1) Il résulte des dispositions des articles 2 et 39 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés que la communication de données à caractère personnel n’est possible qu’à la personne concernée par ces données. Par suite, la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée » par leur traitement au sens de ces dispositions. 2) Toutefois, lorsque la victime d’un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l’article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux‑mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée.

Les réponses écrites fournies par un candidat lors d'un examen professionnel et les éventuelles annotations de l'examinateur relatives à ces réponses constituent des données à caractère personnel. Le candidat a, en principe, un droit d'accès à ces données.

Le caractère erroné des adresses électroniques communiquées sur le site web d’un responsable de traitement destinées à recueillir les demandes relatives à l'exercice des droits conférés à la personne en vertu des articles 15 à 22 du RGPD, lorsqu’il n’a été pleinement réparé qu’à l’issue d’un délai de plus de six mois et postérieurement à un contrôle diligenté par les services de la CNIL, ainsi que la procédure d'exercice de ces mêmes droits effectuée par voie postale par un prestataire du responsable de traitement ne permettant pas de faciliter les démarches des personnes concernées, en l’absence de transmission directe des demandes de droit d’accès du responsable de traitement à son prestataire, sont de nature à caractériser un manquement aux dispositions de l’article 12 du RGPD.

L'article 15, paragraphe 3, première phrase, du RGPD doit être interprété en ce sens que le droit d'obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l'objet d'un traitement implique qu'il soit remis à la personne concernée une reproduction fidèle et intelligible de l'ensemble de ces données. Ce droit suppose celui d'obtenir la copie d'extraits de documents voire de documents entiers ou encore d'extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d'une copie est indispensable pour permettre à la personne concernée d'exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu'il doit être tenu compte, à cet égard, des droits et libertés d'autrui.

L'article 15, paragraphe 3, troisième phrase, du RGPD doit être interprété en ce sens que la notion d'« informations » qu'il vise se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application de la première phrase de ce paragraphe.

La contravention d’opposition à l’exercice du droit d'accès à une information nominative, prévue et réprimée par les articles 35 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction antérieure à la loi du 6 août 2004, 1 3° du décret du 23 décembre 1981, et consistant dans la fourniture de données présentées sous une forme non directement lisible, constitue une infraction instantanée, consommée à la date d’envoi de l’information à la personne titulaire du droit d’accès. Ne caractérisent pas la réitération de cette infraction les réponses faites ultérieurement aux réclamations du titulaire du droit d'accès se plaignant de l’absence de clarté des informations données.

Justifie, dès lors, sa décision : la cour d’appel constate l’extinction de l’action publique par la prescription après avoir retenu qu’il s’était écoulé plus d’une année entre l’envoi des informations au titulaire du droit d’accès et la plainte adressée par lui au procureur de la République.

Aux termes de l'article 39 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, toute personne physique ne peut à tout moment avoir accès aux données à caractère personnel la concernant contenues dans un fichier. Cet article fait obligation au responsable du traitement de transmettre au demandeur les données dont il sollicite la communication, sauf si la demande présente un caractère abusif. La circonstance que le responsable du traitement a auparavant répondu favorablement à une demande de l'avocat de l'intéressé, formulée dans le cadre d'un litige avec son employeur, est sans influence sur l'existence de l'obligation.

Le droit d’accès peut être exercé dans un contexte litigieux ou en parallèle d’une procédure judiciaire, sous réserve, notamment, des limites prévues par le RGPD et le code de la santé publique.

Le droit d'accès de la personne concernée comprend plusieurs composantes : la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, l'accès auxdites données le cas échéant et la fourniture d'informations sur le traitement concerné. Les limitations à l'exercice du droit d'accès rendues nécessaires par les dispositions de l'article 15.4 du RGPD, qui prévoient que le droit d'obtenir une copie des données ne porte pas atteinte aux droits et libertés d'autrui, ne peuvent pas en principe concerner la confirmation que des données font ou non l'objet d'un traitement.

Il s'ensuit que le bénéficiaire non acceptant ou n'étant pas en mesure d'apporter la preuve de son acceptation du bénéfice du contrat d'assurance-vie doit pouvoir recevoir confirmation ou non de sa présence dans le traitement de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé FICOVIE, quand bien même des restrictions concernant l'accès aux données enregistrées dans ce traitement peuvent être appliquées à ces catégories de personnes en application de l'article 15.4 du RGPD.

1) En procédant aux investigations prévues à l'article 41 de la loi n° 78‑17 du 6 janvier 1978 et en indiquant à l'intéressé qu’aucune information le concernant ne figurait dans les fichiers en question, la CNIL a mis un terme à la procédure d'accès indirect engagée. Elle doit être regardée comme satisfaisante en tiérant la demande du demandeur.

2) a) Une décision par laquelle la CNIL refuse de donner suite à une demande tendant à ce qu’elle mette en œuvre les pouvoirs d’enquête dont elle peut faire usage sur le fondement de l’article 11 de la loi n° 78‑17 du 6 janvier 1978, lorsqu’elle est saisie d’une réclamation, pétition ou plainte relative à la mise en œuvre des traitements de données à caractère personnel, est susceptible de faire l’objet d’un recours pour excès de pouvoir.

b) Toutefois, si l’intéressé se borne à demander à la CNIL de manière générale, de faire respecter la loi du 6 juillet 1978 relative à l’informatique, aux fichiers et aux libertés et de faire « effacer l’ensemble des fichiers contenant des données personnelles collectées par les services consulaires français sans information préalable des personnes concernées », la CNIL ne commet pas d’erreur manifeste d’appréciation en ne donnant pas suite à ces réclamations.

ème ème