En une phrase. Le droit d’accès (article 15 RGPD) permet à toute personne de demander à un responsable de traitement la confirmation que ses données sont traitées et, si oui, d’en obtenir une copie ainsi que les informations sur les finalités, les catégories de données, les destinataires, la durée de conservation et l’origine des données. Le délai de réponse est de un mois (extensible à trois mois pour les demandes complexes). Le défaut de réponse expose à des sanctions CNIL pouvant atteindre 4% du chiffre d’affaires mondial.
Le droit d’accès est l’un des droits les plus fréquemment exercés par les personnes concernées et l’un des plus contrôlés par la CNIL. Sa mise en œuvre opérationnelle est cependant souvent défaillante : délais dépassés, réponses incomplètes, vérification d’identité bâclée, refus mal motivés. Ce guide détaille la procédure complète conforme aux exigences CNIL et EDPB.
Pour les autres droits des personnes, voir notre exercice des droits RGPD. Pour le droit à l’effacement, droit à l’effacement RGPD. Pour le droit de rectification, droit de rectification RGPD.
Points clés
- Le droit d’accès est universel : toute personne peut l’exercer, sans justification.
- Délai de réponse : 1 mois à compter de la réception, extensible à 3 mois si demande complexe (motivation requise).
- La réponse doit inclure les données + 8 catégories d’information (finalités, catégories, destinataires, durée, droits, etc.).
- L’identité du demandeur doit être vérifiée — mais pas de manière disproportionnée (pas de copie de pièce d’identité par défaut).
- Le défaut de réponse ou la réponse manifestement incomplète est l’une des causes les plus fréquentes de plainte CNIL.
1. Périmètre du droit d’accès (article 15)
L’article 15 RGPD donne à toute personne concernée le droit :
- D’obtenir la confirmation que des données la concernant sont (ou ne sont pas) traitées
- D’accéder à ces données et d’en obtenir une copie
- D’obtenir les informations suivantes :
| Information requise | Article 15 §1 |
|---|---|
| Finalités du traitement | a) |
| Catégories de données concernées | b) |
| Destinataires (ou catégories de destinataires) | c) |
| Durée de conservation envisagée | d) |
| Droits (rectification, effacement, opposition, portabilité, plainte CNIL) | e) |
| Origine des données (si non collectées auprès de la personne) | f) |
| Existence d’une décision automatisée (article 22) avec logique sous-jacente | g) |
| Garanties pour les transferts internationaux (article 46) | h) |
Important : la réponse n’est pas un simple dump de la base — elle doit être structurée et compréhensible pour la personne.
2. Modalités de la demande
Forme de la demande
Le RGPD ne prescrit pas de forme. La demande peut être :
- Par courrier postal
- Par email (à privacy@… ou via formulaire dédié)
- Verbale (face-à-face, téléphone) — auquel cas le RT doit être en mesure de la documenter
- Via un formulaire en ligne
Erreur fréquente : exiger un formulaire spécifique. La CNIL a sanctionné des entreprises pour avoir refusé des demandes au motif qu’elles n’utilisaient pas le formulaire interne.
Identification du demandeur
Le RT doit s’assurer que le demandeur est bien la personne concernée (article 12 §6). Mais la vérification doit être proportionnée :
- Pour un compte client : vérifier via les identifiants du compte
- Pour une personne sans compte : nom, prénom, élément distinctif (date de naissance, dernière adresse connue)
- En cas de doute persistant : demander un élément complémentaire — mais pas systématiquement une copie de pièce d’identité
La CNIL a sanctionné plusieurs entreprises pour avoir exigé une copie de pièce d’identité de manière systématique, ce qui constitue une collecte de données disproportionnée.
3. Délais de réponse
Le délai de principe : 1 mois
À compter de la réception de la demande (article 12 §3).
