Le droit d’accès, consacré à l’article 15 du Règlement Général sur la Protection des Données (RGPD)[1], vise à garantir aux personnes concernées une transparence totale sur le traitement de leurs données personnelles.
Ce droit permet à toute personne concernée par un traitement de données personnelles d’obtenir du responsable de traitement la communication desdites données.
Notons qu’en 2024 la Commission Nationale de l’Informatique et des Libertés (CNIL) a placé ce droit au cœur de ses contrôles[2].
A l’occasion d’une action coordonnée au niveau européen, la CNIL a mené une série d’investigations auprès d’entités publiques et privées afin d’évaluer si celles-ci répondaient, conformément aux exigences du RGPD, aux demandes de droit d’accès[3]. Elle a alors pris des mesures répressives à l’encontre de nombreux organismes qui ne répondaient pas – ou seulement partiellement – aux personnes concernées.
Ainsi, le droit d’accès s’affirme aujourd’hui comme l’un des droits fondamentaux octroyés à toute personne concernée par un traitement de données personnelles.
Cependant, bien qu’il soit essentiel et de plus en plus invoqué par les individus, ce droit demeure empreint d’incertitudes quant à ses contours. Sa large portée et les défis pratiques qu’il soulève rendent son application complexe, tant pour les responsables de traitement que pour les personnes concernées
Examinons donc de manière détaillée l’étendue du droit d’accès (I), les conditions dans lesquelles les personnes concernées doivent l’exercer (II), ainsi que le type de réponse que peuvent apporter les responsables de traitement (III). Enfin, revenons sur les limites inhérentes à ce droit d’accès aux données personnelles (IV).
I. L’étendue du droit d’accès : que comprend concrètement ce droit ?
Le droit d’accès permet à toute personne d’obtenir, auprès d’un organisme responsable de traitement, la confirmation du traitement de ses données personnelles (1), et, le cas échéant, l’accès, d’une part, à ses données personnelles (2), et, d’autre part, aux modalités de traitement de ses données (3).
1. La confirmation – ou non – du traitement de données à caractère personnel
La première composante du droit d’accès réside dans la possibilité, pour la personne concernée, de savoir si des données personnelles la concernant font l’objet d’un traitement par l’organisme.
Dans le cas où aucune donnée personnelle n’est traitée, le responsable du traitement doit se contenter de notifier qu’aucune donnée relative à la personne concernée n’est en cours de traitement. En revanche, lorsque des données sont effectivement traitées, le responsable a l’obligation de confirmer ce fait à la personne concernée.
2. L’accès aux données à caractère personnel
L’accès aux données à caractère personnel, deuxième composante du droit d’accès prévu à l’article 15, paragraphe 1, constitue l’essence même de ce droit.
Il est important de préciser que ce droit englobe l’accès aux données permettant d’identifier directement, mais également indirectement, la personne concernée.
Ainsi, l’éventail des données susceptibles de relever de ce droit est particulièrement vaste et inclut toutes les informations relatives à la personne concernée, dès lors qu’elles sont traitées par le responsable.
3. L’accès aux caractéristiques du traitement
Le droit d’accès confère également à la personne concernée le droit d’obtenir des informations détaillées sur les caractéristiques du traitement de ses données personnelles. Ces informations doivent permettre à l’individu de comprendre pleinement le traitement auquel ses données sont soumises et d’en vérifier la licéité.
Elles incluent notamment les éléments suivants :
- Les finalités du traitement : la raison pour laquelle les données sont collectées et traitées ;
- Les catégories de données personnelles concernées : les types de données traitées (par exemple : données d’identification, données de localisation, etc.) ;
- Les destinataires des données : les personnes ou entités auxquelles les données ont été ou seront transmises, en particulier lorsqu’elles sont destinées à des destinataires situés dans des pays tiers ou des organisations internationales ;
- La durée de conservation des données ou, si cela n’est pas possible, les critères permettant de déterminer cette durée ;
- Les droits de la personne concernée et notamment le droit de demander la rectification, l’effacement ou la limitation du traitement de ses données, ainsi que le droit de s’opposer à ce traitement ;
- Le droit de déposer une réclamation : la personne concernée doit être informée de son droit d’introduire une réclamation auprès de l’autorité de contrôle compétente ;
- Les sources des données : si les données ne sont pas collectées directement auprès de la personne concernée, celle-ci doit être informée de la source de ces données ;
- Les décisions automatisées : lorsqu’un traitement automatisé, y compris un profilage, est effectué, la personne concernée a droit à des informations concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour elle.
II. L’évaluation de la demande par le responsable de traitement : quelles conditions pour qu’une demande soit considérée comme valide ?
Il convient de préciser que les demandes d’accès ne sont soumises à aucune condition de forme particulière (1), et que, sauf exceptions, les personnes concernées ne sont pas tenues de justifier de leur identité (2).
