Réponse
Lorsqu’une personne demande l’accès à ses données à caractère personnel, votre entreprise/organisation doit:
- confirmer si elle traite ou non des données à caractère personnel à son sujet;
- fournir une copie des données à caractère personnel qu'elle détient à son sujet;
- fournir des informations relatives au traitement (telles que les finalités, les catégories de données à caractère personnel, les destinataires, etc.).
Votre entreprise/organisation doit fournir à la personne concernée une copie de ses données à caractère personnel sans frais; toute copie supplémentaire peut faire l’objet de frais raisonnables.
L’exercice du droit d’accès est étroitement lié à l’exercice du droit à la portabilité des données (permettre à la personne de transmettre ses données à une autre organisation).
Il est essentiel que la déclaration de confidentialité de votre entreprise/organisation fasse clairement la distinction entre ces deux droits. Il faut donc brièvement les mentionner de manière séparée.
Exemple
Votre entreprise/organisation fournit un service de réseau social qui permet aux personnes d’échanger des messages et des photos. Un utilisateur demande d'accéder à ses données à caractère personnel et de vérifier quelles données à caractère personnel à son sujet sont traitées par votre entreprise/ organisation. Votre entreprise/organisation doit confirmer qu'elle traite des données à caractère personnel à son sujet et lui fournir une copie de ces données (reprenant son nom, ses coordonnées, les messages et photos qu’il a échangés). Votre entreprise/organisation doit également lui fournir des informations sur le traitement qui se trouvent en général dans la déclaration de confidentialité de votre service.
Références
Example
Your company/organisation provides an online social networking service whereby individuals can exchange messages and pictures. A user requests to access their personal data and to verify what personal data which concerns them is processed by your company/organisation. Your company/organisation must confirm that it is processing personal data which concerns them and provide a copy (such as name, contact details, messages and pictures exchanged). Your company/organisation must also provide them with information about the processing – usually that would be in the privacy notice of your service.