Droit d'accès RGPD : Art. 15 et obligations du responsable

Le droit d’accès RGPD, prévu à l’Art. 15 du règlement, constitue le pilier central des droits des personnes concernées. Il permet à toute personne d’obtenir la confirmation que ses données sont traitées, d’en recevoir une copie et d’accéder à une série d’informations obligatoires. En pratique, c’est aussi le droit qui génère le plus de plaintes auprès de la CNIL : 12 193 plaintes en 2023 portaient sur un défaut de réponse à une demande d’accès, soit plus du tiers du total.

Points Clés

• L’Art. 15(1) RGPD oblige le responsable de traitement à fournir une copie des données personnelles traitées, accompagnée d’informations précises (finalités, destinataires, durée de conservation).
• Le délai de réponse est d’un mois (Art. 12(3) RGPD), prolongeable de deux mois en cas de complexité, sous réserve d’en informer la personne dans le premier mois.
• La première copie est gratuite ; des frais raisonnables peuvent être facturés pour les copies supplémentaires (Art. 15(3) RGPD).
• La CNIL a infligé 20 millions d’euros d’amende à Clearview AI (Délibération n°SAN-2022-023, 20 octobre 2022) notamment pour défaut de réponse aux demandes d’accès.
• Le responsable de traitement peut refuser une demande manifestement infondée ou excessive (Art. 12(5) RGPD), mais doit prouver ce caractère.

Contenu du droit d’accès : ce que l’Art. 15(1) impose

L’Art. 15(1) RGPD prévoit que la personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées. En cas de traitement, elle a droit à l’accès aux données et aux informations suivantes :

Les finalités du traitement : le responsable doit indiquer pourquoi chaque catégorie de données est traitée. Une réponse générique (« pour nos services ») ne satisfait pas à l’obligation.

Les catégories de données : l’Art. 15(1)(b) impose de lister les catégories de données concernées (données d’identification, données de navigation, données financières, etc.).

Les destinataires : l’Art. 15(1)© exige la communication des destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées, en particulier les destinataires dans des pays tiers.

La durée de conservation : conformément à l’Art. 15(1)(d), le responsable doit indiquer la durée de conservation prévue ou, si cela n’est pas possible, les critères utilisés pour la déterminer.

L’existence de droits : la personne doit être informée de ses droits de rectification, d’effacement, de limitation et d’opposition (Art. 15(1)(e) et (f)).

La source des données : lorsque les données n’ont pas été collectées directement auprès de la personne, l’Art. 15(1)(g) impose d’indiquer toute information disponible sur la source.

L’existence de décisions automatisées : l’Art. 15(1)(h) impose d’informer la personne de l’existence d’un profilage ou de décisions automatisées au sens de l’Art. 22, avec des informations utiles sur la logique sous-jacente et les conséquences.

Modalités de réponse : délai, format et gratuité

Le cadre procédural est fixé par l’Art. 12 RGPD, qui s’applique à l’ensemble des droits des personnes.

Délai d’un mois : l’Art. 12(3) RGPD impose de répondre dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires lorsque les demandes sont complexes ou nombreuses. Le responsable doit informer la personne de cette prolongation dans le délai initial d’un mois, en motivant le retard.

Format de la réponse : l’Art. 15(3) RGPD précise qu’une copie des données doit être fournie. Lorsque la demande est faite par voie électronique, les informations sont fournies dans un format électronique d’usage courant (PDF, CSV, JSON). La CNIL recommande de privilégier un format lisible et structuré.

Gratuité : l’Art. 15(3) RGPD prévoit que la première copie est gratuite. Pour les copies supplémentaires, le responsable de traitement peut facturer des « frais raisonnables basés sur les coûts administratifs ». En cas de demande manifestement infondée ou excessive, notamment en raison de son caractère répétitif, l’Art. 12(5) RGPD permet soit d’exiger le paiement de frais raisonnables, soit de refuser de donner suite.

Vérification d’identité : l’Art. 12(6) RGPD autorise le responsable de traitement à demander des informations supplémentaires pour confirmer l’identité de la personne lorsque des doutes raisonnables existent. Cette vérification doit être proportionnée : la CNIL a rappelé qu’exiger systématiquement une pièce d’identité est disproportionné lorsque la personne est déjà authentifiée (par un compte client, par exemple).

Exceptions et limites au droit d’accès

Le droit d’accès RGPD n’est pas absolu. Plusieurs exceptions existent :

Droits et libertés d’autrui : l’Art. 15(4) RGPD dispose que le droit d’obtenir une copie ne doit pas porter atteinte aux droits et libertés d’autres personnes. Cela couvre notamment le secret des affaires, la propriété intellectuelle et les données personnelles de tiers. Le responsable doit procéder à une mise en balance au cas par cas.