1. L’absence de condition tenant à la forme de la demande
Le RGPD n’impose aucune exigence formelle quant à la manière dont les personnes concernées doivent soumettre leur demande d’accès aux responsables de traitement.
En conséquence, ces dernières peuvent exercer ce droit par tout moyen de communication, qu’il soit électronique ou postal.
La CNIL rappelle toutefois que si la demande d’accès est formulée par voie électronique, le responsable de traitement doit répondre par voie électronique, à moins que la personne concernée indique expressément qu’elle souhaite obtenir une réponse par un autre moyen, tel que par courrier papier[4].
2. L’absence de condition tenant à la justification de l’identité de la personne concernée
L’article 15 du RGPD consacrant le droit d’accès ne fait état d’aucune condition tenant à la justification de l’identité de la personne formulant une demande.
La CNIL considère que, bien souvent, l’authentification du demandeur est évidente et peut découler du contexte dans lequel s’inscrit la demande, de sorte que la fourniture d’une pièce d’identité ne constituerait pas une collecte de données pertinente et proportionnée.
Notons toutefois que la Commission admet que lorsque le responsable de traitement a des doutes raisonnables sur l’identité de la personne demandeuse, il est en mesure de demander des informations complémentaires pour confirmer son identité[5].
Dans cette hypothèse, le responsable de traitement doit veiller à ne pas recueillir plus de données à caractère personnel que ce qui est nécessaire pour permettre l’authentification de la personne demandeuse.
A titre d’illustration, la CNIL considère que peu de doute subsiste quant à l’identité d’un salarié qui demande à son employeur, via sa messagerie professionnelle, l’accès à la communication des données personnelles qu’il détient sur lui[6].
III. Les modalités d’accès aux données : comment répondre à une personne concernée ?
Il convient désormais de préciser les exigences relatives aux modalités de réponse à une demande d’accès, en examinant successivement le contenu de la réponse (1), le format requis (2) et les délais dans lesquels elle doit être fournie (3).
1. Le contenu de la réponse à une demande d’accès
L’article 15, paragraphe 3, du RGPD prévoit que le responsable du traitement doit fournir une « copie des données à caractère personnel faisant l’objet d’un traitement ».
Il convient alors d’analyser à quoi renvoie la notion de « copie » de données personnelles.
À cet égard, dans un arrêt rendu le 4 mai 2023[7], la Cour de justice de l’Union européenne (CJUE) a apporté des éclairages essentiels concernant l’interprétation qui doit être faite de cette notion.
Dans cet arrêt, la CJUE était notamment interrogée sur le fait de savoir si le droit d’accès doit être interprété « en ce sens qu’il consacre pour la personne concernée un droit général à la remise d’une copie – également – de l’intégralité des documents dans lesquels les données à caractère personnel de la personne concernée sont traitées (…) ou bien prévoit-il pour la personne concernée – uniquement – un droit à la reproduction fidèle à l’original des données à caractère personnel » ?
La CJUE a indiqué que le libellé de l’article 15 ne mentionne pas un droit à la remise des copies des documents, mais uniquement un droit d’accès aux données personnelles contenues dans ces documents.
La Cour a précisé que le terme « copie » se réfère non pas aux documents en tant que tels, mais aux données personnelles qu’ils contiennent, ces dernières devant être fournies dans leur intégralité[8].
Partant, les responsables de traitement doivent, au sein de leur réponse aux demandes d’accès, veiller à fournir à la personne concernée les données la concernant, sans qu’ils ne soient dans l’obligation de fournir la copie des documents les contenant.
2. Le format de la réponse à une demande d’accès
L’article 12.1 du RGPD prévoit que : « (…) Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »
Il résulte de cet article que le RGPD n’impose pas un moyen unique au responsable de traitement pour répondre à une demande de droit.
Le Comité Européen de la Protection des Données (CEPD) précise à ce sujet que, dès lors que les informations doivent perdurer au fil du temps, les informations écrites, y compris par voie électronique, sont préférables à d’autres formes[9].
3. Les délais accordés au responsable de traitement pour répondre à une demande d’accès
L’article 12.3 du RGPD prévoit que les responsables de traitement doivent répondre aux demandes d’accès « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. »
Il prévoit ensuite que « au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes ».
En principe, le responsable de traitement dispose donc d’un délai d’un mois, à compter de la réception de la demande, pour répondre à la personne ayant exercé un droit.
Toutefois, deux hypothèses permettent de prolonger ce délai d’un mois de deux mois, à savoir lorsque la demande est complexe ou lorsque la structure concernée par l’exercice de droits a reçu de nombreuses demandes.
