Le droit d'accès : connaître les données qu’un organisme détient sur vous

26 septembre 2023

Vous pouvez demander à un organisme s'il détient des données sur vous (site web, magasin, banque...) et demander à ce que l’on vous les communique pour en vérifier le contenu.

Qu'est-ce que le droit d'accès ?

À quoi cela sert-il ?

L'exercice du droit d’accès permet de savoir si vos données personnelles sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.

L’organisme auprès duquel vous demandez votre « droit d’accès » devra vous fournir une copie des données personnelles qu’il détient sur vous ainsi que les informations suivantes :

  • les objectifs d’utilisation de vos données (à quoi vont servir vos données) ;
  • les catégories de données collectées (par ex. : nom, prénom, adresse, etc.) ;
  • l’identité des destinataires auprès desquels vos données sont ou seront communiquées. L’organisme peut se limiter à indiquer les catégories de destinataires (revendeur de données, autre site web, etc.) si leur identification est impossible (en particulier si les destinataires ne sont pas encore connus) ou que la demande est infondée ou excessive ;
  • la durée de conservation de vos données ou les critères qui déterminent cette durée ;
  • l’existence de vos autres droits (droit de rectification, d’effacement, de limitation, d’opposition) ;
  • la possibilité d’adresser une plainte à la CNIL ;
  • toute information relative à la source spécifique des données collectées (c’est-à-dire d’où proviennent vos données) si celles-ci n’ont pas été récoltées directement auprès de vous ;
  • l'existence d'une prise de décision automatisée (y compris en cas de profilage), le fonctionnement de celle-ci, l’importance et les conséquences pour vous d’une telle décision. Les informations fournies doivent être suffisamment complètes pour que vous compreniez les raisons de la décision ;
  • l’éventuel transfert de vos données vers un pays en dehors de l’Union européenne ou vers une organisation internationale.

Ces situations qui concernent l’exercice du droit d’accès

Comment faire concrètement ?

  1. Identifier l’organisme à contacter

Identifiez l’organisme puis rendez vous sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique confidentialité », « politique vie privée », « mention légales », etc). Si vous rencontrez des difficultés pour obtenir les coordonnées du délégué à la protection des données ou du responsable, consultez notre fiche pratique

  1. Exercer votre droit d’accès auprès de l’organisme

Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.), ou par courrier par exemple. Si votre demande est formulée par voie électronique, le responsable de traitement vous répondra par voie électronique, à moins que vous ne précisiez que vous souhaitez obtenir une réponse par un autre moyen (ex. par papier). 

Si nécessaire, utilisez ce modèle de courrier pour lui demander de vous faire parvenir une copie - en langage clair - de l'ensemble des données qu'il possède sur vous. La CNIL propose un générateur de courrier qui vous aidera à formuler votre demande.

Si et seulement si, l’organisme a des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

L’accès à ce droit est gratuit. Dans certains cas, des frais raisonnables liés au traitement de votre dossier pourront vous être demandés, par exemple en cas de demande d’une copie supplémentaire.

  1. Conserver une copie de vos démarches

Cette étape est primordiale si vous souhaitez saisir la CNIL en cas de réponse insatisfaisante ou d’absence de réponse. Réalisez une capture d’écran de votre demande ou de la réponse

  • à l’aide de la touche « impr écran » en haut à droit de votre clavier (PC)
  • ou grâce au raccourci clavier cmd + MAJUSCULE + 4 si vous disposez d’un Mac.

Vous exercez cette démarche par courrier ? Demandez un accusé réception qui prouvera la date de votre démarche.  De même, n’oubliez pas de conserver une copie du courriel ou de votre demande formulée par voie électronique.

Que faire en cas de refus ou d'absence de réponse ?

L’organisme doit vous répondre dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation dans le délai d’un mois.

Si l’organisme ne répond pas dans le délai d’un mois après ou ne vous informe pas d’une prolongation de délai, vous pouvez adresser une plainte auprès de la CNIL avec les éléments attestant de vos démarches préalables. Pendant ce délai, vous pouvez demander « la limitation du traitement » c’est-à-dire le « gel » de l’utilisation de ces données.

Que faire en cas de réponse incomplète ?

Si la réponse apportée par l’organisme à votre demande d’accès vous parait incomplète, vous pouvez adresser une plainte à la CNIL afin qu’elle intervienne à l’appui de votre demande.

Toutefois, il vous est recommandé, avant de saisir la CNIL, de demander préalablement à l’organisme de compléter sa réponse avec les données que vous considérez comme manquantes. En cas d’absence de réponse ou de réponse insatisfaisante, vous pourrez adresser une plainte auprès de la CNIL en joignant les justificatifs de vos démarches préalables.

Quelles sont les limites du droit d’accès ?

Certains fichiers sont particulièrement encadrés : Pour certains fichiers de police ou intéressant la sûreté de l'État, la loi n’autorise pas un particulier à accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNILSi l’organisme estime que votre demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ». 

Les droits ou libertés d’autrui sont également des limites : l’exercice de votre droit d’accès ne doit pas porter atteinte :

  • au droit des tiers : seules vos données peuvent être communiquées au titre du droit d’accès,
  • à la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel,
  • au secret des affaires,
  • etc.