Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 3 juin 2026
Accueil/RGPD/Modèle de réponse à une demande de droit d'accès RGPD (2026)
RGPD

Modèle de réponse à une demande de droit d'accès RGPD (2026)

Modèle de réponse à une demande de droit d'accès RGPD (Art. 15) : procédure, templates par cas (acceptation, refus, prolongation), délais et sanctions CNIL.

Par Thiébaut DevergrannePublie le 3 juin 2026Mis a jour le 3 juin 202613 min de lecture
Sommaire
  1. Cadre légal : ce que l’article 15 RGPD exige
  2. Procédure interne recommandée
  3. Modèles de réponse par cas
  4. Cas particuliers à anticiper
  5. Sanctions CNIL en cas de manquement
  6. Industrialiser le traitement des demandes d’exercice des droits
  7. FAQ : modèle de réponse au droit d’accès

L’essentiel. Toute demande d’exercice du droit d’accès (article 15 RGPD) doit être traitée dans un délai d’un mois, prorogeable de deux mois pour les demandes complexes. La réponse doit fournir une copie des données et 9 informations spécifiques. Ce guide propose 4 modèles de réponse couvrant les principaux cas — acceptation complète, prolongation, refus motivé, demande complémentaire — et la procédure interne à mettre en place.

Le droit d’accès est l’un des droits les plus exercés par les personnes concernées et l’un des plus systématiquement contrôlés par la CNIL. Selon les rapports annuels de la CNIL, le défaut de réponse à une demande de droit d’accès figure parmi les trois manquements les plus fréquemment sanctionnés en procédure simplifiée. Pour un DPO ou un responsable conformité, disposer de modèles de réponse prêts à l’emploi et d’une procédure interne formalisée est un gain de temps et un investissement en sécurité juridique.

Ce guide fournit le cadre légal de référence (article 15 RGPD et article 12 RGPD), la procédure interne recommandée pour instruire les demandes, et quatre modèles de réponse couvrant les cas usuels. Tous les modèles sont à adapter au contexte de chaque traitement.

Cadre légal : ce que l’article 15 RGPD exige

L’article 15 du RGPD reconnaît à toute personne concernée le droit d’obtenir du responsable de traitement la confirmation que des données la concernant sont traitées, et l’accès aux données ainsi qu’à 9 informations spécifiques :

  1. Les finalités du traitement
  2. Les catégories de données concernées
  3. Les destinataires ou catégories de destinataires
  4. La durée de conservation envisagée ou les critères pour la déterminer
  5. L’existence du droit de rectification, d’effacement, de limitation et d’opposition
  6. Le droit d’introduire une réclamation auprès de la CNIL
  7. La source des données si elles ne sont pas collectées directement
  8. L’existence d’une prise de décision automatisée, y compris un profilage
  9. Les garanties prévues pour les transferts hors UE le cas échéant

Le responsable doit en outre fournir une copie des données faisant l’objet du traitement.

L’article 12 RGPD gouverne les modalités d’exercice : délai d’un mois à compter de la réception, prorogation de deux mois possible en cas de complexité, gratuité de principe, et vérification d’identité proportionnée.

Procédure interne recommandée

Avant les modèles, la structure de la procédure interne. Une réponse de qualité ne s’improvise pas — elle repose sur un workflow documenté.

Étape 1 — Réception et qualification (J+0 à J+2)

  • Accusé de réception envoyé sous 48 heures (non obligatoire, fortement recommandé)
  • Qualification : demande recevable ou non (recevable = identification possible, droit applicable)
  • Identification du périmètre : quels traitements concernés, quels systèmes interroger
  • Enregistrement de la demande dans le registre interne des demandes d’exercice des droits

Étape 2 — Vérification d’identité (J+0 à J+3)

L’article 12(6) autorise la demande d’informations supplémentaires pour confirmer l’identité en cas de doute raisonnable. La CNIL rappelle régulièrement (notamment dans la délibération SAN-2024-001 Hubside) qu’on ne peut pas exiger une copie de pièce d’identité par défaut. Trois cas :

