Droit d'accès
Le droit d’accès, décrit à l’article 18 de la LQPD, est ton droit de t’adresser au responsable du traitement pour savoir s’il traite ou non tes données à caractère personnel et, dans le cas où ce traitement est en cours, obtenir les informations suivantes :
· Une copie de tes données personnelles faisant l’objet du traitement.
· Les finalités du traitement.
· Les catégories de données personnelles qui sont traitées.
· Les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, notamment les destinataires dans des pays tiers ou des organisations internationales.
· Le délai prévu pour la conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer ce délai.
· L’existence du droit de la personne concernée de demander au responsable du traitement: la rectification ou la suppression de ses données personnelles, la limitation du traitement de ses données personnelles ou l’opposition à ce traitement.
· Le droit de déposer une réclamation auprès d’une autorité de contrôle (en Andorre, l’APDA).
· Lorsque les données personnelles n’ont pas été obtenues directement auprès de toi, toute information disponible sur leur origine.
· L’existence de décisions automatisées, y compris le profilage, et au moins dans ce cas, des informations significatives sur la logique appliquée, l’importance et les conséquences attendues de ce traitement pour la personne concernée.
· Lorsque des données personnelles sont transférées dans un pays tiers ou à une organisation internationale, tu as le droit d’être informé des garanties appropriées dans lesquelles les transferts sont effectués.
Tu peux télécharger le formulaire pour l’exercer ici.
La possibilité de recevoir des informations cohérentes, fiables, complètes et à jour sur les activités de traitement, permet aux personnes d’obtenir et/ou de sensibiliser à toute opération de traitement pertinente, d’exercer un contrôle pratique sur tes données et de contrôler l’exactitude et la licéité du traitement des données. Cette information est un principe clé de l’ensemble du cadre de protection des données d’Andorre et doit être fournie conformément à l’article 18 de la LQPD. Plus précisément, le responsable du traitement est tenu de fournir des informations transparentes, intelligibles et facilement accessibles sur la question de savoir si des données sont traitées ou non, quelles sont les opérations de traitement réelles, ainsi que l’accès complet aux données faisant l’objet du traitement.
Le droit d’accès conformément à l’article 18.1 de la LQPD comprend trois éléments :
1. Le droit d’obtenir de la part du responsable du traitement la confirmation que les données le concernant sont traitées,
2. Le droit d’accéder aux données à caractère personnel faisant l’objet du traitement ; et
3. Le droit d’obtenir des informations sur certains aspects du traitement, comme indiqué sur la liste de l’article 18.1, points a) à h), de la LQPD.
La LQPD (comme le règlement européen sur la protection des données, ci-après le RGPD) n’impose aucune exigence quant à la forme de la demande par laquelle la personne concernée ou son représentant autorisé exerce le droit d’accès. Le formulaire fourni ci-dessus est juste un outil pour faciliter l’exercice, mais personne n’est obligé de l’utiliser.
La personne concernée peut définir la portée de sa demande et n’a pas besoin d’en indiquer les motifs. Même s’il le faisait, le responsable n’a pas compétence pour évaluer ses raisons.
Toutefois, si la demande n’est pas claire et qu’une grande quantité de données est traitée, le responsable du traitement peut demander à la personne concernée de préciser à quelles activités de traitement la demande se rapporte. Si la personne concernée demande néanmoins l’accès à toutes ses données personnelles, le responsable du traitement doit fournir ces informations, comme l’ont déjà confirmé l’EDPB (European Date Protection Board) et les tribunaux nationaux de plusieurs pays de l’UE.
Le responsable du traitement doit prendre toutes les mesures nécessaires pour vérifier l’identité de la personne concernée, car la divulgation de données à caractère personnel à une autre personne pourrait être qualifiée de violation de données. Toutefois, le responsable du traitement n’utilisera pas cette exigence pour entraver l’exercice du droit d’accès, et il n’est pas acceptable de demander un document d’identification dans la demande d’accès lorsque ce document n’est pas nécessaire pour authentifier l’identité du demandeur. Par exemple, lorsque la personne concernée envoie une demande d’accès à partir du même e-mail que celui qu’elle a utilisé lorsqu’elle a fourni ses données personnelles pour la première fois, il ne peut y avoir aucun doute sur son identité, et par conséquent, toute autre donnée que le responsable du traitement exige de la personne concernée, comme condition préalable à l’exécution de sa demande, est disproportionnée, enfreint le principe de minimisation des données et serait, en définitive, illégale.
Dernière mise à jour : 17 mai 2022