Demandes manifestement infondées ou excessives : l’Art. 12(5) RGPD permet de refuser ou facturer une demande dont le caractère abusif est démontré. Le considérant 63 précise que les demandes répétitives à intervalles rapprochés peuvent être considérées comme excessives. La charge de la preuve incombe au responsable de traitement.

Exceptions nationales : l’Art. 23 RGPD autorise les États membres à limiter le droit d’accès pour des raisons de sécurité nationale, défense, sécurité publique, prévention des infractions pénales ou protection de l’indépendance judiciaire. En France, l’article 70 de la loi Informatique et Libertés prévoit des régimes spécifiques pour les traitements de données de santé et les traitements à des fins archivistiques.

Sanctions en cas de non-respect

Le non-respect du droit d’accès RGPD expose le responsable de traitement à des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(b) RGPD).

CNIL vs Clearview AI (Délibération n°SAN-2022-023, 20 octobre 2022) : amende de 20 millions d’euros. Clearview AI a collecté des milliards de photographies sur Internet sans base légale et n’a pas répondu aux demandes d’accès dans le délai légal. La CNIL a relevé que la société n’avait mis en place aucune procédure de réponse aux demandes d’exercice de droits.

CNIL vs AG2R LA MONDIALE (Délibération n°SAN-2023-014, 31 août 2023) : amende de 1,75 million d’euros, en partie pour manquement au droit d’accès. Le groupe d’assurance n’avait pas été en mesure de fournir aux assurés une copie complète de leurs données dans les délais impartis.

CNIL vs FREE (Délibération n°SAN-2022-022, 30 novembre 2022) : la CNIL a sanctionné Free à hauteur de 300 000 euros pour plusieurs manquements, dont des réponses incomplètes aux demandes d’accès de ses abonnés.

Mise en oeuvre pratique : organiser le traitement des demandes d’accès

Pour répondre efficacement aux demandes d’accès, le responsable de traitement doit structurer un processus interne :

1. Canal de réception identifié : mettre en place une adresse email dédiée (type dpo@entreprise.fr) ou un formulaire en ligne. Le DPO, lorsqu’il est désigné, est le point de contact naturel.

2. Registre des demandes : documenter chaque demande reçue (date de réception, identité du demandeur, données concernées, date de réponse). Ce registre est un élément de preuve en cas de contrôle CNIL.

3. Processus de recherche des données : identifier l’ensemble des systèmes contenant des données de la personne (CRM, base RH, logs techniques, sous-traitants). Le registre des activités de traitement (Art. 30 RGPD) sert de cartographie de référence.

4. Vérification d’identité proportionnée : adapter le niveau de vérification au contexte. Si la personne est connectée à son compte, aucune pièce d’identité supplémentaire ne doit être exigée. En cas de doute légitime, demander une pièce d’identité en limitant les informations collectées au strict nécessaire.

5. Réponse structurée : fournir un document lisible comprenant : les catégories de données, les finalités, les destinataires, les durées de conservation, les sources et l’existence éventuelle de décisions automatisées. Joindre un export des données brutes dans un format électronique courant.

Modèle de réponse : une réponse conforme doit indiquer en introduction la base juridique (Art. 15 RGPD), récapituler les données traitées par catégorie, lister les destinataires effectifs, préciser les durées de conservation applicables et rappeler les droits complémentaires (rectification, effacement, limitation, opposition, portabilité, réclamation auprès de la CNIL).

FAQ

Quel est le délai pour répondre à une demande d’accès RGPD ?

Le responsable de traitement dispose d’un mois à compter de la réception de la demande (Art. 12(3) RGPD). Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de volume élevé de demandes. La personne doit être informée de la prolongation et de ses motifs dans le premier mois.

Peut-on refuser une demande d’accès ?

Oui, dans deux cas : lorsque la demande est manifestement infondée ou excessive (Art. 12(5) RGPD), notamment en raison de son caractère répétitif, ou lorsque la communication des données porterait atteinte aux droits et libertés d’autrui (Art. 15(4) RGPD). Le refus doit être motivé et la personne informée de son droit de saisir la CNIL.

La réponse à une demande d’accès est-elle gratuite ?

La première copie des données est gratuite (Art. 15(3) RGPD). Des frais raisonnables basés sur les coûts administratifs peuvent être facturés pour les copies supplémentaires ou en cas de demande manifestement excessive. Le responsable de traitement ne peut pas conditionner l’exercice du droit d’accès au paiement préalable.

Comment vérifier l’identité du demandeur sans être disproportionné ?

L’Art. 12(6) RGPD autorise la vérification d’identité en cas de doute raisonnable. La CNIL recommande de ne pas exiger systématiquement une pièce d’identité : si la personne est authentifiée via son compte utilisateur, ce niveau de vérification suffit. En cas de demande par courrier ou email non authentifié, une copie d’un document d’identité peut être demandée, en masquant les informations non nécessaires.