Droit d'accès RGPD : répondre à une demande d'accès

·

Toute personne peut s'adresser à votre entreprise à tout moment et demander : « Quelles données détenez-vous sur moi et qu'en faites-vous ? ». Cette question, apparemment simple, active le droit d'accès reconnu à l'article 15 du Règlement (UE) 2016/679 (RGPD — Règlement général sur la protection des données) et oblige l'organisation à répondre de manière complète, gratuite et dans un délai légal qui n'admet aucun retard injustifié. Bien gérer ces demandes n'est pas seulement une question de conformité : c'est aussi un signal de sérieux et de confiance envers les clients, les employés et les fournisseurs.

Cet article explique, étape par étape, comment répondre à une demande d'accès aux données : depuis la vérification de l'identité du demandeur jusqu'à la rédaction de la réponse, en passant par les délais de l'article 12.3 du RGPD, la gratuité de la démarche et les limites que le règlement permet d'appliquer en cas de demandes manifestement infondées ou excessives.

Qu'est-ce que le droit d'accès selon le RGPD ?

L'article 15 du RGPD régit le droit d'accès de la personne concernée. En vertu de ce droit, toute personne physique a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations suivantes :

Le responsable du traitement doit également fournir, lorsqu'il est demandé, une copie des données à caractère personnel faisant l'objet d'un traitement (art. 15.3 RGPD). Cette copie est fournie sous forme électronique lorsque la demande est présentée par voie électronique, sauf si la personne concernée demande un autre format.

La procédure de traitement des droits des personnes concernées est l'un des piliers de tout programme de mise en conformité au RGPD. Sans canal de réponse défini, il est pratiquement impossible de gérer ces demandes dans les délais imposés par le règlement.

Première étape : vérifier l'identité du demandeur

Avant de répondre à une demande d'accès, l'entreprise doit s'assurer que la personne qui la présente est bien celle qu'elle prétend être. L'article 12.6 du RGPD permet au responsable du traitement de demander des informations supplémentaires pour confirmer l'identité du demandeur lorsqu'il existe des doutes raisonnables à cet égard. Ce n'est pas une formalité optionnelle : communiquer des données à une personne qui se fait passer pour une autre constitue en soi une violation de données.

Toutefois, la vérification doit être proportionnée. Il n'est pas admissible d'exiger une documentation disproportionnée pour l'exercice d'un droit fondamental. Les bonnes pratiques recommandées par l'AEPD dans son guide sur les droits préconisent notamment :

Le temps qui s'écoule dans l'attente de la confirmation d'identité ne compte pas dans le délai d'un mois, à condition que la demande d'informations supplémentaires soit formulée sans retard injustifié. Cela doit être documenté.

Délai de réponse : le mois de l'article 12.3 du RGPD

L'article 12.3 du RGPD dispose que le responsable du traitement doit fournir les informations demandées dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Lorsque les demandes sont complexes ou nombreuses, ce délai peut être prolongé de deux mois supplémentaires, à condition d'en informer la personne concernée avant l'expiration du délai initial d'un mois, en indiquant les raisons de la prolongation.

Si le responsable décide de ne pas donner suite, il doit également en informer la personne concernée dans un délai d'un mois, en lui exposant les motifs et en l'informant de son droit d'introduire une réclamation auprès de l'AEPD et d'exercer des voies de recours juridictionnelles.

Délais de réponse en vertu de l'article 12 du RGPD
Situation Délai Condition supplémentaire
Demande ordinaire 1 mois à compter de la réception Aucune
Demande complexe ou multiple Jusqu'à 3 mois à compter de la réception Informer la personne concernée de la prolongation et de ses motifs avant l'expiration du premier mois
Décision de ne pas donner suite 1 mois à compter de la réception Communiquer les motifs et le droit de réclamation auprès de l'AEPD
Vérification d'identité en attente Délai suspendu Demande d'accréditation sans retard injustifié

Le décompte du délai s'effectue en mois calendaires et non en jours ouvrables. Une demande reçue le 10 janvier doit recevoir une réponse au plus tard le 10 février (ou le 10 avril si la prolongation est appliquée).

Gratuité et exceptions : demandes manifestement infondées ou excessives

La règle générale est claire : l'exercice du droit d'accès est gratuit (art. 12.5 RGPD). Il n'est pas possible de facturer à la personne concernée le traitement ordinaire de sa demande ni la copie de ses données.

