Un matin, un e-mail arrive : « Merci de me communiquer toutes les données que vous détenez sur moi. » C'est un droit, il est gratuit, et vous avez trente jours pour répondre. Inutile de savoir si la demande arrivera un jour. La seule question utile, c'est d'être prêt quand elle arrive. Voici comment vous y préparer, pour la traiter posément plutôt que dans l'urgence.
Ce qu'une demande d'accès vous oblige vraiment à faire
Toute personne peut vous demander si vous traitez des données la concernant, et lesquelles. C'est ce que prévoit les législations en matière de protection de données, notamment la LPD. Ce droit est généralement gratuit pour la personne qui en fait la demande. Il ne se refuse pas par principe. Le droit d'accès est l'institution clé de la protection des données. C'est lui qui permet à chacun de savoir ce qu'on sait de lui.
La demande recouvre en réalité deux questions, pas une. D'abord, savoir : traitez-vous des données sur moi, oui ou non ? Ensuite, être renseigné : lesquelles, et dans quel contexte. La personne peut se voir remettre diverse renseignements, dont la finalité du traitement, la durée de conservation, les destinataires des données et leur origine.
Le délai pour traiter la demande est de trente jours dès réception de la demande. Il peut être prolongé si notamment le volume le justifie, à condition de motiver ce report et de prévenir la personne dans le délai initial. Ce délai vient de la LPD et de l'OPDo, l'ordonnance qui en précise l'application.
Quelques règles de forme complètent le cadre. La demande peut vous être adressée par écrit. Vous pouvez vérifier l'identité du demandeur de façon raisonnable, pour ne pas livrer des données à la mauvaise personne. Et la réponse doit être fournie sous une forme compréhensible.
Répondre sans en faire trop ni trop peu
Le vrai piège n'est pas de refuser. C'est de mal doser la réponse. Deux erreurs symétriques guettent : en livrer trop, ou en livrer trop peu.
Premier réflexe à corriger : vous transmettez des données, pas forcément des documents. La loi vous oblige à communiquer les données personnelles elles-mêmes, pas automatiquement chaque document qui les contient. Mais l'inverse est faux aussi. Vous ne pouvez pas refuser tout document par principe. Selon les cas, un extrait ou un document entier sera nécessaire pour que la réponse reste compréhensible. C'est un équilibre, qui se décide au cas par cas.
Deux limites claires encadrent ce que vous transmettez. Vous ne livrez pas les données d'un tiers : un autre client, un collègue, un fournisseur n'ont pas à apparaître dans la réponse. Et vous n'avez pas à divulguer vos mesures de sécurité, qui ne font pas partie des données de la personne.
C'est exactement la question pratique que tranche l'analyse de fond que nous avons consacrée au droit d'accès, parue dans la Jusletter et disponible en téléchargement au bas de cet article. Elle détaille le cadre juridique complet, là où le présent texte s'en tient à l'essentiel pour décider.
Le refus est une exception étroite
Beaucoup de dirigeants croient pouvoir refuser une demande dès qu'il existe un litige avec la personne. C'est faux, et c'est risqué. Le réflexe défensif est ici le mauvais réflexe.
La jurisprudence du Tribunal fédéral pose des exigences élevées pour admettre qu'une demande est abusive. Une demande reste légitime dès lors que la personne veut aussi vérifier l'exactitude ou la licéité de ce que vous faites de ses données. La proximité entre un licenciement et une demande d'accès ne prouve pas, à elle seule, une manœuvre.
Le refus n'est possible que dans des cas étroits. Trois exemples : une demande qui cherche seulement à nuire, à espionner un adversaire, ou à préparer un procès sans lien avec la protection des données. Et c'est à vous, responsable du traitement, de motiver ce refus. Le responsable du traitement, c'est l'entreprise qui décide pourquoi et comment les données sont traitées. En cas de doute seulement, vous pouvez demander à la personne de préciser le but de sa demande.
Le message tient en une ligne. En cas de litige, le bon réflexe est de répondre proprement, pas de se braquer. Le déni est la posture la plus risquée.
Deux situations, deux fonctions
Côté RH. Un ancien collaborateur dont le départ s'est mal passé demande l'accès à son dossier. Le conflit ne justifie pas le refus, et la proximité avec le licenciement ne prouve aucune manœuvre. La bonne réponse est une réponse, pas un silence.
Côté commercial. Un client mécontent après un litige, ou un candidat dont la candidature a été refusée, veut voir ce que vous détenez. Souvent, c'est moins que ce qu'il imagine. Encore faut-il pouvoir le lui montrer proprement.
La procédure, à poser une fois pour toutes
Une demande d'accès devient une routine dès que quatre points sont en place.
- Un point d'entrée unique. Une adresse ou une personne qui reçoit les demandes et déclenche la suite. Sans ce point d'entrée, le délai court à l'aveugle.
- Un accusé de réception daté. Vous notez la date de réception. C'est elle qui fait courir les trente jours.
- Une cartographie déjà faite. Savoir, à froid, où sont les données d'une personne : RH, CRM, comptabilité, sauvegardes. C'est le vrai travail, fait une seule fois.
- Un modèle de réponse. Une trame qui fournit les données concrètes, sous une forme compréhensible, sans livrer celles de tiers et sans refuser par réflexe.
Une précision honnête : cette routine décrit le traitement d'une demande une fois la procédure posée et la cartographie faite. La mise en place initiale, elle, demande un vrai travail. Mais c'est un travail qu'on ne fait qu'une fois. Ces quatre points posés, chaque demande devient une formalité. Sans eux, chaque demande est une petite crise.
Le droit d'accès n'est qu'un des droits prévus par la loi. La rectification et l'effacement des données suivent une logique voisine. C'est pourtant lui qui arrive le plus souvent par e-mail, un matin, sans prévenir. Le traiter en routine, c'est refermer l'un des écarts les plus fréquents trois ans après la LPD.
Aller plus loin : Pour le cadre juridique complet (jurisprudence du Tribunal fédéral, frontière entre données et documents, limites précises du refus), notre analyse de fond du droit d'accès est disponible en téléchargement ci-dessous. Et si vous préférez poser votre procédure avec un regard extérieur, voyez notre accompagnement en protection des données ou parlons-en.
