
Bruxelles, le 20 janvier - Le comité européen de la protection des données (CEPD) a adopté un rapport sur la mise en œuvre du droit d'accès des responsables du traitement. Le rapport résume les résultats d’une série d’actions nationales coordonnées menées en 2024 au titre du cadre de mise en œuvre coordonnée (CEF). Il énumère les problèmes qui ont été observés pour certains contrôleurs, ainsi qu'une série de recommandations pour les aider à mettre en œuvre le droit d'accès. Un élément central est la connaissance, par les responsables du traitement, des lignes directrices 01/2022 du comité européen de la protection des données sur les droits des personnes concernées – Droit d’accès et si ces lignes directrices ont été suivies dans la pratique.
Zdravko Vukíc, vice-président du comité européen de la protection des données, a déclaré: «Le MIE est une initiative précieuse qui contribue à renforcer la coopération entre les autorités chargées de la protection des données : en abordant des thèmes sélectionnés de manière coordonnée, ils gagnent en efficacité et en cohérence. La manière dont les responsables du traitement mettent en œuvre le droit d’accès est au cœur de la protection des données et constitue l’un des droits les plus fréquemment exercés par les personnes concernées.»
Tout au long de l’année 2024, 30 DPAs à travers l’Europe ont lancé des enquêtes coordonnées sur le respect du droit d’accès par les responsables du traitement, en ouvrant des enquêtes formelles, en évaluant si une enquête formelle était justifiée et/ou en effectuant des exercices d’établissement des faits. Un total de 1 185 contrôleurs, composés de petites et moyennes entreprises (PME) et de grandes entreprises actives dans différents secteurs et domaines, ainsi que de différents types d’entités publiques, ont répondu à l’action.
Domaines d'amélioration et principaux défis
Les résultats suggèrent qu’une sensibilisation accrue aux lignes directrices 01/2022 est nécessaire, tant au niveau national qu’au niveau de l’UE, étant donné que les lignes directrices aident les responsables du traitement à mettre en œuvre le droit d’accès, expliquent comment l’exercice de ce droit peut être facilité et énumèrent les exceptions et limitations du droit d’accès.
À la suite de l’action CEF 2024, sept défis ont été recensés. L'une d'entre elles est l'absence de procédures internes documentées pour traiter les demandes d'accès. En outre, des interprétations incohérentes et excessives des limites du droit d’accès ont également été observées, telles que le recours excessif à certaines exceptions pour refuser automatiquement les demandes d’accès. Un autre exemple est celui des obstacles que les personnes pourraient rencontrer lorsqu'elles exercent leur droit d'accès, comme les exigences formelles ou le fait d'être invitées à fournir des documents d'identification excessifs. Pour chaque défi identifié, le rapport fournit une liste de recommandations non contraignantes à prendre en compte par les responsables du traitement et les EDPB.
Constatations positives
Malgré les difficultés existantes, deux tiers des EDPB participantes ont évalué le niveau de conformité des responsables du traitement ayant répondu en ce qui concerne le droit d’accès de «moyen» à «élevé». Un facteur important identifié comme ayant une incidence sur le niveau de conformité était le volume de demandes d’accès reçues par les responsables du traitement, ainsi que la taille de l’organisation. Plus précisément, les contrôleurs de grande taille ou les contrôleurs recevant plus de demandes étaient plus susceptibles d'atteindre un niveau de conformité plus élevé que les petites organisations disposant de moins de ressources.
Des résultats positifs ont été observés dans toute l'Europe. Il s’agit notamment de la mise en œuvre de bonnes pratiques par les responsables du traitement, telles que des formulaires en ligne conviviaux permettant aux personnes de soumettre facilement une demande d’accès, ainsi que des systèmes en libre-service permettant aux personnes de télécharger de manière autonome leurs données à caractère personnel en quelques clics et à tout moment.
Contexte et prochaines étapes
Le CEF est une action clé du comité européen de la protection des données dans le cadre de sa stratégie 2024-2027, qui vise à rationaliser l’application de la législation et la coopération entre les DPAs.
Au cours des trois dernières années, deux actions antérieures au titre du CEF ont été menées.
Les résultats de ces actions nationales sont agrégés et analysés ensemble afin de mieux comprendre le sujet et de permettre un suivi ciblé tant au niveau national qu’au niveau de l’UE.
En 2023, l’EDPB a publié le rapport sur sa première action coordonnée concernant l’utilisation des services en nuage par le secteur public.
En 2024, l’EDPB a également publié le rapport sur les résultats de la deuxième action coordonnée relative à la désignation et au poste de délégué à la protection des données.
L’action CEF 2025 portera sur la mise en œuvre du droit à l’effacement.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.