Toutefois, le même article 12.5 prévoit deux exceptions pour les demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif :

  1. Le responsable du traitement peut exiger le paiement d'un droit raisonnable qui tient compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées.
  2. Le responsable du traitement peut refuser de donner suite à la demande.

Dans les deux cas, c'est au responsable du traitement qu'il incombe de démontrer le caractère manifestement infondé ou excessif de la demande. Cette exception ne s'applique pas automatiquement et ne peut être utilisée comme mécanisme défensif face à toute demande gênante. L'AEPD exige que les raisons pour lesquelles une demande spécifique mérite cette qualification soient dûment justifiées et documentées.

En pratique, une demande répétitive pourrait être celle d'une même personne concernée qui, en l'espace de quelques mois, présente plusieurs demandes d'accès identiques sans que les données traitées aient évolué. Même dans ce cas, l'entreprise doit évaluer s'il existe une raison légitime derrière cette réitération avant d'appliquer l'exception.

Ce que la réponse doit contenir

La réponse à une demande d'accès doit être complète, compréhensible et rédigée. L'article 12.1 du RGPD exige que les informations soient fournies de manière concise, transparente, compréhensible et aisément accessible, en termes clairs et simples, en particulier lorsqu'elles s'adressent à un mineur.

Une réponse structurée devrait comprendre les éléments suivants :

  1. Confirmation du traitement ou non de données concernant le demandeur et, en cas de réponse négative, indication expresse en ce sens.
  2. Catégories de données à caractère personnel traitées : nom, coordonnées, données contractuelles, données de navigation, etc., en fonction de ce que l'entreprise détient effectivement.
  3. Finalités et bases juridiques du traitement pour chaque catégorie.
  4. Destinataires : sous-traitants, cessionnaires, transferts internationaux le cas échéant.
  5. Durée de conservation ou critères pour la déterminer.
  6. Information sur les autres droits : rectification, effacement, limitation, opposition, portabilité et droit de retirer le consentement.
  7. Droit d'introduire une réclamation auprès de l'AEPD (art. 77 RGPD).
  8. Le cas échéant, informations sur la logique des décisions automatisées.
  9. Copie des données, lorsqu'elle est expressément demandée.

La réponse doit être envoyée par un canal équivalent à celui utilisé par le demandeur. Si la demande est parvenue par courrier électronique, la réponse peut être envoyée à la même adresse. Si elle est parvenue sous forme papier, la réponse peut également être envoyée par courrier postal, sauf si la personne concernée indique sa préférence pour un autre moyen.

Comment gérer les demandes présentées par des représentants ou des tiers

Lorsque la demande d'accès est présentée par un représentant légal — par exemple, l'un des parents au nom d'un mineur, ou un avocat au nom de son client —, l'entreprise doit vérifier à la fois l'identité de la personne représentée et celle du représentant, ainsi que la validité du pouvoir de représentation.

Cela est particulièrement important dans les environnements traitant des données sensibles : une clinique qui reçoit une demande d'accès au dossier médical d'un patient par l'intermédiaire d'un prétendu proche doit faire preuve d'une vigilance particulière, car les données de santé constituent une catégorie spéciale protégée par l'article 9 du RGPD.

En cas de doute, il est préférable de demander une accréditation documentaire et de documenter la diligence appliquée, plutôt que de communiquer des données à une personne non habilitée à les recevoir.

Le rôle du Registre des activités de traitement dans la réponse

Le Registre des activités de traitement (RAT), exigé par l'article 30 du RGPD, est l'outil interne qui permet à l'entreprise de répondre avec précision à une demande d'accès. Sans un RAT à jour, l'entreprise ne peut pas savoir avec certitude quelles données elle traite, dans quels systèmes elles résident, à quelle fin ou pendant combien de temps elle les conserve.

C'est pourquoi le RAT et la procédure de traitement des droits vont de pair : un RAT bien tenu transforme une demande d'accès en une tâche ordonnée ; sans lui, chaque demande devient une recherche improvisée qui consomme du temps et génère un risque de réponses incomplètes.

Chez Summum Consultoría, nous accompagnons les organisations dans la mise en place de procédures internes pour la gestion des droits des personnes concernées, notamment des modèles de réponse, des registres de demandes et des protocoles de vérification d'identité adaptés à la taille et au secteur de chaque entreprise.

