Décryptage complet de l’article 15 du RGPD
La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou non traitées, et lorsqu’elles le sont, d’y accéder.
Lorsque les données sont traitées, la personne concernée doit recevoir les informations suivantes :
- Les finalités du traitement.
- Les catégories de données à caractère personnel concernées.
- Les destinataires ou catégories de destinataires, notamment dans des pays tiers ou organisations internationales.
- Lorsque possible, la durée de conservation ou les critères utilisés pour la déterminer.
- L’existence du droit de demander la rectification, l’effacement, la limitation ou de s’opposer au traitement.
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
- La source des données lorsque celles-ci ne sont pas collectées auprès de la personne concernée.
- L’existence d’une prise de décision automatisée, y compris le profilage, et des informations utiles sur la logique sous-jacente, l’importance et les conséquences prévues.
Si les données sont transférées vers un pays tiers ou une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées prévues à l’article 46.
Le responsable du traitement fournit une copie des données personnelles faisant l’objet du traitement. Des frais raisonnables peuvent être exigés pour toute copie supplémentaire.
Lorsque la demande est présentée par voie électronique, les informations sont fournies dans un format électronique d’usage courant, sauf demande contraire.
Le droit d’obtenir une copie ne doit pas porter atteinte aux droits et libertés d’autrui.
Le droit d’accès RGPD, c’est quoi exactement ?
Vous vous demandez ce que les entreprises savent de vous ? Grâce à l’article 15 du RGPD, vous avez le droit de le savoir. C’est ce qu’on appelle le droit d’accès aux données personnelles.
L’article 15 du RGPD est un pilier fondamental des droits des personnes. Il vous permet de savoir si une entreprise détient des données vous concernant, et si oui, d’y accéder et d’en comprendre l’utilisation.
En pratique, vous pouvez exiger :
La confirmation que vos données sont traitées : un simple « oui » ou « non » ne suffit pas, l’entreprise doit aussi dire dans quel cadre elle les traite.
Une copie de vos données : noms, adresses, historiques d’achat, logs, mails, etc., sous forme lisible et gratuite.
Les finalités : pourquoi vos données ont été collectées ? Pour une commande ? Une newsletter ? Un profil RH ?
Les destinataires : qui a eu ou aura accès à vos données ? Un service interne ? Un prestataire ? Un hébergeur ?
Les transferts hors UE : vos données voyagent-elles vers les USA ou ailleurs ? Sous quelles garanties ?
La durée de conservation prévue : combien de temps l’entreprise compte-t-elle les garder ? Et pourquoi ?
Ce droit s’applique à toutes les structures, sans exception :
- Grandes entreprises, PME, startups
- Administrations, collectivités, établissements publics
- Associations, syndicats, écoles, hôpitaux
📌 Autrement dit : dès qu’une organisation collecte des données vous concernant, elle entre dans le champ d’application du RGPD.
Qui peut exercer ce droit (et dans quels cas) ?
Ce droit est individuel, personnel et universel. Il peut être exercé par toute personne résidant dans l’Union européenne, qu’elle soit cliente ou non, dès lors que des données la concernant sont traitées.
Cas d’usage typiques :
| 👤 Profil | 📝 Motif de la demande |
|---|---|
| Salarié | Accéder aux données RH conservées (contrats, évaluations, bulletins, santé…) |
| Candidat | Vérifier les informations conservées après un processus de recrutement |
| Client | Consulter l’historique d’achats, les données de navigation ou les préférences enregistrées |
| Internaute | Savoir comment ses données sont collectées et utilisées en ligne (cookies, tracking, etc.) |
| Parent | Exercer le droit d’accès au nom de son enfant mineur |
| Ancien abonné | Vérifier les données encore conservées après une résiliation ou une suppression de compte |
À retenir :
– Vous n’avez pas à justifier votre demande : c’est un droit garanti par la loi.
– L’organisme peut toutefois vérifier votre identité avant de transmettre les données.
Comment faire une demande d’accès ? (Étapes + modèle de courrier)
Exercer son droit d’accès n’a rien de compliqué — encore faut-il le faire correctement pour éviter les réponses dilatoires ou incomplètes.
Étapes détaillées :
Formulez une demande explicite et précise
👉 Indiquez clairement que vous souhaitez exercer votre droit d’accès au titre de l’article 15 RGPD. Précisez votre identité et le contexte (client, salarié, visiteur…).
Adressez-la à la bonne personne ou service
✅ La plupart des entreprises désignent un DPO (délégué à la protection des données) ou un contact spécifique RGPD (souvent mentionné dans leur politique de confidentialité).
