Caractère répétitif d’une demande de droit d’accès
De quoi parle-t-on ?
L’autorité de protection des données et de transparence du Land de Saxe (Sächsische Datenschutz- und Transparenzbeauftragte) a récemment publié son rapport annuel pour la période couvrant l’année 2022.
Dans le rapport de l’autorité (cf. pp. 124 ss.), un cas significatif est mis en lumière, portant sur l’application de l’art. 12 par. 5 RGPD. Cet article permet aux responsables du traitement d’ignorer les demandes de droit d’accès qui sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Dans une telle hypothèse, le responsable du traitement peut alternativement (i) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour traiter la demande de droit d’accès (ii) ou refuser de donner suite à la demande.
Le cas exposé par l’autorité de protection des données de Saxe met en avant une situation où un citoyen exerce son droit d’accès (art. 15 RGPD) en octobre 2019 auprès d’une commune du même Land. Le responsable du traitement répond à cette demande en fournissant les informations requises. Cependant, l’affaire prend un tournant lorsque, en septembre 2021, le même individu soumet une Löschungsersuchen, à savoir une demande d’effacement de ses données personnelles (art. 17 RGPD). Cette requête est suivie d’une nouvelle demande d’accès en février 2022.
Cette séquence d’événements soulève des questions essentielles concernant la fréquence et le caractère répétitif des demandes, en mettant en évidence la complexité pour le responsable du traitement de gérer ces requêtes tout en maintenant un équilibre entre les droits de l’individu et les contraintes pratiques de la gestion des données personnelles.
Dans l’analyse du cas en question, l’autorité de protection des données du Land de Saxe soutient que les conditions énoncées par l’art. 12 par. 5 RGPD ne sont pas remplies. Les demandes successives de suppression et de droit d’accès survenues en septembre 2021 et en février 2022 ne sont pas jugées comme ayant un caractère répétitif déraisonnable qui satisferait le caractère excessif de la demande.
L’autorité de protection des données du Land de Saxe base son raisonnement sur le délai de trois mois énoncé à l’art. 78 par. 2 RGPD. Cet article permet à une personne concernée d’introduire un recours juridictionnel effectif lorsqu’une autorité ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’art. 77 RGPD. L’aspect temporel d’un traitement de données est également souligné par l’autorité de protection des données du Land de Saxe, qui rappelle que dans un contexte dynamique de traitement de données personnelles, des changements significatifs dans les informations traitées peuvent intervenir déjà en quelques semaines.
Par conséquent, l’autorité de Saxe conclut que le droit de la personne concernée à accéder à ses données personnelles ne doit pas être restreint dans ce cas précis, soulignant l’importance de bien évaluer les circonstances particulières de chaque demande pour déterminer si elles répondent aux critères de l’art. 12 par. 5 RGPD. Bien qu’il ne s’agisse que d’une décision d’une autorité parmi de nombreuses autres, elle offre des pistes essentielles pour orienter les actions du responsable du traitement. À souligner que cette décision n’est pas contraignante pour les tribunaux, ce qui a d’ailleurs été expressément souligné par les autorités de protection des Länder dans une récente prise de position concernant un acte législatif.
Quels critères pour déterminer un délai raisonnable ?
Dans le contexte spécifique de cette affaire, l’autorité a conclu que, compte tenu des circonstances particulières, une demande trimestrielle n’était pas considérée comme ayant un caractère excessif. Le caractère manifestement excessif d’une demande n’est pas une notion juridiquement déterminée par le RGPD, tout comme le caractère manifestement infondé d’une demande, ce qui laisse ainsi une marge d’appréciation au bénéfice du responsable du traitement.
Cette marge d’appréciation est toutefois limitée, dans la mesure où ces exceptions doivent être interprétées de manière restrictive. Les principes de transparence et de gratuité des droits des personnes concernées ne doivent en effet pas être remis en cause. Il appartient au responsable du traitement de démontrer à la personne concernée ou à l’autorité pourquoi ils considèrent que la demande est manifestement infondée ou excessive.