Régime de sanctions applicable

La violation du droit d'accès peut avoir de graves conséquences. L'article 83.5 du RGPD, qui recense les violations les plus graves, inclut l'atteinte aux droits des personnes concernées reconnus aux articles 12 à 22. Les sanctions peuvent atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre — loi organique espagnole 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques) adapte ce cadre à l'ordre juridique espagnol, avec un système gradué distinguant les infractions très graves, graves et mineures, et tenant compte de facteurs tels que l'intentionnalité, le nombre de personnes concernées, la durée de l'infraction et la diligence démontrée par l'entreprise.

Il convient de noter que l'AEPD peut ouvrir une procédure tant sur réclamation directe de la personne concernée (art. 77 RGPD en lien avec l'art. 64 LOPDGDD) que d'office. Dans de nombreuses procédures de sanction liées aux droits des personnes concernées, l'origine a été une réclamation d'un client ou d'un employé qui n'a pas reçu de réponse dans les délais ou qui a reçu une réponse incomplète.

Liste de vérification pour répondre correctement

À titre de guide rapide, voici les étapes que toute entreprise doit suivre lorsqu'elle reçoit une demande d'exercice du droit d'accès aux données :

  1. Enregistrer la demande avec la date et l'heure de réception (le délai commence à courir à partir de ce moment).
  2. Vérifier l'identité du demandeur de manière proportionnée.
  3. Localiser toutes les données que l'entreprise traite sur cette personne, en consultant le RAT et les systèmes concernés.
  4. Évaluer si une exception s'applique (demande manifestement infondée ou excessive ; restrictions liées aux droits de tiers ; secret professionnel).
  5. Rédiger la réponse complète en incluant tous les éléments de l'article 15.1 et 15.2 du RGPD.
  6. Joindre la copie des données si elle a été expressément demandée.
  7. Envoyer la réponse par le canal approprié avant l'expiration du délai d'un mois.
  8. Documenter l'ensemble du processus : réception, vérification, recherche interne, réponse et date d'envoi.

Pour élargir le contexte réglementaire, il peut également être utile de consulter le panorama complet des droits des personnes concernées dans le RGPD, qui offre une vision intégrée de l'accès, de la rectification, de l'effacement, de la portabilité et de l'opposition.

Questions fréquentes

Le droit d'accès oblige-t-il à remettre les documents originaux ou une copie ?

L'article 15.3 du RGPD oblige le responsable du traitement à fournir une copie des données à caractère personnel faisant l'objet du traitement, et non les documents originaux ni l'ensemble des fichiers internes. L'entreprise choisit le format de la copie (un document PDF, un rapport structuré, un fichier de données) à condition qu'elle soit compréhensible et complète. La première copie est gratuite ; pour les copies supplémentaires, l'article 15.3 permet de percevoir un droit raisonnable fondé sur les coûts administratifs.

Un employé peut-il exercer le droit d'accès à l'encontre de son propre employeur ?

Oui. Les employés sont des personnes concernées à tous égards au sens du RGPD, et l'entreprise agit en tant que responsable du traitement de leurs données. Le travailleur a le droit de savoir quelles données à caractère personnel liées à son emploi l'entreprise traite à son sujet : bulletins de salaire, évaluations de performance, registres du temps de travail, données de santé liées à la prévention des risques professionnels, communications internes dans lesquelles il figure en tant que personne concernée, etc. L'entreprise est tenue de répondre dans les mêmes délais et conditions que pour toute autre personne concernée.

L'entreprise peut-elle refuser de répondre si les données concernent des tiers ?

L'article 15.4 du RGPD dispose que le droit d'accès ne doit pas porter atteinte aux droits et libertés d'autrui. Cela signifie que, si la copie des données du demandeur contient des données relatives à des tiers (par exemple, une conversation dans laquelle d'autres employés apparaissent), l'entreprise peut anonymiser ou supprimer les données du tiers avant de remettre la copie, mais elle ne peut pas refuser la totalité de la réponse en invoquant ce motif s'il est possible de fournir les informations sans porter atteinte à des tiers.

Que se passe-t-il si l'entreprise ne répond pas dans le délai d'un mois ?

Si l'entreprise ne répond pas dans le délai prévu à l'article 12.3 du RGPD, la personne concernée peut introduire une réclamation directement auprès de l'AEPD (art. 77 RGPD), qui peut ouvrir une procédure de protection des droits et, si l'infraction est confirmée, renvoyer le dossier à la procédure de sanction. L'absence de réponse constitue en elle-même une infraction à l'article 12 du RGPD. Pour cette raison, même lorsque l'entreprise est encore en train de rassembler des informations en interne, il est recommandé d'envoyer un accusé de réception à la personne concernée confirmant que la demande a été reçue et qu'elle est traitée dans le délai légal.