En bref
Le droit d'accès (article 15 RGPD) permet à toute personne d'obtenir gratuitement copie de ses données personnelles. Le responsable de traitement doit répondre sous un mois, sous peine de sanctions pouvant atteindre 20 millions d'euros.
Fondement juridique et genèse historique du droit d'accès
Art. 15 RGPD (Règl. UE 2016/679)
« La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations sur les finalités, catégories de données, destinataires, durée de conservation et droits complémentaires. »
Source : RGPD — Règlement (UE) 2016/679
Périmètre des informations communicables au titre de l'article 15
CJUE, 12 janvier 2023, aff. C-154/21, RW c/ Österreichische Post AG
« La Cour de justice a jugé que l'article 15, paragraphe 1, sous c), du RGPD impose de communiquer l'identité concrète des destinataires des données, et pas seulement les catégories de destinataires. Le droit d'accès vise à permettre la vérification de la licéité du traitement. »
Source : Cour de justice de l'Union européenne
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Modalités pratiques d'exercice de la demande d'accès
Art. 12 RGPD (Règl. UE 2016/679)
« Le responsable du traitement prend des mesures appropriées pour fournir toute information à la personne concernée sous une forme concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies gratuitement dans un délai d'un mois. »
Source : RGPD — Règlement (UE) 2016/679
Exigence disproportionnée de pièce d'identité
Certains organismes exigent systématiquement une copie de carte d'identité alors qu'ils disposent d'autres moyens d'identification (numéro client, adresse courriel vérifiée). Cette pratique contraire au principe de minimisation peut être sanctionnée.
Conservez la preuve de votre demande
Adressez votre demande par lettre recommandée avec accusé de réception ou par courriel en conservant l'accusé de lecture. Cette précaution est indispensable pour établir la date de réception et faire courir le délai légal d'un mois.
Délais de réponse et régime des sanctions
Art. 83, §5 RGPD (Règl. UE 2016/679)
« Les violations des droits des personnes concernées au titre des articles 12 à 22 font l'objet d'amendes administratives pouvant s'élever jusqu'à vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. »
Source : RGPD — Règlement (UE) 2016/679
Limitations et exceptions au droit d'accès
Le piège de la demande qualifiée d'« excessive »
Un responsable de traitement ne peut qualifier une demande d'excessive au seul motif de son volume. Seul le caractère répétitif ou manifestement disproportionné peut justifier un refus, et la charge de la preuve incombe exclusivement au responsable.
Voies de recours et réparation du préjudice subi
Art. 77 RGPD (Règl. UE 2016/679)
« Toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle si elle considère que le traitement de ses données constitue une violation du règlement. En France, cette autorité est la CNIL. »
Source : RGPD — Règlement (UE) 2016/679
Saisissez la CNIL avant toute action judiciaire
La réclamation auprès de la CNIL est gratuite, rapide et souvent efficace. L'autorité peut contraindre le responsable de traitement à répondre sous astreinte. Ce recours administratif est recommandé avant d'envisager une action civile plus coûteuse.
Questions fréquentes
Qui peut exercer le droit d'accès aux données personnelles auprès d'un organisme ?
Toute personne physique dont les données sont traitées peut exercer ce droit, sans condition de nationalité ni de résidence. Pour les mineurs, le droit est exercé par le titulaire de l'autorité parentale. Le droit d'accès est strictement personnel et ne peut être exercé par un tiers sans mandat exprès.
Le droit d'accès aux données personnelles est-il toujours gratuit ?
La première demande et la première copie des données sont gratuites. Des frais raisonnables fondés sur les coûts administratifs ne peuvent être exigés que pour des copies supplémentaires ou en cas de demandes manifestement excessives par leur caractère répétitif.
Quel est le délai légal de réponse à une demande d'accès aux données ?
Le responsable de traitement doit répondre dans un délai d'un mois suivant la réception de la demande. Ce délai peut être prolongé de deux mois pour les demandes complexes, à condition d'en informer le demandeur dans le mois initial en motivant le retard.
Que faire si un organisme refuse ou ignore ma demande d'accès ?
Vous pouvez adresser une réclamation gratuite à la CNIL via son téléservice en ligne. L'autorité dispose de pouvoirs d'investigation et de sanction étendus. Parallèlement, vous pouvez saisir les tribunaux civils pour obtenir réparation du préjudice matériel ou moral subi.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,99 € · paiement sécurisé · document prêt en quelques minutes