Le CEPD fournit « certains des facteurs qui pourraient être considérés comme pertinents »[10] pour apprécier la complexité d’une demande, tels que :
- la quantité de données traitées par le responsable du traitement ;
- la manière dont les informations sont stockées, notamment lorsqu’il est difficile de les récupérer et de les rassembler, par exemple lorsque les données sont traitées par différentes unités du responsable de traitement[11].
Bien que le délai de principe d’un mois puisse être prolongé dans certains cas particuliers, il importe de garder à l’esprit que l’objectif premier du droit d’accès, tel qu’établi par le RGPD, est de garantir une réponse aux personnes concernées dans des délais raisonnables, afin de d’assurer de la transparence des traitements de données.
IV. Les limites du droit d’accès : dans quels cas le responsable de traitement peut-il refuser la communication des données ?
L’article 12.5 du RGPD prévoit que le responsable de traitement peut refuser de répondre à une demande d’accès lorsque la demande apparaît manifestement infondée (1) ou excessive (2).
1. Le cas de la demande manifestement infondée
Dès lors qu’il existe très peu de conditions préalables à l’exercice d’une demande d’accès, le CEPD précise que les cas dans lesquels un responsable de traitement peut légitimement refuser une demande d’accès pour cause de fondement manifestement insuffisant sont exceptionnellement rares.
Bien que le Comité ne fournisse pas d’exemples précis de demandes infondées, il indique que celles-ci pourraient concerner des requêtes portant sur des activités de traitement qui ne relèvent manifestement pas des opérations effectuées par le responsable de traitement[12].
2. Le cas de la demande excessive
Conformément à l’article 12.5 du RGPD, une demande d’accès peut être refusée si elle est manifestement excessive, « notamment en raison de [son] caractère répétitif ».
Bien que le RGPD ne fournisse pas de définition précise du terme « excessif », il ressort des lignes directrices du CEPD que ce caractère excessif s’apprécie au regard des circonstances spécifiques de chaque demande.
Dès lors, le responsable du traitement est tenu d’évaluer, au cas par cas, si les demandes successives d’une même personne concernée dépassent un délai raisonnable. Cette évaluation doit prendre en compte des éléments tels que la fréquence de mise à jour des données, la sensibilité des informations demandées, la finalité du traitement poursuivie, etc.[13].
Par exemple, dans des secteurs où les données sont fréquemment actualisées (ex : réseaux sociaux), des demandes régulières peuvent être considérées comme raisonnables. En revanche, des demandes répétées concernant les mêmes données, sans changement substantiel dans celles-ci, peuvent être jugées excessives.
Ainsi, le responsable du traitement doit agir avec discernement, en s’appuyant sur les attentes raisonnables des personnes concernées, tout en veillant à ne pas entraver l’exercice de leurs droits.
En tout état de cause, il résulte de la position de la CNIL et du CEPD en la matière que ces notions de demande « infondée » et « excessive » doivent être interprétées de manière restrictive, les principes de transparence et de gratuité des droits des personnes concernées ne devant pas être compromis.
En conclusion, le droit d’accès aux données personnelles constitue un pilier fondamental du RGPD, garantissant la transparence des traitements et l’autodétermination informationnelle des individus. Toutefois, si ce droit incarne une avancée majeure en matière de protection des données, sa mise en œuvre concrète demeure semée d’embûches pour les responsables de traitement : articulation avec d’autres droits fondamentaux, complexité technique de certaines demandes, évaluation du caractère excessif ou infondé… autant de défis auxquels ils doivent faire face au quotidien. Dès lors, garantir un exercice effectif de ce droit impose aux acteurs publics et privés non seulement une parfaite connaissance de leurs obligations légales, mais aussi une organisation rigoureuse et une vigilance constante. À l’heure où les contrôles de la CNIL se renforcent, le droit d’accès ne peut plus être perçu comme une simple formalité : il est désormais au cœur de la conformité et de la confiance numérique.
_____
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[2] Fiche CNIL – Les contrôles de la CNIL en 2024 : données des mineurs, Jeux Olympiques, droit d’accès et tickets de caisse dématérialisés (février 2024)
[3] Fiche CNIL – Droit d’accès : bilan des contrôles de la CNIL dans le cadre d’une action coordonnée européenne (janvier 2025)
[4] Fiche CNIL – Le droit d’accès : connaître les données qu’un organisme détient sur vous (septembre 2023)
[5] Fiche CNIL – Le droit d’accès : connaître les données qu’un organisme détient sur vous (septembre 2023)
[6] Fiche CNIL – Le droit d’accès des salariés à leurs données et aux courriels professionnels (MAJ en janvier 2025)
[7] CJUE, 4 mai 2023, ÖSTERREICHISCHE DATENSCHUTZBEHÖRDE ET CRIF, C-487/21
[8] Ibis § 29 et § 32
[9] Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès (mars 2023) –
Point 150
[10] Ibid, point 163.
[11] Ibid, point 163.
[12] Ibid, point 179.
[13] Ibid, point 185.