En créant de nouveaux droits, en imposant aux acteurs une plus grande transparence sur leurs pratiques et en fixant des modalités d'obtention du consentement plus strictes, le RGPD a indéniablement rempli cette mission.

Cependant, les citoyens, désormais pleinement conscients de leurs droits, ont réalisé au fil des ans que ces derniers pouvaient servir leurs intérêts bien au-delà de la seule question de la protection des données personnelles. On ne compte plus désormais les demandes d'accès aux données - sur le fondement de l'article 15 du RGPD - visant uniquement à obtenir des documents utilisés ensuite à des fins probatoires dans le cadre de procédures contentieuses, notamment prud'hommales. On a pu observer de la même manière une recrudescence des abus dans le domaine commercial par des consommateurs utilisant leur droit d'accès et/ou leur droit de suppression des données comme mesures de rétorsion dans le cadre d'un différend les opposant à une société.

Or, si de nombreux organismes refusaient de donner suite à de telles demandes lors de l'entrée en vigueur de RGPD en invoquant notamment un détournement flagrant de ce texte, les autorités de protection des données ont, depuis, tranché la question sans équivoque en considérant que le droit d'accès était un droit « non conditionné » (cette position pouvant également s'appliquer aux autres droits dont bénéficient les individus du fait du RGPD). Cela signifie qu'une personne n'a pas à motiver sa demande et qu'un organisme ne peut refuser de lui communiquer les éléments requis sous prétexte que son objectif serait d'étayer ses prétentions dans le cadre d'un litige ou de faire pression sur lui. Or, dans le cadre du droit d'accès, c'est précisément cet objectif que l'individu cherche généralement à atteindre en demandant des documents et informations qu'il aurait des difficultés à obtenir en amont ou au cours d'une procédure judiciaire, contournant ainsi les règles de l'article 145 du Code de procédure civile (qui permet au juge, sous certaines conditions, d'ordonner la communication d'éléments en possession d'un organisme à des fins de preuve).

Cette vision très protectrice et théorique des droits des personnes place dès lors les responsables de traitement dans une position délicate, ces derniers étant partagés entre leur obligation de respecter le RGPD et leur volonté de ne pas nuire à leurs intérêts.

Alors de quels recours bénéficient les organismes pour protéger leurs intérêts face à une telle instrumentalisation des droits ?

Si le RGPD a prévu suffisamment de garde-fous pour permettre aux responsables de traitement de refuser de donner suite à des demandes de suppression ou d'opposition au traitement des données (en invoquant la nécessité de conserver les données pour pouvoir exercer et défendre leurs droits en justice), il n'existe en revanche pour l'heure que très peu de limites derrière lesquelles se retrancher s'agissant du droit d'accès.

Si un responsable de traitement peut refuser purement et simplement de satisfaire une demande d'accès lorsque celle-ci est répétitive ou a uniquement pour intention de lui nuire, ces cas sont en pratique rares et difficiles à démontrer.

De manière peu pragmatique, le Comité européen de protection des données (CEPD) estime par ailleurs qu'un responsable de traitement ne peut considérer qu'une demande d'accès particulièrement large est excessive et refuser sur ce fondement d'y faire droit. Si l'organisme a bien entendu la possibilité de demander à la personne concernée de circonscrire le champ de sa requête, il ne peut pour autant refuser de la traiter si cette dernière ne souhaite pas spécifier sa demande. Lorsqu'on sait que la CNIL considère que les emails (dont le demandeur est l'expéditeur, le destinataire, mais également dans lesquels il est simplement mentionné) doivent faire partie des éléments devant être transmis et que les organismes peuvent alors être amenés à devoir analyser plusieurs dizaines de milliers d'éléments pour respecter leurs obligations, ce qui peut s'avérer humainement impossible, on a du mal à comprendre la vision aussi extrémiste adoptée par les autorités.

Seul le respect des droits et libertés d'autrui permet, dans les faits, de venir quelque peu limiter l'étendue des informations à communiquer. Doivent en effet être caviardés tous les éléments susceptibles notamment d'identifier un tiers, de porter atteinte à sa vie privée ou au secret de ses correspondances, ainsi que tout élément relevant du secret des affaires. Ces limites ne permettent cependant que de supprimer ou d'anonymiser les informations problématiques et ne sauraient être utilisées, tel que rappelé par la CNIL, pour refuser de satisfaire une demande de manière globale. Un tel refus générique ne semble pouvoir s'appliquer que dans le cas des emails dont le demandeur n'est ni expéditeur ni destinataire, la CNIL considérant que « lorsque l'identification des courriels visés par la demande suppose la mise en œuvre de moyens particulièrement intrusifs tels que le scan de l'ensemble des messageries des salariés de l'organisme, le demandeur doit être invité à préciser sa demande. Si ce dernier s'y oppose, l'employeur peut invoquer [...] le respect les droits des tiers pour refuser de lui répondre favorablement ».

Le fait de caviarder les documents pour préserver les droits d'autrui permet néanmoins aux organismes de les rendre difficilement lisibles et donc utilisables uniquement à des fins de vérification de la licéité du traitement, ce qui correspond, rappelons-le, à la raison d'être du droit d'accès. Espérons que les autorités de protection des données sauront à l'avenir s'en souvenir et recadrer davantage l'utilisation de ce droit.