Droit d'accès RGPD : répondre aux demandes

Votre DPO vient de recevoir un e-mail d’un client demandant « toutes les données que vous avez sur moi ». Vous avez un mois pour répondre — et la CNIL surveille. En 2024, l’autorité a mené une campagne de contrôles coordonnée avec ses homologues européens, ciblant spécifiquement le traitement des demandes de droit d’accès. Plusieurs sanctions ont suivi, notamment contre Canal+ (délibération SAN-2023-015). Voici comment traiter ces demandes dans les règles.

Ce que prévoit l’article 15 du RGPD

Le droit d’accès prévu par l’article 15 du RGPD permet à toute personne d’obtenir du responsable de traitement la confirmation que des données personnelles la concernant sont — ou ne sont pas — traitées. Si elles le sont, la personne a droit à une copie de ces données et à un ensemble d’informations complémentaires.

Ces informations comprennent notamment :

• les finalités du traitement,
• les catégories de données traitées,
• les destinataires ou catégories de destinataires,
• la durée de conservation envisagée (ou les critères pour la déterminer),
• l’existence des droits de rectification, d’effacement, de limitation et d’opposition,
• le droit d’introduire une réclamation auprès de la CNIL,
• l’origine des données lorsqu’elles n’ont pas été collectées directement auprès de la personne,
• l’existence d’une prise de décision automatisée, y compris le profilage (Art. 22).

Le CEPD a précisé l’interprétation de ces obligations dans ses Lignes directrices 01/2022 sur le droit d’accès, adoptées en version définitive le 28 mars 2023. Ces lignes directrices constituent désormais la référence pour toute organisation qui traite des demandes d’accès.

Les 6 étapes pour traiter une demande d’accès

Étape 1 — Réceptionner et enregistrer la demande

Toute demande de droit d’accès doit être tracée dès sa réception. La forme importe peu : un e-mail, un courrier postal, un formulaire web, voire une demande orale sont des canaux valides. Le RGPD n’impose aucune forme particulière.

En pratique, il est recommandé de :

• tenir un registre dédié des demandes de droits (date de réception, identité du demandeur, canal, date limite de réponse),
• accuser réception de la demande dans les 48 heures,
• attribuer un responsable interne pour le traitement de la demande.

Ce registre est distinct du registre des traitements, mais il peut y être rattaché. Il démontre votre diligence en cas de contrôle CNIL.

Étape 2 — Vérifier l’identité du demandeur

Avant de communiquer des données personnelles, il faut s’assurer que la personne qui formule la demande est bien la personne concernée. L’article 12(6) du RGPD autorise le responsable de traitement à demander des informations supplémentaires pour confirmer l’identité du demandeur lorsqu’il existe des « doutes raisonnables ».

En pratique, cela peut se traduire par :

• la vérification de l’adresse e-mail associée au compte client,
• la demande d’une copie de pièce d’identité (en ne conservant que le strict nécessaire à la vérification et en la supprimant ensuite),
• une question de sécurité liée au compte.

Attention : la demande de justification d’identité ne doit pas constituer un obstacle disproportionné. La CNIL considère qu’exiger systématiquement une pièce d’identité alors que la personne est déjà authentifiée (via son espace client, par exemple) est une pratique excessive. Il convient d’adapter le niveau de vérification au contexte.

Étape 3 — Identifier et collecter les données

C’est souvent l’étape la plus complexe sur le plan opérationnel. Il faut rechercher l’ensemble des données personnelles du demandeur dans tous les systèmes où elles peuvent se trouver : CRM, bases de données, messageries, fichiers RH, sous-traitants, sauvegardes actives.

Pour mener cette recherche efficacement :

• appuyez-vous sur votre registre des traitements pour identifier tous les traitements concernant la catégorie de personnes du demandeur,
• interrogez les services internes susceptibles de détenir des données (commercial, RH, support, comptabilité),
• n’oubliez pas les données détenues par vos sous-traitants — l’article 28 du RGPD impose qu’ils vous assistent dans l’exercice des droits.

Le CEPD précise dans ses Lignes directrices 01/2022 que le responsable de traitement doit effectuer une « recherche raisonnable » dans ses systèmes. Cela ne signifie pas fouiller les sauvegardes hors ligne ou les archives inactives, sauf circonstances particulières.

Étape 4 — Préparer la réponse

La réponse doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples », conformément aux obligations de transparence de l’article 12.

Votre réponse doit contenir :

1. La confirmation que vous traitez (ou non) des données concernant le demandeur.
2. Une copie des données personnelles — dans un format électronique courant si la demande a été faite par voie électronique (PDF, CSV, export du système). La première copie est gratuite (Art. 15(3)).
3. Les informations complémentaires listées à l’article 15(1) : finalités, catégories, destinataires, durée de conservation, existence des droits, source des données, décision automatisée.

Il est recommandé de structurer la réponse par traitement ou par catégorie de données pour en faciliter la lecture. Un tableau récapitulatif est souvent la meilleure approche.

Étape 5 — Respecter le délai d’un mois

L’article 12(3) du RGPD fixe le délai de réponse à un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe ou si le nombre de demandes est élevé, à condition d’en informer le demandeur dans le délai initial d’un mois en expliquant les raisons du retard.

Dans mon expérience de conseil auprès d’entreprises de toute taille, le non-respect de ce délai est la première cause de plaintes auprès de la CNIL sur le droit d’accès. Il est indispensable de :

• mettre en place des alertes automatiques (rappel à J+15, alerte à J+25),
• prévoir un circuit de validation accéléré pour les demandes complexes,
• documenter toute prolongation avec une notification écrite au demandeur.

Étape 6 — Envoyer la réponse de manière sécurisée

Les données communiquées en réponse à une demande d’accès sont des données personnelles — leur transmission doit être sécurisée. En pratique :

• privilégiez l’envoi via l’espace client sécurisé de la personne,
• en cas d’envoi par e-mail, chiffrez les pièces jointes contenant des données sensibles ou volumineuses,
• pour un envoi postal, utilisez un courrier avec accusé de réception si les données sont sensibles.

La CNIL recommande d’éviter l’envoi de données personnelles en clair par e-mail non chiffré, en particulier pour les données de santé ou les données financières.

Quand peut-on refuser une demande d’accès ?

Le droit d’accès n’est pas absolu. L’article 12(5) du RGPD prévoit que le responsable de traitement peut refuser de donner suite à une demande « manifestement infondée ou excessive, notamment en raison de son caractère répétitif ».

Le CEPD a précisé dans ses Lignes directrices 01/2022 que cette exception doit être interprétée de manière restrictive. En pratique, un refus n’est justifié que dans des cas très limités :

• Demandes répétitives : un demandeur qui formule la même demande plusieurs fois dans un délai court sans changement de circonstances. Mais attention — une demande annuelle est légitime.
• Demandes manifestement infondées : lorsque la demande poursuit un objectif étranger à la protection des données (par exemple, obtenir des documents dans le cadre d’un contentieux commercial, sans lien avec les données personnelles).
• Droits de tiers : lorsque la communication des données porterait atteinte aux droits et libertés d’autrui (Art. 15(4)). Dans ce cas, il convient de caviarder les données de tiers plutôt que de refuser intégralement la demande.

En cas de refus, le responsable de traitement doit motiver sa décision par écrit et informer la personne de son droit de réclamation auprès de la CNIL.

Les erreurs les plus fréquentes

Ayant travaillé plus de 20 ans dans le domaine de la conformité aux données personnelles, j’observe régulièrement les mêmes erreurs dans le traitement des demandes d’accès :

1. Exiger une pièce d’identité de manière systématique. Comme mentionné, la vérification d’identité doit être proportionnée. Si le demandeur est déjà authentifié, demander une copie de carte d’identité est excessif.

2. Répondre partiellement. Fournir uniquement les données du CRM en oubliant celles stockées dans les e-mails, les fichiers Excel ou chez un sous-traitant. Le droit d’accès porte sur l’ensemble des données personnelles traitées.

3. Dépasser le délai sans notification. Si vous avez besoin de plus d’un mois, vous devez informer le demandeur avant l’expiration du délai initial. Le silence vaut manquement.

4. Facturer la première copie. L’article 15(3) est clair : la première copie est gratuite. Des frais raisonnables ne peuvent être demandés qu’à partir de la deuxième copie.

5. Ignorer les données détenues par les sous-traitants. L’obligation porte sur toutes les données traitées pour votre compte, y compris celles détenues par vos prestataires. Vos contrats de sous-traitance doivent prévoir une clause d’assistance à l’exercice des droits, conformément à l’article 28 du RGPD.

6. Ne pas documenter le traitement de la demande. En cas de contrôle, la CNIL demandera la preuve que vous avez traité les demandes dans les délais. Sans registre, vous ne pourrez pas démontrer votre conformité.

Les sanctions en cas de non-respect

Le non-respect du droit d’accès expose à des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(b) du RGPD).

Parmi les décisions récentes :

• Canal+ (SAN-2023-015) : sanctionné pour réponse tardive et incomplète aux demandes d’accès.
• Action coordonnée CNIL 2024 : la CNIL et ses homologues du CEPD ont mené des contrôles ciblés sur le droit d’accès auprès d’organismes publics et privés, aboutissant à plusieurs mises en demeure et sanctions.
• La CNIL a rappelé que le droit d’accès fait partie de ses thématiques de contrôle prioritaires depuis 2023.

Au-delà des amendes, le risque réputationnel est significatif : les décisions de la CNIL sont publiques et les médias spécialisés les relaient systématiquement.

