RGPD - Instructions relatives au droit d’accès
L’article 15 du RGPD consacre le droit d’accès et précise que « la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ».
Comment ce droit d’accès s’applique-t-il en CPAS ? Quelles sont les documents/les informations concernées ?
Le SPP IS, en collaboration avec les trois Fédérations de CPAS, a élaboré des instructions à ce sujet concernant les matières qui relèvent de la compétence du SPP IS.
L’on peut notamment épingler que :
- Outre le droit d’accès, la personne concernée se voit reconnaître un ensemble de droits lors du traitement de ses données à caractère personnel parmi lesquels figurent le droit à l’information. Le droit à l’information implique que le CPAS doit mettre à sa disposition toute une série d’informations sans attendre que la personne l’interroge sur le traitement des données (identité du responsable de traitement, coordonnées du délégué à la protection des données, finalités du traitement, destinataires, durée de conservation des données, droit d’introduire une réclamation, existence du droit d’accès…).
- Le CPAS doit fournir une réponse à chaque demande d’accès dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut-être prolongé de deux mois mais la personne doit en être avertie par le CPAS.
- Lorsque le CPAS répond à une demande d’accès, il doit se demander si octroyer une suite favorable à cette demande n’implique pas un conflit avec d’autres droits fondamentaux de la personne concernée ou d’autrui. Lorsque tel est le cas, il y a lieu d’effectuer la balance entre les droits fondamentaux en présence afin de déterminer lequel doit primer sur l’autre. Attention : la limitation du droit d’accès doit être légitime, nécessaire et proportionnée.
- Lorsqu’un CPAS a confirmé qu’il traite des données à caractère personnel, il doit non seulement donner à la personne concernée l’accès à ses données mais il doit également fournir des informations complémentaires concernant le traitement de celles-ci (finalités du traitement, catégories de données à caractère personnel concernées, destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, durée de conservation des données à caractère personnel envisagée, existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement, droit d'introduire une réclamation auprès d'une autorité de contrôle, source des données, existence d'une prise de décision automatisée).
Voir les instructions du SPP IS
Voir une représentation schématique des étapes à suivre en matière de droit d'accès (premier item dans l'onglet "document")
Voir le guide de votre droit d'accès à vos données
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?