Demande d'accès et sanction RGPD : quelle leçon retenir ?
Demande d'accès : contexte d'une décision de l'homologue britannique de la CNIL
En février 2020, l'homologue britannique de la CNIL a examiné si une réponse donnée en ne confirmant ni ne niant une demande d'informations d'une personne concernée était conforme à la réglementation sur la protection des données personnelles.
Le demandeur a cherché à savoir si la police du Northamptonshire avait pénétré de force dans une propriété qui lui appartient, mais qu'il loue à un locataire, parce que la police soupçonnait que la propriété contenait de la drogue. La police a estimé que la divulgation d'informations sans le consentement du locataire serait contraire aux dispositions de la même réglementation.
D'une part, dans sa décision, la CNIL anglaise a conclu que la divulgation d'informations concernant une intervention de la police impliquerait la divulgation de données personnelles d'un tiers (c'est-à-dire du locataire).
L'autorité de protection des données a expliqué davantage que le fait de donner accès à de telles informations constitue un traitement de données du locataire dans le cadre du GDPR (RGPD).
Cette divulgation doit avoir une base juridique en vertu de l'article 6, paragraphe 1, du RGPD et être renforcée soit par le consentement explicite du locataire, soit par le fait que ces informations ont été rendues publiques par le locataire ; ce qui est peu probable étant donné que ces informations sont effectivement des "données relatives à des infractions pénales" au sens de l'article 10 du RGPD.
En fait, aucune de ces conditions n'était remplie. C'est pourquoi il a été considéré qu'il n'y avait pas de bases légales pour répondre clairement à la demande du propriétaire.
La police de Northampton était en droit de ne pas la confirmer, ni de la nier. Cependant, la CNIL anglaise a estimé que la police aurait dû motiver sa réponse, en expliquant ce raisonnement.
Demande d'accès : l'erreur à ne plus commettre
1. Si vous répondez à une demande d’informations, assurez-vous que les informations transmises ne portent que sur le demandeur et n’impliquent nullement un tiers.
2. En présence de données personnelles d'un tiers parmi les informations à fournir, veillez à vous justifier la divulgation de ces informations du tiers au demandeur, selon la bonne base légale.
Cet article pourrait vous intéresser : un salarié demande ses fiches de paie 5 ans après son départ, que dois-je faire ?