De quoi parle-t-on ?

L’autorité de protec­tion des données et de trans­pa­rence du Land de Saxe (Sächsische Datenschutz- und Transparenzbeauftragte) a récem­ment publié son rapport annuel pour la période couvrant l’année 2022.

Dans le rapport de l’au­to­rité (cf. pp. 124 ss.), un cas signi­fi­ca­tif est mis en lumière, portant sur l’ap­pli­ca­tion de l’art. 12 par. 5 RGPD. Cet article permet aux respon­sables du trai­te­ment d’ignorer les demandes de droit d’accès qui sont mani­fes­te­ment infon­dées ou exces­sives, notam­ment en raison de leur carac­tère répé­ti­tif. Dans une telle hypo­thèse, le respon­sable du trai­te­ment peut alter­na­ti­ve­ment (i) exiger le paie­ment de frais raison­nables qui tiennent compte des coûts admi­nis­tra­tifs suppor­tés pour trai­ter la demande de droit d’accès (ii) ou refu­ser de donner suite à la demande.

Le cas exposé par l’au­to­rité de protec­tion des données de Saxe met en avant une situa­tion où un citoyen exerce son droit d’accès (art. 15 RGPD) en octobre 2019 auprès d’une commune du même Land. Le respon­sable du trai­te­ment répond à cette demande en four­nis­sant les infor­ma­tions requises. Cependant, l’af­faire prend un tour­nant lorsque, en septembre 2021, le même indi­vidu soumet une Löschungsersuchen, à savoir une demande d’effacement de ses données person­nelles (art. 17 RGPD). Cette requête est suivie d’une nouvelle demande d’accès en février 2022.

Cette séquence d’évé­ne­ments soulève des ques­tions essen­tielles concer­nant la fréquence et le carac­tère répé­ti­tif des demandes, en mettant en évidence la complexité pour le respon­sable du trai­te­ment de gérer ces requêtes tout en main­te­nant un équi­libre entre les droits de l’in­di­vidu et les contraintes pratiques de la gestion des données personnelles.

Dans l’ana­lyse du cas en ques­tion, l’au­to­rité de protec­tion des données du Land de Saxe soutient que les condi­tions énon­cées par l’art. 12 par. 5 RGPD ne sont pas remplies. Les demandes succes­sives de suppres­sion et de droit d’accès surve­nues en septembre 2021 et en février 2022 ne sont pas jugées comme ayant un carac­tère répé­ti­tif dérai­son­nable qui satis­fe­rait le carac­tère exces­sif de la demande.

L’autorité de protec­tion des données du Land de Saxe base son raison­ne­ment sur le délai de trois mois énoncé à l’art. 78 par. 2 RGPD. Cet article permet à une personne concer­née d’introduire un recours juri­dic­tion­nel effec­tif lorsqu’une auto­rité ne traite pas une récla­ma­tion ou n’informe pas la personne concer­née, dans un délai de trois mois, de l’état d’avan­ce­ment ou de l’is­sue de la récla­ma­tion qu’elle a intro­duite au titre de l’art. 77 RGPD. L’aspect tempo­rel d’un trai­te­ment de données est égale­ment souli­gné par l’autorité de protec­tion des données du Land de Saxe, qui rappelle que dans un contexte dyna­mique de trai­te­ment de données person­nelles, des chan­ge­ments signi­fi­ca­tifs dans les infor­ma­tions trai­tées peuvent inter­ve­nir déjà en quelques semaines.

Par consé­quent, l’au­to­rité de Saxe conclut que le droit de la personne concer­née à accé­der à ses données person­nelles ne doit pas être restreint dans ce cas précis, souli­gnant l’im­por­tance de bien évaluer les circons­tances parti­cu­lières de chaque demande pour déter­mi­ner si elles répondent aux critères de l’art. 12 par. 5 RGPD. Bien qu’il ne s’agisse que d’une déci­sion d’une auto­rité parmi de nombreuses autres, elle offre des pistes essen­tielles pour orien­ter les actions du respon­sable du trai­te­ment. À souli­gner que cette déci­sion n’est pas contrai­gnante pour les tribu­naux, ce qui a d’ailleurs été expres­sé­ment souli­gné par les auto­ri­tés de protec­tion des Länder dans une récente prise de posi­tion concer­nant un acte légis­la­tif.

Quels critères pour déter­mi­ner un délai raisonnable ? 

Dans le contexte spéci­fique de cette affaire, l’au­to­rité a conclu que, compte tenu des circons­tances parti­cu­lières, une demande trimes­trielle n’était pas consi­dé­rée comme ayant un carac­tère exces­sif. Le carac­tère mani­fes­te­ment exces­sif d’une demande n’est pas une notion juri­di­que­ment déter­mi­née par le RGPD, tout comme le carac­tère mani­fes­te­ment infondé d’une demande, ce qui laisse ainsi une marge d’appréciation au béné­fice du respon­sable du traitement.

