Droit des données
le 18/09/2025
Alexandra ADERNO
Clément PRUVOST

Les évolutions récentes du droit d’accès aux données

CNIL, Droit d’accès jurisprudence

A travers sa compilation des jurisprudences applicables en la matière, la CNIL a rappelé l’étendue du droit d’accès aux données à caractère personnel.

La CJUE a considéré que l’article 12, paragraphe 5 et l’article 15, paragraphes 1 et 3 du RGPD, ne donnent pas au responsable du traitement la possibilité d’exiger les motifs de la demande d’accès présentée par la personne concernée. L’obligation de fournir, à titre gratuit, une première copie de ces données à caractère personnel faisant l’objet d’un traitement, s’impose au responsable du traitement, qu’importe le motif de la demande (CJUE, 26 octobre 2023, C-307/22).

Il est rappelé dans ce même arrêt que l’article 15 du RGPD consacre un droit d’accès à une copie de ses données. Il n’existe pas un droit d’accès à un document, mais aux données à caractère personnel qu’il contient et qui doivent être complètes. Ce droit implique cependant qu’il soit remis à la personne concernée une copie fidèle et intelligible de l’ensemble de ces documents entiers, si la fourniture de données, pouvant prendre la forme d’une copie d’extraits de documents, voire de telles copies est indispensable pour l’exercice effectif des droits conférés par le RGPD. Il conviendra tout de même, surtout dans ce dernier cas, de vérifier que la communication des données ne porte pas atteinte aux droits et libertés d’autrui (CJUE, 4 mai 2023, Osterreichische Datenschutzbehorde et CRIF, C-487/21), entendu comme les personnes autres que le demandeur, et notamment les destinataires des données (CE, 24 février 2022, n° 447495).

En vertu de l’article 15 paragraphe 1 toujours, il existe non seulement un droit d’accès aux données à caractère personnel mais également un droit à se voir communiquer les informations en lien avec ces opérations, telles qu’elles sont mentionnées par cette disposition. C’est-à-dire que le responsable de traitement informe la personne concernée des destinataires auxquels ont été communiquées ses données (CJUE, 22 juin 2023, C-579/21 Pankki). En outre, les articles 13 et 14 du RGPD fixent une obligation pour le responsable de traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel (CJUE, 12 janvier 2023, C-154/21).

Le droit d’accès trouve aussi certaines restrictions, illustrées et précisées par diverses jurisprudences.

Il résulte des articles 84 et 86 de la loi informatique et libertés du 6 janvier 1978 que le droit d’accès aux données personnelles s’éteint au décès de la personne concernée et que, par exception, les héritiers de la personne concernée peuvent exercer, après son décès, le droit d’accès à ses données dans la mesure nécessaire à l’organisation et au règlement de la succession du défunt, en l’absence de directives relatives à la communication des données à caractère personnel de la personne décédée, ou de mention contraire dans de telles directives (CE, 18 novembre 2021, n° 448729).

Des restrictions au droit d’accès peuvent être prononcées lorsque, en particulier, les demandes sont présentées de manière non précise compte tenu de la quantité de données personnelles traitées par un fichier. En invitant le requérant à préciser sa demande, restée infructueuse, la CNIL n’a commis ni erreur de droit, ni erreur d’appréciation (CE, 5 décembre 2024, n° 488201).