Cas particuliers à anticiper

Certaines situations méritent une attention particulière car elles sont source fréquente d’erreurs :

Demande d’un salarié ou ancien salarié. Le droit d’accès s’applique pleinement dans le cadre de la relation de travail. Un salarié peut demander l’accès à l’ensemble de ses données RH : fiches de paie, évaluations, e-mails professionnels le mentionnant, données de vidéosurveillance, logs de connexion. La CNIL a rappelé dans plusieurs décisions que l’employeur ne peut pas opposer le secret des affaires pour refuser de communiquer des données d’évaluation.

Demande portant sur des données de vidéosurveillance. La personne a le droit d’accéder aux images la concernant. En pratique, cela suppose d’identifier les séquences pertinentes et de caviarder les images de tiers. Le délai de conservation limité des images (souvent 30 jours) rend la demande urgente — il est recommandé de geler les images dès réception de la demande.

Demande d’un mineur ou de son représentant légal. Lorsque le demandeur est un mineur, le droit d’accès peut être exercé par son représentant légal. Le responsable de traitement doit alors vérifier l’identité du représentant et son lien avec le mineur. Pour les mineurs de plus de 15 ans (seuil fixé par la loi française Informatique et Libertés), le consentement et l’exercice des droits peuvent être effectués directement par le mineur.

Demande formulée par un mandataire ou un avocat. Un tiers peut exercer le droit d’accès au nom de la personne concernée s’il dispose d’un mandat en bonne et due forme. La vérification du mandat est alors indispensable avant toute communication de données.

Modèle de processus interne

Pour structurer le traitement des demandes au sein de votre organisation, voici un processus type :

Jour 0 — Réception de la demande → Enregistrement dans le registre des demandes → Accusé de réception au demandeur → Attribution à un responsable interne.

Jour 1 à 5 — Vérification de l’identité si nécessaire → Identification des systèmes et traitements concernés via le registre des traitements.

Jour 5 à 20 — Collecte des données auprès des services internes et des sous-traitants → Compilation et mise en forme de la réponse.

Jour 20 à 25 — Revue par le DPO ou le référent RGPD → Validation juridique si la demande est complexe.

Jour 25 à 30 — Envoi de la réponse sécurisée → Archivage de la réponse et mise à jour du registre.

Si le délai d’un mois n’est pas tenable, informer le demandeur avant le jour 30 et justifier la prolongation.

Ce type de processus peut être formalisé dans une procédure interne documentée, intégrée à votre système de management de la conformité. C’est précisément le type de workflow que Legiscope permet d’automatiser, de l’enregistrement de la demande jusqu’au suivi des délais.

Ce qu’il faut retenir

• Toute demande de droit d’accès doit recevoir une réponse dans un délai d’un mois, prolongeable de deux mois sur justification.
• La vérification d’identité doit être proportionnée au contexte : pas de pièce d’identité systématique pour un client déjà authentifié.
• La réponse doit couvrir l’ensemble des données personnelles traitées, y compris celles détenues par vos sous-traitants.
• Un registre des demandes de droits et un processus interne documenté sont indispensables pour démontrer votre conformité en cas de contrôle CNIL.
• Le droit d’accès est une thématique de contrôle prioritaire de la CNIL depuis 2023 — les sanctions pour non-respect sont réelles et publiques.

FAQ

La demande de droit d’accès doit-elle être écrite ?

Non. Le RGPD n’impose aucune forme particulière. Une demande peut être formulée par e-mail, courrier, formulaire web ou même oralement. En pratique, il est recommandé d’encourager les demandeurs à utiliser un canal écrit pour faciliter la traçabilité, mais un refus fondé uniquement sur la forme serait contraire au RGPD.

Peut-on facturer la réponse à une demande d’accès ?

La première copie des données est obligatoirement gratuite (Art. 15(3) du RGPD). Des frais raisonnables « basés sur les coûts administratifs » ne peuvent être demandés que pour les copies supplémentaires. En pratique, la quasi-totalité des demandes ne donnent lieu qu’à une seule copie.

Que faire si la demande concerne des données de tiers ?

L’article 15(4) prévoit que le droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui. Si les données demandées contiennent des informations sur des tiers (par exemple, des échanges d’e-mails mentionnant d’autres personnes), vous devez anonymiser ou caviarder ces données avant de les communiquer, plutôt que de refuser intégralement la demande.

Comment gérer un volume élevé de demandes simultanées ?

Lorsque le nombre de demandes est élevé, l’article 12(3) du RGPD autorise une prolongation du délai de réponse de deux mois. Cette prolongation doit être notifiée au demandeur dans le mois suivant la réception, en précisant les raisons du retard. La mise en place d’un outil de gestion automatisé des demandes est vivement recommandée dès que le volume dépasse quelques demandes par mois.