Droit d'accès : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le droit d'accès désigne, au sens du RGPD, la prérogative reconnue à toute personne concernée d'obtenir du responsable de traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès à ces données ainsi que les informations sur les conditions du traitement.

Le droit d'accès désigne, au sens du RGPD, la prérogative reconnue à toute personne concernée d'obtenir du responsable de traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès à ces données ainsi que les informations sur les conditions du traitement. L'article 15 du Règlement (UE) 2016/679 organise ce droit qui constitue, avec le droit à l'information, le pilier de la transparence reconnue à la personne concernée.

L'enjeu pratique du droit d'accès est central dans le dispositif RGPD. Il permet à la personne concernée de vérifier la conformité du traitement et d'exercer le cas échéant ses autres droits (rectification, effacement, opposition, portabilité). Le défaut de réponse à une demande d'accès expose le responsable de traitement à un recours devant la CNIL et à des sanctions administratives, indépendamment de la qualité substantielle du traitement.

La pratique opérationnelle du droit d'accès s'est complexifiée avec l'augmentation du nombre de demandes et la diversification de leur nature. Les responsables de traitement font face à des demandes individuelles légitimes mais aussi à des demandes coordonnées (campagnes militantes), des demandes abusives (à finalité de harcèlement procédural) ou des demandes complexes (portant sur des décisions automatisées ou des transferts internationaux).

Vous souhaitez sécuriser le traitement des demandes d'accès ? Le Cabinet Aurore Bonavia accompagne les organisations dans la mise en place et la défense des procédures d'accès RGPD. → Voir l'accompagnement en droit du numérique

L'étendue de l'obligation de communication

L'article 15 paragraphe 1 du RGPD précise l'étendue de l'obligation de communication :

« La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes : a) les finalités du traitement ; b) les catégories de données à caractère personnel concernées ; c) les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées ; d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ; e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement de ces données, ou du droit de s'opposer à ce traitement ; f) le droit d'introduire une réclamation auprès d'une autorité de contrôle ; g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ; h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. »

Cette énumération couvre tant les données elles-mêmes que les conditions du traitement dans lequel elles s'inscrivent. La réponse à une demande d'accès doit donc combiner la communication des données concernant la personne (exhaustive et compréhensible) et l'information complète sur les caractéristiques du traitement.

L'article 15 paragraphe 3 du RGPD impose au responsable de traitement de fournir une copie des données à caractère personnel faisant l'objet d'un traitement. Cette obligation a été interprétée largement par la CJUE dans l'arrêt FW c. CRIF du 4 mai 2023 (C-487/21), qui a précisé que la copie doit être complète, intelligible et permettre à la personne concernée de vérifier l'exactitude et le caractère licite du traitement.

Les modalités d'exercice et le délai d'un mois

L'article 12 paragraphe 3 du RGPD organise les modalités opérationnelles de la réponse :

« Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. »

Le délai d'un mois constitue la règle. La prolongation de deux mois est possible mais doit être motivée et notifiée à la personne concernée dans le délai initial d'un mois. La complexité de la demande peut résulter du volume des données à traiter, de la dispersion des sources, de la nécessité d'une analyse juridique préalable ou de la coordination entre plusieurs services.

La pratique impose plusieurs aménagements opérationnels :

  • la mise en place d'un canal de contact dédié (adresse email, formulaire, courrier postal) identifié dans la politique de confidentialité ;
  • la mise en place d'une procédure interne garantissant le respect du délai et la traçabilité des actions ;
  • la vérification de l'identité du demandeur, qui ne peut excéder ce qui est strictement nécessaire pour éviter les divulgations indues à des tiers ;
  • la collecte des données auprès des différents systèmes concernés (CRM, ERP, archives, sauvegardes) ;
  • la rédaction de la réponse dans un format compréhensible et exploitable par le demandeur (typiquement PDF accompagné d'un courrier explicatif).

L'article 12 paragraphe 5 du RGPD pose le principe de gratuité de la première réponse. Le responsable peut toutefois exiger le paiement de frais raisonnables ou refuser de donner suite à une demande lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Il appartient au responsable de prouver le caractère manifestement infondé ou excessif, sous peine d'engager sa responsabilité.

Les exceptions et restrictions au droit d'accès

L'article 23 du RGPD organise des hypothèses dans lesquelles les États membres peuvent restreindre par mesure législative le droit d'accès. Ces restrictions doivent respecter le contenu essentiel des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique pour garantir notamment :

  • la sécurité nationale et la défense ;
  • la sécurité publique ;
  • la prévention et la détection d'infractions pénales ;
  • les intérêts économiques ou financiers importants ;
  • la protection de l'indépendance de la justice et des procédures judiciaires ;
  • la prévention et la détection des manquements à la déontologie des professions réglementées ;
  • la protection de la personne concernée ou des droits et libertés d'autrui ;
  • l'exécution des actions civiles.