L’extension à 3 mois
Possible si la demande est complexe ou si le RT reçoit un grand nombre de demandes. Conditions :
- Information du demandeur dans le délai d’un mois initial
- Motivation de l’extension
- L’extension ne peut pas excéder 2 mois supplémentaires (total maximum : 3 mois)
Le cas du refus
Si le RT refuse de donner suite à la demande (par exemple, demande manifestement infondée ou excessive), il doit :
- Informer le demandeur dans le délai d’un mois
- Motiver le refus
- Indiquer les voies de recours (CNIL, juge)
4. Contenu de la réponse
Forme
- Concise
- Transparente
- Compréhensible
- Aisément accessible
- Termes clairs et simples
(Article 12 §1)
Format
- Si la demande est faite par voie électronique, la réponse est faite par voie électronique sauf demande contraire (article 12 §3)
- Format structuré recommandé : PDF ou CSV pour les données, PDF pour les explications
Gratuit
La première copie est gratuite. Pour les copies supplémentaires, le RT peut percevoir des frais raisonnables basés sur les coûts administratifs (article 15 §3).
Données vs informations
La réponse doit fournir DEUX choses distinctes :
- Une copie des données elles-mêmes
- Les 8 informations listées à l’article 15 §1
Le simple envoi des données sans les informations contextuelles est non conforme.
5. Cas pratiques de réponse
Cas 1 — Demande d’un client e-commerce
Réponse type :
Confirmation : oui, vos données sont traitées par [Société].
Données détenues :
- Compte client (créé le [date]) : nom, prénom, email, téléphone, adresse
- Historique d'achats : 12 commandes entre [date] et [date]
- Préférences marketing : opt-in newsletter (consenti le [date])
- Logs de connexion : 47 connexions sur les 6 derniers mois
Pièce jointe : extract.json (vos données complètes)
Informations légales (article 15 §1) :
- Finalités : gestion du compte, exécution des commandes, marketing
- Catégories : données d'identification, contact, transaction, comportement
- Destinataires : Stripe (paiement), DHL (livraison), Mailchimp (marketing)
- Durée : compte 3 ans après dernière interaction, transactions 10 ans
- Droits : rectification, effacement, opposition, portabilité, plainte CNIL
- Origine : collectées auprès de vous lors de la création du compte
- Décision automatisée : aucune
- Transferts internationaux : Mailchimp (USA, EU-US Data Privacy Framework)
Pour toute question : dpo@societe.fr
Recours : CNIL (cnil.fr/plaintes)
Cas 2 — Demande d’un employé
Spécificités :
- Inclure les évaluations annuelles, fiches de paie, données de présence
- Pour les données partagées avec syndicats / IRP : préciser les catégories
- Pour les données de surveillance (vidéo, géolocalisation) : préciser les modalités
Cas 3 — Demande d’un prospect non-client
Réponse type si pas de données :
Confirmation : non, nous ne traitons aucune donnée personnelle vous
concernant à ce jour. Aucune action n'est requise.
Si vous souhaitez exercer votre droit de manière préventive ou si
vous pensez que des données vous concernent malgré cette réponse,
nous vous invitons à nous contacter à dpo@societe.fr en précisant
les éléments d'identification supplémentaires.
6. Exceptions au droit d’accès
Le droit d’accès n’est pas absolu. Exceptions principales :
Article 15 §4 — Droits d’autres personnes
Le droit d’obtenir une copie ne doit pas porter atteinte aux droits d’autres personnes (par exemple, données concernant des tiers mêlées aux données du demandeur).
Article 23 — Limitations légales
La législation nationale peut limiter le droit d’accès pour certains motifs (sécurité nationale, défense, prévention/poursuite d’infractions, etc.). En France, la loi Informatique et Libertés précise ces cas.
Demande manifestement infondée ou excessive
Article 12 §5 : le RT peut refuser ou facturer si la demande est manifestement infondée ou excessive. Mais cette exception est strictement interprétée — la simple lourdeur opérationnelle ne suffit pas.
