Demande d’exercice du droit d’accès
CE QUE DIT LA LOI
La Loi organique numéro 63 en date du 27 juillet 2004 portant sur la protection des données à caractère personnel (RGPD):
Art. 37. « Le responsable du traitement automatisé des données à caractère personnel et le sous-traitant doivent mettre en œuvre les moyens techniques nécessaires pour permettre à la personne concernée, à ses héritiers ou à son tuteur l’envoi par voie électronique de sa demande de rectification, de modification, de correction, ou d’effacement des données à caractère personnel. »
Art. 32. « Au sens de la présente loi, on entend par droit d’accès, le droit de la personne concernée, de ses héritiers ou de son tuteur de consulter toutes les données à caractère personnel la concernant, ainsi que le droit de les corriger, compléter, rectifier, mettre à jour, modifier, clarifier ou effacer lorsqu’elles s’avèrent inexactes, équivoques, ou que leur traitement est interdit. Le droit d’accès couvre également le droit d’obtenir une copie des données dans une langue claire et conforme au contenu des enregistrements, et sous une forme intelligible lorsqu’elles sont traitées à l’aide de procédés automatisés.»
Art. 40. « La personne concernée, ses héritiers ou son tuteur, peut demander de rectifier les données à caractère personnel la concernant, les compléter, les modifier, les clarifier, les mettre à jour, les effacer lorsqu’elles s’avèrent inexactes, incomplètes, ou ambiguës, ou demander leur destruction lorsque leur collecte ou leur utilisation a été effectuée en violation de la présente loi. Elle peut en outre demander, sans frais et après l’accomplissement des procédures requises, la délivrance d’une copie des données à caractère personnel et indiquer ce qui n’a pas été réalisé en ce qui concerne ces données. Dans ce cas, le responsable du traitement ou le sous-traitant doit lui délivrer une copie des données demandées dans un délai ne dépassant pas un mois à compter de la date de la présentation de la demande. En cas de refus, explicite ou implicite, de la demande l’Instance peut être saisie dans un délai ne dépassant pas un mois à partir de la date d’expiration du délai mentionné au paragraphe précédent. »
Art. 11. « (…) Le responsable du traitement doit également s’assurer que ces données sont exactes, précises et mises à jour.»
Art. 34. « Le droit d’accès est exercé par la personne concernée, ses héritiers ou son tuteur à des intervalles raisonnables et de façon non excessive. »
Art. 36. « Lorsqu’il y a plusieurs responsables du traitement des données à caractère personnel ou lorsque le traitement est effectué par un sous-traitant, le droit d’accès est exercé auprès de chacun d’eux. »
- Le droit de rectification permet de corriger des données inexactes vous concernant (âge ou adresse erronés) ou de compléter des données (adresse sans le numéro de l’appartement) en lien avec la finalité du traitement.
- Le droit d’accès vous permet d’obtenir une copie des données dans une langue claire et conforme au contenu des enregistrements, et sous une forme intelligible lorsqu’elles sont traitées à l’aide de procédés automatisés.
- La Loi met à la charge du responsable du fichier l’obligation de communiquer aux autres destinataires des données les rectifications apportées, sauf si une telle communication exigerait des efforts disproportionnés.
- Le fait de procéder à un traitement de vos données personnelles malgré votre opposition est puni d’un an d’emprisonnement et de 5 000 dinars d’amende.
CE QUE VOUS POUVEZ FAIRE
Adressez un courrier ou un e-mail au responsable du traitement des données de la société.
Vous devez justifier de votre identité par exemple, en:
- communiquant votre numéro de client ou d’abonnement en plus de votre identité et de votre adresse.
- exerçant vos droits à partir d’un compte en ligne sur lequel vous vous êtes préalablement authentifié (identifiant et mot de passe).
C’est seulement si la société a un doute sur votre identité qu’elle peut vous demander des informations supplémentaires, dont une copie d’un titre d’identité.
Gardez bien une copie de votre démarche (copie du courrier, copie écran, etc.). N’hésitez pas à demander un accusé de réception pour prouver la date de celle-ci.
Suivant votre demande, vous devez recevoir une réponse dans un délai d’ un mois. Ce délai peut être prorogé d’un mois et donc porté à deux mois si la demande est complexe, mais la société devra le justifier.
Le silence gardé pendant plus de … mois vaut décision de refus, sauf justifications ayant prorogé ce délai.
À défaut de réponse dans le délai imparti ou de réponse incomplète, voire en cas de refus, vous avez la possibilité de porter plainte auprès de l’INPDP conformément à l’Art. 38. « Dans le cas où le responsable du traitement ou le sous- traitant refuse de permettre à la personne concernée, à ses héritiers ou à son tuteur la consultation des données à caractère personnel requises, ou diffère l’accès à ces données, ou refuse de leur délivrer une copie de ces données, la personne concernée, ses héritiers ou son tuteur peuvent présenter une demande à l’Instance dans un délai maximum d’un mois à compter de la date du refus. »
- envoyée par mails sur l’adresse: inpdp@inpdp.nat.tn.
- faxée à l’Instance sur le numéro: 71 799 823
- envoyée par la poste sur l’adresse: 1, Rue Mohamed Moalla, 1002, Mutuelleville, Tunis B.P. 525.
L’Instance doit rendre sa décision dans un délai d’un mois à compter de la date de sa saisine.
« L’instance, après l’audition des deux parties et l’accomplissement des investigations nécessaires, peut ordonner la consultation des informations requises ou la délivrance d’une copie de ces informations ou l’approbation du refus, et ce, dans un délai ne dépassant pas un mois à compter de la date de sa saisine. La personne concernée, ses héritiers ou son tuteur peuvent présenter à l’Instance, le cas échéant, une demande afin de prendre toutes les mesures appropriées pour empêcher la destruction ou la dissimulation des données à caractère personnel. L’instance doit statuer sur la demande dans un délai de sept jours à compter de la date de l’introduction de la demande. La destruction ou la dissimulation de ces données est interdite dès la présentation de la demande. »
À noter
Le modèle de demande d’exercice du droit d’opposition que nous mettons à votre disposition a été rédigé à titre d’exemple.
La limitation du droit d’accès de la personne concernée, de ses héritiers ou de son tuteur aux données à caractère personnel la concernant n’est possible que dans les cas suivants:
- lorsque le traitement des données est effectué à des fins scientifiques et à condition que ces données n’affectent la vie privée de la personne concernée que d’une façon limitée.
- si le motif recherché par la limitation du droit d’accès est la protection de la personne concernée elle-même ou des tiers.
Attention : Le modèle de demande d’exercice du droit d’opposition n’a pas vocation à se substituer à des conseils personnalisés qui pourraient vous être fournis. Il a pour objet de vous proposer une argumentation que vous jugez pertinente au regard de votre situation.