  • Demande émanant d’un compte utilisateur authentifié : pas de vérification supplémentaire requise
  • Demande émanant d’un email connu et associé au compte : pas de vérification supplémentaire requise
  • Demande émanant d’un canal non authentifié (courrier postal, email non rattaché) : vérification proportionnée acceptable

Étape 3 — Collecte des données (J+3 à J+20)

Interrogation de tous les systèmes concernés :

  • CRM, ERP, outils marketing
  • Systèmes RH si demande émanant d’un salarié
  • Applications métier spécifiques
  • Logs et traces si concernés par la finalité

Cette étape mobilise généralement plusieurs équipes et constitue le goulet d’étranglement principal.

Étape 4 — Préparation de la réponse (J+20 à J+28)

  • Mise en forme des données dans un format intelligible (export structuré, PDF, etc.)
  • Rédaction des 9 informations légales (article 15)
  • Vérification : pas de divulgation de données de tiers (sous-réserve évidente pour les emails reçus par exemple)
  • Validation interne (DPO ou référent conformité)

Étape 5 — Envoi et clôture (J+30 maximum)

  • Envoi par voie sécurisée (canal habituel de communication avec la personne, ou voie postale)
  • Enregistrement de la réponse dans le registre interne
  • Archivage de la demande et de la réponse pour la durée de prescription (typiquement 3 à 5 ans)

Modèles de réponse par cas

Modèle 1 — Acceptation complète et fourniture des données

Cas usuel : la demande est recevable, l’identification est faite, les données sont collectées, aucun motif de refus partiel.

Madame, Monsieur,

Nous accusons réception de votre demande d’accès à vos données personnelles, en date du [date], formulée au titre de l’article 15 du Règlement Général sur la Protection des Données.

Conformément à votre demande, vous trouverez ci-joint l’ensemble des données à caractère personnel vous concernant que nous traitons, ainsi que les informations prévues à l’article 15(1) du RGPD :

Finalités du traitement : [lister les finalités, par exemple : gestion de la relation client, prospection commerciale, gestion des commandes et de la facturation]

Catégories de données traitées : [lister, par exemple : données d’identification (nom, prénom, email, téléphone), données de transaction, historique de commandes, données de navigation]

Destinataires des données : [lister, par exemple : services internes (commercial, comptabilité), sous-traitants (hébergeur, prestataire d’envoi d’emails), aucun autre destinataire]

Durée de conservation : [préciser la durée par catégorie ou par finalité]

Source des données : [collectées directement auprès de vous lors de [événement] / obtenues auprès de [source si différente]]

Transferts hors Union européenne : [aucun transfert / transferts encadrés par [DPF / CCT 2021/914], destinataires : [lister]]

Existence d’une décision automatisée : [aucune décision automatisée vous concernant / décision automatisée [type] ayant pour effet [conséquence], logique sous-jacente : [résumé]]

Vos autres droits : Vous disposez par ailleurs des droits prévus aux articles 16 à 22 du RGPD : rectification, effacement, limitation du traitement, portabilité, opposition. Vous pouvez les exercer en vous adressant à [contact DPO].

Réclamation : Si vous estimez que vos droits n’ont pas été respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : https://www.cnil.fr/fr/plaintes.

Restant à votre disposition pour toute question complémentaire,

[Signature DPO / responsable conformité]

Modèle 2 — Prolongation du délai de réponse

Cas : la demande est complexe (nombreux traitements à interroger, identification difficile, volume important de données) et le délai d’un mois ne suffit pas. La prolongation doit être notifiée dans le délai initial d’un mois et motivée.

Madame, Monsieur,

Nous accusons réception de votre demande d’accès à vos données personnelles, en date du [date], formulée au titre de l’article 15 du RGPD.

Compte tenu de la complexité de votre demande, nous vous informons que nous prolongeons le délai de réponse de deux mois supplémentaires, en application de l’article 12(3) du RGPD. La complexité de votre demande tient à : [motiver, par exemple : nombre de systèmes à interroger, volume de données à analyser, nécessité d’identifier les données dans plusieurs entités du groupe].