7. Sanctions CNIL pour défaut de droit d’accès
Quelques sanctions notables 2023-2025 :
- Brico Privé (CNIL 2023) : 50 000 € pour défaut de réponse aux demandes d’accès
- Cdiscount (CNIL 2023) : 250 000 € (incluant griefs sur le droit d’accès)
- Plusieurs employeurs sanctionnés pour ne pas avoir donné accès aux fichiers RH dans le délai
Pattern : la CNIL utilise la procédure simplifiée pour les manquements évidents, ce qui rend les sanctions plus rapides et plus fréquentes.
8. Procédure interne recommandée
Étape 1 — Réception et accusé
- Boîte mail dédiée (privacy@… ou rgpd@…)
- Accusé de réception sous 5 jours ouvrés (bonne pratique)
- Création d’un ticket dans le système de gestion (idéal : registre des demandes)
Étape 2 — Vérification d’identité (J+1 à J+5)
- Si compte : vérifier via login
- Sans compte : vérifier nom + élément distinctif
- Demande d’élément complémentaire uniquement si doute raisonnable
Étape 3 — Collecte des données (J+5 à J+15)
Coordination avec les équipes :
- IT : extract base de données
- RH (si concerné) : fichier personnel
- Marketing : données comportementales
- Support : historique tickets
Étape 4 — Compilation de la réponse (J+15 à J+25)
- Format structuré (PDF + CSV/JSON pour les données)
- Inclure les 8 informations contextuelles
- Anonymiser les données de tiers si présentes
Étape 5 — Envoi (J+25 à J+30)
- Par email ou courrier selon la demande
- Garder trace de l’envoi
- Conserver le dossier 5 ans (preuve de conformité)
9. Outillage et automatisation
Pour les organisations recevant plus de 5-10 demandes par mois, l’outillage devient nécessaire. Legiscope gère le workflow complet : ticketing, vérification d’identité, coordination interne, compilation de la réponse, suivi des délais. Pour une PME avec 50-100 demandes par an, le gain est de 30-60 minutes par demande.
Pour aller plus loin : exercice des droits RGPD, droit à l’effacement RGPD, droit de rectification RGPD, droit à la portabilité.
Conclusion
Le droit d’accès est l’élément le plus visible de la conformité RGPD pour les personnes concernées — c’est par lui qu’elles vérifient si une organisation est sérieuse sur la protection des données. Une procédure interne claire, des délais respectés et des réponses structurées transforment une obligation en signal de confiance. À l’inverse, l’absence de réponse est l’une des causes les plus fréquentes de plainte CNIL.
FAQ
Quel est le délai de réponse à une demande d’accès RGPD ?
Un mois à compter de la réception (article 12 §3 RGPD), extensible à trois mois pour les demandes complexes ou en cas de grand nombre de demandes. L’extension doit être motivée et notifiée au demandeur dans le délai initial d’un mois.
Peut-on exiger une copie de la pièce d’identité ?
Non, pas systématiquement. La CNIL considère que la copie de pièce d’identité ne doit être demandée qu’en cas de doute raisonnable sur l’identité du demandeur. Demander cette copie pour toute demande est disproportionné et a fait l’objet de plusieurs sanctions CNIL.
Que doit contenir la réponse ?
Deux éléments : (1) une copie des données traitées, (2) les 8 informations légales de l’article 15 §1 (finalités, catégories, destinataires, durée, droits, origine, décision automatisée, transferts internationaux). Le simple envoi des données sans les informations légales est non conforme.
Le droit d’accès est-il gratuit ?
La première copie est gratuite. Pour les copies supplémentaires, le RT peut facturer des frais raisonnables basés sur les coûts administratifs réels. Les demandes manifestement infondées ou excessives peuvent être refusées ou facturées.
Que faire si le RT ne répond pas ?
Vous pouvez (1) le relancer en lui rappelant l’article 15 RGPD et le délai d’un mois, (2) déposer une plainte auprès de la CNIL via cnil.fr/plaintes, (3) introduire un recours devant le tribunal compétent. La CNIL a sanctionné plusieurs entreprises pour défaut de réponse aux demandes d’accès en 2023-2025.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial