Article 15 RGPD : comprendre le droit d’accès de la personne concernée

Introduction

L’article 15 du RGPD consacre le droit d’accès de la personne concernée à ses données à caractère personnel. Concrètement, toute personne peut demander au responsable du traitement de confirmer si des données personnelles la concernant sont traitées, d’obtenir une copie et de recevoir des informations claires sur ce traitement. Ce droit renforce la protection des personnes au sein de l’Union européenne et facilite la maîtrise de leurs droits.

Dans cet article, nous expliquons ce que prévoit l’article 15 du règlement, le périmètre des données concernées, les délais et modalités de réponse, les limites prévues par la loi et un mode d’emploi pour exercer ce droit auprès d’une organisation ou de la CNIL.

Que prévoit l’article 15 du RGPD ?

Le cœur du droit d’accès

Le droit d’accès comporte trois volets complémentaires :

• Obtenir la confirmation qu’un traitement de données personnelles vous concerne ou non.

• Accéder aux données personnelles elles-mêmes, sous forme de copie lisible.

• Recevoir des informations détaillées sur les finalités, les destinataires, les durées de conservation et les garanties associées au traitement.

Ce droit ne dépend pas du consentement initial au traitement. Quelle que soit la base légale (contrat, obligation légale, intérêt légitime, etc.), la personne concernée peut exercer son droit d’accès.

Les informations que le responsable doit fournir

En réponse, le responsable du traitement doit communiquer, de manière concise et compréhensible :

• Les finalités du traitement.

• Les catégories de données à caractère personnel traitées.

• Les destinataires ou catégories de destinataires (y compris, le cas échéant, les transferts vers un pays tiers ou une organisation internationale et les garanties appropriées).

• La durée de conservation envisagée ou, à défaut, les critères utilisés pour la déterminer.

• L’existence des autres droits (rectification, effacement, limitation, opposition), ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle, comme la CNIL.

• La source des données lorsque celles-ci n’ont pas été collectées directement auprès de la personne concernée.

• L’existence d’une prise de décision automatisée, y compris un profilage, et des informations utiles sur la logique sous-jacente, l’importance et les conséquences pour la personne.

• Une copie des données personnelles faisant l’objet du traitement.

Qui peut exercer ce droit et sur quelles données ?

Personnes et situations visées

Toute personne concernée au sens du RGPD peut exercer ce droit : clients, utilisateurs, prospects, salariés, candidats, patients, parents au nom d’un mineur, etc. Le règlement s’applique aux organisations publiques et privées établies dans l’Union européenne, ainsi qu’à celles qui ciblent des personnes concernées situées dans l’UE.

Périmètre des données à caractère personnel

Sont visées toutes les données personnelles qui permettent d’identifier, directement ou indirectement, une personne : identité, coordonnées, identifiants en ligne, données de connexion, historiques d’achats, enregistrements d’appels, images, données de localisation, évaluations, commentaires, etc. Les données anonymisées (au sens strict) ne sont pas concernées. Les données pseudonymisées restent des données personnelles lorsque la ré-identification est possible pour le responsable du traitement.

Formats et sources

La copie doit être fournie dans un format compréhensible. En cas de demande électronique, une réponse électronique est recommandée, sous réserve de sécurité. Le responsable doit couvrir les principaux systèmes où les données personnelles sont effectivement traitées. Lorsque certaines archives techniques ou sauvegardes ne sont pas raisonnablement accessibles sans risques disproportionnés, l’organisation peut expliquer les limites et fournir, à défaut, les informations essentielles disponibles.

Délais, frais et modalités de réponse

Délais légaux

Le responsable du traitement doit répondre sans retard excessif et, au plus tard, dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en raison de la complexité ou du nombre de demandes. En cas de prolongation, la personne concernée doit être informée dans le mois initial, avec les raisons du report.

Gratuité et frais éventuels

L’exercice du droit d’accès est gratuit. Des frais raisonnables et proportionnés peuvent être demandés lorsqu’une requête est manifestement infondée ou excessive (par exemple, demandes répétitives), ou si la personne sollicite des copies supplémentaires.

Vérification d’identité et sécurité

Le responsable peut solliciter des informations complémentaires nécessaires pour confirmer l’identité du demandeur, en veillant à ne pas collecter plus de données que nécessaire. La réponse doit être sécurisée, avec des mesures de protection adaptées au caractère personnel et potentiellement sensible des informations transmises.

Refus de donner suite

En cas de refus partiel ou total, l’organisation doit motiver sa décision et informer la personne concernée de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente (en France, la CNIL) et d’exercer un recours juridictionnel.

Comment exercer concrètement votre droit d’accès ?

Étapes recommandées

1. Identifier le responsable du traitement (ex. service client, DPO, adresse dédiée aux droits RGPD). 2. Décrire précisément votre demande d’accès et, si utile, circonscrire la période ou les systèmes visés. 3. Joindre une preuve d’identité adaptée, en masquant les éléments non nécessaires. 4. Préciser le mode de réponse souhaité (électronique ou postal). 5. Conserver une copie de votre demande et la date d’envoi.

Modèle de demande (exemple)

Objet : Exercice du droit d’accès – article 15 RGPD

Bonjour,

Je souhaite exercer mon droit d’accès, au titre de l’article 15 du règlement (UE) 2016/679. Merci de me confirmer si des données personnelles me concernant font l’objet d’un traitement et, le cas échéant, de me transmettre :

• Une copie de ces données;

• Les informations prévues par l’article 15 (finalités, catégories de données, destinataires, transferts, durées de conservation, droits, source des données, existence d’une prise de décision automatisée, le cas échéant).

Je souhaite une réponse par voie électronique. Vous trouverez ci-joint une preuve d’identité. Cordialement.

En cas de difficulté

Si vous ne recevez pas de réponse dans le délai d’un mois, si la réponse est incomplète ou si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL. La saisine de l’autorité de contrôle n’exige pas d’avocat et peut être effectuée en ligne. Vous conservez également la possibilité d’un recours devant les juridictions compétentes.

Limites et exceptions prévues par le règlement

Droits et libertés d’autrui

Le responsable peut restreindre certaines informations lorsque la communication porterait atteinte aux droits et libertés d’autres personnes (par exemple, données personnelles de tiers figurant dans un document). Des occultations ciblées sont alors privilégiées pour fournir une réponse partielle.

Secrets protégés et obligations légales

La protection des secrets d’affaires, de la propriété intellectuelle, de la sécurité des réseaux ou de la sûreté peut justifier des limitations. Certaines lois sectorielles peuvent également restreindre l’accès à des informations spécifiques (ex. enquêtes en cours). Dans tous les cas, la limitation doit être proportionnée et motivée, et ne doit pas vider le droit d’accès de sa substance.

Décisions automatisées et explications utiles

En présence d’un profilage ou d’une décision automatisée produisant des effets juridiques ou significatifs, la personne a droit à des informations utiles sur la logique sous-jacente et les conséquences envisagées. Le RGPD n’exige pas la divulgation de modèles algorithmiques détaillés, mais impose une transparence suffisante pour comprendre l’impact du traitement.

Bonnes pratiques côté responsable du traitement

Organiser la gouvernance des droits

• Désigner un point de contact clair (DPO ou équivalent) et des procédures internes documentées.

• Cartographier les traitements et systèmes afin de localiser rapidement les données personnelles concernées.

• Préparer des modèles de réponse conformes à l’article 15, en langage simple et accessible.

Sécuriser et tracer les réponses

• Authentifier raisonnablement la personne, en respectant la minimisation des données.

• Transmettre la copie via un canal sécurisé, adapté au caractère des informations.

• Journaliser la demande, la décision, les délais et les preuves d’envoi pour démontrer la conformité au règlement.

Réduire les risques et les délais

• Centraliser les demandes via un portail ou une adresse dédiée aux droits.

• Structurer les données pour faciliter l’extraction et l’occultation des informations de tiers.

• Former les équipes (support, RH, marketing) aux réflexes essentiels du RGPD.

Foire aux questions

L’accès inclut-il l’intégralité de mes emails professionnels ?

Les emails peuvent contenir des données personnelles. L’accès porte sur les données vous concernant. Des occultations peuvent être nécessaires pour protéger les données de tiers ou des secrets d’affaires.

Quelle différence entre droit d’accès (art. 15) et portabilité (art. 20) ?

L’accès vise la transparence et la copie compréhensible de vos données. La portabilité concerne la réception des données que vous avez fournies dans un format structuré, couramment utilisé et interopérable, et leur transmission à un autre responsable.

Et si j’ai donné mon consentement au départ ?

Le droit d’accès s’applique que le traitement repose ou non sur le consentement. Même sans consentement, vous pouvez demander l’accès si une autre base légale est utilisée.

Les enregistrements d’appels ou images de vidéosurveillance sont-ils inclus ?

Oui, s’ils vous identifient. L’organisation peut proposer une écoute sur place, un extrait audio ou des captures d’écran, avec floutage ou masquage des tiers lorsque nécessaire.

Combien de copies puis-je obtenir ?

La première copie est en principe gratuite. Des frais raisonnables peuvent être facturés pour des copies supplémentaires, en tenant compte des coûts administratifs.

Conclusion

L’article 15 du RGPD offre à chaque personne concernée un levier concret pour reprendre la main sur ses données personnelles. Bien exercé, ce droit favorise la transparence, améliore la confiance et renforce la protection des informations au sein de l’Union. En tant que responsable du traitement, mettre en place des procédures claires et des réponses pédagogiques est une condition clé de conformité.

Besoin d’aller plus loin sur vos droits ou vos obligations en matière de RGPD ? Faites le point avec votre DPO ou, en cas de difficulté, sollicitez l’accompagnement de l’autorité compétente.