Le Comité européen de la protection des données propose plusieurs critères dans ses Lignes directrices 01/2022 sur les droits des personnes concernées – droit d’accès pour déterminer si un délai raisonnable s’est écoulé. Il s’agit notamment des critères suivants :
- La fréquence à laquelle des données sont modifiées.
- La nature des données traitées.
- Les finalités du traitement.
- Le fait que les demandes ultérieures concernent le même type d’informations ou d’activités de traitement.
Selon nous, et au vu de ce qui précède, il est important de noter que l’absence de caractère excessif pour une demande trimestrielle ne peut être généralisée, et une évaluation au cas par cas sur la base des critères proposés demeure essentielle.
Que prévoit le droit suisse ?
Contrairement au droit européen qui prévoit une seule et même disposition, la LPD fait la différence entre
- Le refus de traiter une demande de droit d’accès, car celle-ci est manifestement infondée ou procédurière ( 26 al. 1 let. c LPD).
- L’exception à la gratuité d’une demande de droit d’accès, car la communication des renseignements exige des efforts disproportionnés ( 25 al. 6 LPD et 19 OPDo).
Une demande manifestement infondée est un motif central de refus d’accès dans la pratique (art. 26 al. 1 let. c LPD). Les demandes d’accès peuvent être limitées si elles sont manifestement infondées, en particulier si elles poursuivent un but contraire à la protection des données, ou si la demande est manifestement procédurière. C’est en particulier le cas des demandes qui servent à chicaner le responsable du traitement ou à l’occuper inutilement, par exemple en lui adressant une demande d’accès à des intervalles réguliers.
L’ancienne Ordonnance relative à la loi fédérale sur la protection des données (à compter du 1er septembre 2023) indiquait, à son art. 2 al. 1 let. a aOLPD, qu’un responsable du traitement pouvait exiger une participation équitable aux frais lorsque les renseignements désirés avaient déjà été communiqués au requérant dans les douze mois précédant la demande et que ce dernier ne pouvait justifier d’un intérêt légitime, tel que la modification non annoncée des données le concernant. Selon nous, et vu le choix du législateur de prévoir directement au sein de la LPD les cas dans lesquels les demandes sont procédurières (cf. Rapport OPDo, p. 43), il est tout à fait possible aujourd’hui pour le responsable du traitement de s’appuyer sur ce critère temporel afin de restreindre, refuser ou différer la communication des renseignements.
En ce qui concerne l’exception à la gratuité, l’art. 19 al. 1 OPDo ne prévoit plus que l’exemple selon lequel la communication des renseignements occasionne des efforts disproportionnés, ceci afin de garder une cohérence avec les modifications apportées à la restriction du droit d’accès (cf. Rapport OPDo, p. 43). Nonobstant cette modification de la systématique, le législateur a également remplacé la notion de « volume de travail considérable » (art. 2 al. 1 let. b aOLPD) par la notion « d’efforts disproportionnés » (art. 19 al. 1 OPDo). Selon nous, la notion « d’efforts disproportionnés » ne doit pas être comprise uniquement comme se rapportant au travail effectif que le responsable du traitement doit fournir pour communiquer les renseignements, mais également à l’aspect temporel d’une demande en prenant comme base les douze mois qui étaient anciennement mentionnés par l’aOLPD.
En conclusion, lorsqu’une demande de droit d’accès est introduite par la personne concernée avec des fréquences de moins de douze mois, le responsable du traitement peut soit restreindre le droit d’accès conformément à l’art. 26 LPD, soit exiger de la personne concernée une participation équitable aux frais en dérogation au principe de gratuité (art. 25 al. 6 LPD et 19 OPDo). Toutefois, et pour les mêmes raisons que celles invoquées en droit européen, une application trop péremptoire de ce critère temporel reste risquée. Il faut voir celui-ci plutôt comme un indice et une analyse au cas par cas reste selon nous fondamentale.
Proposition de citation : Livio di Tria, Caractère répétitif d’une demande de droit d’accès, 25 août 2023 in www.swissprivacy.law/245
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.