration des Douanes et Accises.

Les modalités de ce droit d’accès sont réglées par les articles 13 et 14 de la du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.

Comment exercer votre droit d’accès ?

En s’adressant directement au responsable du traitement, de préférence par écrit ou par voie électronique.

Vous pouvez si vous le souhaitez utiliser le modèle de lettre de la CNPD (traitements de données soumis au RGPD) pour faire valoir votre droit d'accès auprès du responsable de traitement.

S’il s’agit traitements des données à caractère personnel en matière pénale ou en matière de sécurité nationale, veuillez utiliser le modèle de lettre pour les traitements de données en matière pénale et de sécurité nationale.

Le responsable du traitement est défini par le RGPD comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ».

Le responsable du traitement peut vous demander des informations supplémentaires nécessaires pour confirmer votre identité, s’il a des doutes raisonnables quant à celle-ci.

Comment ces éléments d’information doivent vous être communiqués ?

La confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées, ainsi que les éventuels éléments d’information additionnels, sont fournis par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique.

Lorsque vous exercez votre droit d’accès sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que vous ayez demandé qu'il en soit autrement.

Les éléments d’informations doivent vous être communiqués d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

Dans quel délai ces éléments d’information doivent vous être communiqués ?

La confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées, ainsi que les éventuels éléments d’information additionnels, doivent vous être communiqués dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. 

Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Dans ce cas, le responsable du traitement doit vous informer de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. 

Quels frais peuvent vous être demandés ?

Aucun paiement ne peut être exigé pour vous fournir les éléments d’information demandés, sauf si vos demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Dans ce cas, le responsable du traitement peut exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, ou refuser de donner suite à vos demandes.

Par ailleurs, si vous demandez une copie supplémentaire des données à caractère personnel faisant l’objet du traitement, le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour chaque copie supplémentaire. 

Dernière mise à jour