Cette marge d’appréciation est toute­fois limi­tée, dans la mesure où ces excep­tions doivent être inter­pré­tées de manière restric­tive. Les prin­cipes de trans­pa­rence et de gratuité des droits des personnes concer­nées ne doivent en effet pas être remis en cause. Il appar­tient au respon­sable du trai­te­ment de démon­trer à la personne concer­née ou à l’autorité pour­quoi ils consi­dèrent que la demande est mani­fes­te­ment infon­dée ou excessive.

Le Comité euro­péen de la protec­tion des données propose plusieurs critères dans ses Lignes direc­trices 01/​2022 sur les droits des personnes concer­nées – droit d’accès pour déter­mi­ner si un délai raison­nable s’est écoulé. Il s’agit notam­ment des critères suivants :

• La fréquence à laquelle des données sont modifiées.
• La nature des données traitées.
• Les fina­li­tés du traitement.
• Le fait que les demandes ulté­rieures concernent le même type d’informations ou d’activités de traitement.

Selon nous, et au vu de ce qui précède, il est impor­tant de noter que l’ab­sence de carac­tère exces­sif pour une demande trimes­trielle ne peut être géné­ra­li­sée, et une évalua­tion au cas par cas sur la base des critères propo­sés demeure essentielle.

Que prévoit le droit suisse ? 

Contrairement au droit euro­péen qui prévoit une seule et même dispo­si­tion, la LPD fait la diffé­rence entre

• Le refus de trai­ter une demande de droit d’accès, car celle-ci est mani­fes­te­ment infon­dée ou procé­du­rière ( 26 al. 1 let. c LPD).
• L’exception à la gratuité d’une demande de droit d’accès, car la commu­ni­ca­tion des rensei­gne­ments exige des efforts dispro­por­tion­nés ( 25 al. 6 LPD et 19 OPDo).

Une demande mani­fes­te­ment infon­dée est un motif central de refus d’ac­cès dans la pratique (art. 26 al. 1 let. c LPD). Les demandes d’ac­cès peuvent être limi­tées si elles sont mani­fes­te­ment infon­dées, en parti­cu­lier si elles pour­suivent un but contraire à la protec­tion des données, ou si la demande est mani­fes­te­ment procé­du­rière. C’est en parti­cu­lier le cas des demandes qui servent à chica­ner le respon­sable du trai­te­ment ou à l’oc­cu­per inuti­le­ment, par exemple en lui adres­sant une demande d’accès à des inter­valles réguliers.

L’ancienne Ordonnance rela­tive à la loi fédé­rale sur la protec­tion des données (à comp­ter du 1^er septembre 2023) indi­quait, à son art. 2 al. 1 let. a aOLPD, qu’un respon­sable du trai­te­ment pouvait exiger une parti­ci­pa­tion équi­table aux frais lorsque les rensei­gne­ments dési­rés avaient déjà été commu­ni­qués au requé­rant dans les douze mois précé­dant la demande et que ce dernier ne pouvait justi­fier d’un inté­rêt légi­time, tel que la modi­fi­ca­tion non annon­cée des données le concer­nant. Selon nous, et vu le choix du légis­la­teur de prévoir direc­te­ment au sein de la LPD les cas dans lesquels les demandes sont procé­du­rières (cf. Rapport OPDo, p. 43), il est tout à fait possible aujourd’hui pour le respon­sable du trai­te­ment de s’appuyer sur ce critère tempo­rel afin de restreindre, refu­ser ou diffé­rer la commu­ni­ca­tion des renseignements.

En ce qui concerne l’exception à la gratuité, l’art. 19 al. 1 OPDo ne prévoit plus que l’exemple selon lequel la commu­ni­ca­tion des rensei­gne­ments occa­sionne des efforts dispro­por­tion­nés, ceci afin de garder une cohé­rence avec les modi­fi­ca­tions appor­tées à la restric­tion du droit d’accès (cf. Rapport OPDo, p. 43). Nonobstant cette modi­fi­ca­tion de la systé­ma­tique, le légis­la­teur a égale­ment remplacé la notion de « volume de travail consi­dé­rable » (art. 2 al. 1 let. b aOLPD) par la notion « d’efforts dispro­por­tion­nés » (art. 19 al. 1 OPDo). Selon nous, la notion « d’efforts dispro­por­tion­nés » ne doit pas être comprise unique­ment comme se rappor­tant au travail effec­tif que le respon­sable du trai­te­ment doit four­nir pour commu­ni­quer les rensei­gne­ments, mais égale­ment à l’aspect tempo­rel d’une demande en prenant comme base les douze mois qui étaient ancien­ne­ment mention­nés par l’aOLPD.

En conclu­sion, lorsqu’une demande de droit d’accès est intro­duite par la personne concer­née avec des fréquences de moins de douze mois, le respon­sable du trai­te­ment peut soit restreindre le droit d’accès confor­mé­ment à l’art. 26 LPD, soit exiger de la personne concer­née une parti­ci­pa­tion équi­table aux frais en déro­ga­tion au prin­cipe de gratuité (art. 25 al. 6 LPD et 19 OPDo). Toutefois, et pour les mêmes raisons que celles invo­quées en droit euro­péen, une appli­ca­tion trop péremp­toire de ce critère tempo­rel reste risquée. Il faut voir celui-ci plutôt comme un indice et une analyse au cas par cas reste selon nous fondamentale.