Page contents Page contents Réponse Lorsqu’une personne demande l’accès à ses données à caractère personnel, votre entreprise/organisation doit: confirmer si elle traite ou non des données à caractère personnel à son sujet; fournir une copie des données à caractère personnel qu'elle détient à son sujet; fournir des informations relatives au traitement (telles que les finalités, les catégories de données à caractère personnel, les destinataires, etc.). Votre entreprise/organisation doit fournir à la personne concernée une copie de ses données à caractère personnel sans frais; toute copie supplémentaire peut faire l’objet de frais raisonnables. L’exercice du droit d’accès est étroitement lié à l’exercice du droit à la portabilité des données (permettre à la personne de transmettre ses données à une autre organisation). Il est essentiel que la déclaration de confidentialité de votre entreprise/organisation fasse clairement la distinction entre ces deux droits. Il faut donc brièvement les mentionner de manière séparée. Exemple Votre entreprise/organisation fournit un service de réseau social qui permet aux personnes d’échanger des messages et des photos. Un utilisateur demande d'accéder à ses données à caractère personnel et de vérifier quelles données à caractère personnel à son sujet sont traitées par votre entreprise/ organisation. Votre entreprise/organisation doit confirmer qu'elle traite des données à caractère personnel à son sujet et lui fournir une copie de ces données (reprenant son nom, ses coordonnées, les messages et photos qu’il a échangés). Votre entreprise/organisation doit également lui fournir des informations sur le traitement qui se trouvent en général dans la déclaration de confidentialité de votre service. Références Article 15; Considérants 63, 64 Example Your company/organisation provides an online social networking service whereby individuals can exchange messages and pictures. A user requests to access their personal data and to verify what personal data which concerns them is processed by your company/organisation. Your company/organisation must confirm that it is processing personal data which concerns them and provide a copy (such as name, contact details, messages and pictures exchanged). Your company/organisation must also provide them with information about the processing – usually that would be in the privacy notice of your service. References Article 15 and Recitals (63) and (64) of the GDPR