Notre réponse complète vous parviendra donc au plus tard le [date initiale + 3 mois].

Dans l’intervalle, si vous souhaitez préciser le périmètre de votre demande (finalités spécifiques, période concernée, type de données), n’hésitez pas à nous le faire savoir — cela peut faciliter et accélérer le traitement.

[Signature]

Modèle 3 — Refus motivé (demande manifestement infondée ou excessive)

Cas : la demande est répétitive sans justification, ou clairement abusive (demandes systématiques pour entraver le service). L’article 12(5) du RGPD autorise le refus ou la facturation, à condition que le responsable apporte la preuve du caractère manifestement infondé ou excessif. C’est une exception d’application stricte.

Madame, Monsieur,

Nous accusons réception de votre demande d’accès à vos données personnelles, en date du [date], formulée au titre de l’article 15 du RGPD.

Après examen, nous constatons que votre demande présente un caractère manifestement [infondé / excessif] au sens de l’article 12(5) du RGPD, pour les motifs suivants : [motiver précisément, par exemple : il s’agit de la [N]ème demande identique reçue au cours des [X] derniers mois sans modification substantielle de votre situation et alors que notre précédente réponse vous a été adressée le [date]].

Conformément à l’article 12(5)(b) du RGPD, nous ne donnons pas suite à votre demande dans les conditions sollicitées. Vous pouvez néanmoins :

  • Préciser ce qui justifie la nouvelle demande (modification de votre situation, données complémentaires non couvertes par la précédente réponse), auquel cas nous traiterons la demande modifiée dans le délai légal d’un mois.
  • Introduire une réclamation auprès de la CNIL si vous contestez notre appréciation : https://www.cnil.fr/fr/plaintes.

[Signature]

Note d’usage : ce modèle est à utiliser avec parcimonie. La CNIL contrôle strictement les refus fondés sur l’article 12(5) et la charge de la preuve pèse sur l’organisation. En cas de doute, traiter la demande plutôt que refuser.

Modèle 4 — Demande de complément d’information

Cas : la demande est trop large ou trop imprécise pour être instruite (ex : “donnez-moi toutes mes données” sans précision de période ou de service concerné). L’article 12(6) autorise une demande de complément en cas de doute raisonnable, mais cette possibilité s’applique au-delà de l’identification.

Madame, Monsieur,

Nous accusons réception de votre demande d’accès à vos données personnelles, en date du [date], formulée au titre de l’article 15 du RGPD.

Pour traiter votre demande dans les meilleures conditions et vous fournir une réponse pertinente, nous souhaitons préciser le périmètre de votre demande. Notre organisation traite vos données dans le cadre de plusieurs finalités distinctes (par exemple : gestion de votre compte client, suivi de vos commandes, communication commerciale). Pouvez-vous nous préciser :

  • La période sur laquelle porte votre demande ?
  • Les services ou produits concernés ?
  • Le type de données qui vous intéresse particulièrement (données d’identification, transactions, communications, etc.) ?

Si vous souhaitez l’ensemble des données traitées sans précision particulière, merci de nous le confirmer. À défaut de précision dans un délai raisonnable, nous traiterons votre demande comme une demande générale couvrant l’intégralité des traitements.

Le délai légal de réponse d’un mois reste applicable à compter de la réception de votre demande initiale.

[Signature]

Cas particuliers à anticiper

La demande couvre des données concernant des tiers

Lorsque les données demandées contiennent des informations relatives à d’autres personnes (par exemple, des emails reçus mentionnant des tiers, des communications de groupe), il faut concilier le droit d’accès avec le respect de la vie privée des tiers. La CJUE (arrêt Nowak C-434/16, 20 décembre 2017) admet la fourniture des données du demandeur, le cas échéant après anonymisation ou occultation des données des tiers.

La demande concerne des données protégées par un secret

Secret professionnel, secret des affaires, secret médical : ces protections peuvent limiter le droit d’accès. L’analyse au cas par cas est requise — typiquement, le secret médical n’empêche pas l’accès aux propres données du patient mais peut limiter l’accès aux annotations professionnelles.