Envoyez votre demande par écrit (email ou courrier recommandé)
✉️ L’email est plus rapide. En cas de litige potentiel, privilégiez l’envoi du courrier avec accusé de réception.
Joignez une pièce d’identité
📎 Pour éviter tout refus, ajoutez une copie claire (et partiellement masquée si vous le souhaitez) de votre carte d’identité ou passeport.
Conservez une preuve d’envoi
🧾 Capture d’écran, AR, email envoyé… Vous pourrez ainsi justifier du délai légal si l’organisme tarde à répondre.
Bon réflexe : gardez un dossier personnel RGPD avec les échanges, réponses et éventuelles relances. Cela renforce votre position en cas de recours.
Modèle de courrier RGPD à copier
Objet : Exercice du droit d’accès – Article 15 RGPD
Madame, Monsieur,
Conformément à l’article 15 du Règlement Général sur la Protection des Données (RGPD), je vous prie de bien vouloir me transmettre l’ensemble des données personnelles me concernant que vous détenez, ainsi que les informations suivantes :
– Finalités du traitement ;
– Catégories de données ;
– Destinataires ou catégories de destinataires ;
– Durée de conservation prévue ;
– Origine des données (si elles ne proviennent pas directement de moi) ;
– Existence de transferts vers des pays tiers, le cas échéant.
Je joins à ce courrier une copie de ma pièce d’identité.
Cordialement,
[Nom Prénom]
[Adresse e-mail ou postale]Checklist RGPD : 8 éléments obligatoires à retrouver dans une réponse conforme
Lorsqu’une entreprise vous répond suite à votre demande d’accès, elle doit vous fournir toutes les informations listées ci-dessous. Si l’entreprise omet un seul élément, les autorités peuvent considérer sa réponse comme incomplète.
✅ Checklist RGPD – Réponse conforme à une demande d’accès
Et si vous (entreprise) recevez une demande… et ne répondez pas ?
En tant qu’organisation, vous êtes tenue de répondre à toute demande d’accès dans un délai de 1 mois, conformément à l’article 15 du RGPD.
Si vous ne répondez pas, ou si votre réponse est incomplète, voici ce qui attend votre entreprise :
Trois actions que la personne concernée peut engager :
- 🔁 Vous relancer officiellement (souvent avec mise en demeure) en rappelant vos obligations légales.
- 📝 Déposer une plainte auprès de la CNIL, qui peut ouvrir une enquête, vous auditionner et vous mettre en demeure.
- ⚖️ Saisir le tribunal civil pour obtenir l’accès aux données et réclamer des dommages-intérêts.
Pourquoi répondre est dans votre intérêt ?
| Risque | Conséquence potentielle |
|---|---|
| Silence ou réponse tardive | Plainte CNIL, enquête, sanction administrative |
| Réponse incomplète ou floue | Relance + risque de signalement + perte de crédibilité |
| Refus injustifié ou non motivé | Risque de contentieux et dommages-intérêts devant un juge civil |
| Absence de preuve de traitement | Non-conformité RGPD = sanction possible + obligation de mise en conformité |
Ce qu’il faut faire dès réception d’une demande RGPD :
- Identifier rapidement la demande (même si elle arrive par un canal inattendu)
- Réagir sous 30 jours maximum
- Envoyer une réponse complète, claire, et documentée
- Conserver une preuve de votre réponse (trace écrite, email, AR…)
💡 Conseil : centralisez les demandes RGPD via une adresse dédiée (ex. : donnees@votre-entreprise.fr) et formez vos équipes.
FAQ – Les questions fréquentes
Quelles données sont exclues du droit d’accès RGPD ?
Certaines données ne sont pas accessibles, même via une demande article 15 :
- Données couvertes par le secret professionnel ou industriel
- Notes internes préparatoires ou confidentielles (ex : évaluation RH non finalisée)
- Données anonymisées (car non personnelles)
- Données liées à une procédure judiciaire en cours
🛡️ L’organisme doit toujours équilibrer l’accès avec les droits des autres personnes concernées.
Une personne peut-elle abuser de son droit d’accès RGPD ?
Oui, le RGPD prévoit la possibilité de refuser une demande abusive.
Exemples : demandes répétées sans justification, harcèlement juridique, usage stratégique pour nuire à l’entreprise. Vous devez documenter ces abus pour justifier un éventuel refus auprès de la CNIL.
⚠️ Attention : les autorités interprètent strictement la notion d’abus.
Quel est le format légal pour fournir une copie des données personnelles ?
Le RGPD impose un format électronique courant (PDF, CSV, JSON…) pour les demandes faites en ligne, sauf demande spécifique du requérant.
Les données doivent être intelligibles et structurées, même s’il s’agit de logs techniques, historiques de navigation ou métadonnées.