La loi française n° 78-17 du 6 janvier 1978 modifiée a notamment encadré l'accès indirect aux données traitées par les services de renseignement (article 118 et suivants), pour lesquels la personne concernée doit s'adresser à la CNIL qui exerce le droit d'accès en son nom.

L'article 15 paragraphe 4 du RGPD prévoit par ailleurs que le droit d'accès ne doit pas porter atteinte aux droits et libertés d'autrui. Cette limitation s'applique notamment lorsque la communication des données impliquerait la divulgation de données concernant un tiers (témoin, signaleur, contrepartie commerciale) qui dispose lui-même d'un droit à la protection. La pratique impose alors une rédaction qui anonymise ou expurge les éléments concernant ces tiers.

Le droit d'accès dans le cadre des décisions automatisées

L'article 15 paragraphe 1 h) du RGPD ouvre une obligation spécifique d'information sur les décisions automatisées au sens de l'article 22. La personne concernée a droit à des informations sur la logique sous-jacente, l'importance et les conséquences prévues du traitement.

La portée de cette obligation a été précisée par la jurisprudence CJUE Schufa du 7 décembre 2023 (C-634/21). La Cour a retenu qu'un score automatisé fourni par un organisme de scoring de crédit constitue une décision automatisée au sens de l'article 22, dès lors qu'il influence de manière significative la décision finale prise par l'établissement bancaire utilisant ce score. La personne concernée doit pouvoir obtenir des informations sur la logique du calcul du score, sans que le secret commercial ne puisse être systématiquement opposé.

Cette jurisprudence ouvre des perspectives pour les contentieux relatifs aux algorithmes de notation, de recommandation et de profilage déployés par les grandes plateformes numériques. La transparence imposée par l'article 15 paragraphe 1 h) constitue le levier juridique principal pour permettre aux personnes concernées de contester les décisions automatisées qui les affectent.

Spécificité juridique sur la sanction du défaut de réponse

L'article 83 paragraphe 5 b) du RGPD inscrit le manquement aux droits des personnes (articles 12 à 22) dans la deuxième catégorie de sanctions administratives, dont le plafond atteint 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total. Cette qualification reflète l'importance accordée par le règlement aux droits opposables au responsable de traitement.

Plusieurs sanctions emblématiques ont concerné le défaut de réponse aux demandes d'accès :

  • la sanction prononcée le 6 décembre 2022 par la CNIL contre Discord (800 000 €) a notamment retenu un manquement au droit d'accès, parmi d'autres griefs ;
  • la sanction prononcée le 27 décembre 2023 par la CNIL contre Yahoo (10 millions d'euros) a sanctionné le défaut de prise en compte du retrait du consentement aux cookies, qui s'apparente à un déni des droits des personnes ;
  • l'autorité italienne Garante a sanctionné à plusieurs reprises des entreprises pour défaut de réponse caractérisée aux demandes d'accès dans des délais de plusieurs mois.

L'article 79 du RGPD ouvre par ailleurs un recours juridictionnel direct au profit de la personne concernée. Le tribunal judiciaire saisi peut prononcer des injonctions sous astreinte et accorder des dommages-intérêts au titre de l'article 82 du RGPD, dont le montant n'est pas plafonné par le règlement et relève de l'évaluation souveraine du juge.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de droit d'accès

  • la mise en place de procédures internes de gestion des demandes d'accès dans le délai d'un mois ;
  • la rédaction des canaux de contact dédiés et des modèles de réponse types ;
  • la formation des équipes opérationnelles à l'identification et au traitement des demandes ;
  • l'analyse de la qualification de demandes manifestement infondées ou excessives ;
  • la rédaction des réponses anonymisées préservant les droits des tiers ;
  • la défense face aux réclamations CNIL relatives au défaut de réponse aux demandes d'accès ;
  • la défense face aux actions civiles fondées sur l'article 79 et 82 du RGPD ;
  • l'accompagnement des personnes concernées souhaitant exercer leur droit d'accès face à des responsables défaillants ;
  • les actions en réparation du préjudice subi du fait du défaut de réponse caractérisé.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 12, art. 15, art. 23, art. 79, art. 82, art. 83, loi n° 78-17 du 6 janvier 1978 modifiée (art. 118 et suivants pour l'accès indirect), jurisprudence CJUE 4 mai 2023 (FW c. CRIF C-487/21), 7 décembre 2023 (Schufa C-634/21), CNIL guide pratique sur le droit d'accès, sanctions CNIL Discord 6 décembre 2022 et Yahoo 27 décembre 2023. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.