La demande émane d’un ancien salarié

Le périmètre couvre : dossier professionnel, évaluations, données de contrôle d’activité, communications professionnelles le concernant. La conservation est encadrée (5 ans après départ pour les données RH — voir notre tableau des durées de conservation).

La demande arrive par voie postale signée mais sans pièce d’identité

Une signature manuscrite sur un courrier postal avec coordonnées correspondant aux données traitées peut suffire — le doute raisonnable au sens de l’article 12(6) n’est pas systématique. La demande d’une pièce d’identité dans ce cas a été sanctionnée par la CNIL (SAN-2024-008 SAF Logistics).

Sanctions CNIL en cas de manquement

Les manquements à l’article 15 sont régulièrement sanctionnés par la CNIL. Les motifs typiques :

  • Absence de réponse dans le délai d’un mois : sanction quasi-automatique
  • Réponse incomplète (omission d’une ou plusieurs des 9 informations légales)
  • Exigence injustifiée d’une pièce d’identité (SAN-2024-001 Hubside, SAN-2024-008 SAF Logistics)
  • Refus de transmettre une copie des données
  • Procédure interne défaillante (Carrefour, 3 M€, partiellement fondé sur les défauts de traitement des droits)

Ces manquements relèvent du plafond haut de l’article 83(5)(b) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Industrialiser le traitement des demandes d’exercice des droits

Pour une organisation traitant régulièrement des demandes, la gestion manuelle via boîtes email et tableurs atteint vite ses limites :

  • Délais difficiles à suivre, risque de dépassement
  • Pas de traçabilité documentée (registre des demandes incomplet)
  • Pas de centralisation entre les services qui détiennent les données
  • Pas de mémoire institutionnelle (chaque demande retraitée à zéro)

Un logiciel RGPD couvrant les demandes d’exercice des droits permet de centraliser la réception, attribuer un workflow par type de demande, suivre les délais, et générer le registre des demandes attendu par la CNIL.

FAQ : modèle de réponse au droit d’accès

Le délai d’un mois est-il calendaire ou ouvré ?

Calendaire. Il commence le jour de la réception de la demande et s’achève à la même date du mois suivant. Si le dernier jour tombe un week-end ou férié, le délai n’est pas prolongé — c’est le délai qui s’applique strictement.

Que faire si la personne ne fournit pas les compléments demandés ?

Si la demande de complément était fondée (article 12(6) — doute raisonnable sur l’identité) et que la personne ne répond pas, le droit n’est pas exerçable. Documenter la situation et clôturer en informant la personne. Si le complément demandé était une précision du périmètre, traiter la demande dans son périmètre initial à défaut de précision.

Faut-il fournir une copie au format demandé par la personne ?

Pas nécessairement. L’article 15(3) impose de fournir une “copie” mais ne prescrit pas le format. Un export PDF, un fichier structuré ou un courrier papier sont tous valides. Si la personne demande un format particulier raisonnable, l’accompagner facilite la relation.

La gratuité est-elle absolue ?

Quasi-absolue. L’article 15(3) impose la gratuité de la première copie. Une demande de copies additionnelles peut donner lieu à des frais raisonnables. Les demandes “manifestement infondées ou excessives” peuvent être facturées au coût raisonnable de traitement (article 12(5)).

Faut-il informer la personne de l’existence du droit d’accès dans les mentions d’information ?

Oui. Les articles 13 et 14 du RGPD imposent d’informer les personnes de leurs droits, y compris le droit d’accès, au moment de la collecte. L’absence de cette information est un manquement séparé sanctionnable indépendamment de la réponse à la demande.

Pour structurer la procédure de réponse aux droits et industrialiser la documentation au registre, le logiciel RGPD intègre ces workflows dans le cycle de vie de la conformité.

Articles lies

RGPD

Article 72 RGPD : la procédure du CEPD décryptée

3 juin 2026 · 8 min
RGPD

Article 73 RGPD : la présidence du CEPD décryptée

3 juin 2026 · 7 min
RGPD

Microsoft 365 Copilot et RGPD : guide DPO 2026

3 juin 2026 · 11 min