Le droit d'accès : connaître les données qu’un organisme détient sur vous
Vous pouvez demander à un organisme s'il détient des données sur vous (site web, magasin, banque...) et demander à ce que l’on vous les communique pour en vérifier le contenu.

À quoi cela sert-il ?
L'exercice du droit d’accès permet de savoir si vos données personnelles sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.
L’organisme auprès duquel vous demandez votre « droit d’accès » devra vous faire parvenir une copie des données qu’il détient sur vous et vous fournir un certain nombre d'informations sur :
- les objectifs d’utilisation de vos données (à quoi vont servir vos données) ;
- les catégories de données collectées (par ex. : nom, prénom, adresse, etc.) ;
- l'identité des organismes ou personnes qui ont pu accéder à vos données. Si l’organisme ne peut pas avoir accès à cette information, il doit au moins vous lister les types d’organismes ou personnes qui ont pu accéder à vos données (revendeur de données, autre site web, etc.) ;
- la durée de conservation de vos données ou les critères qui déterminent cette durée ;
- vos autres droits (droit de rectification, d’effacement, de limitation, d’opposition) ;
- la possibilité d’adresser une plainte à la CNIL ;
- toute information relative à la source spécifique des données collectées (c’est-à-dire d’où proviennent vos données) si celles-ci n’ont pas été récoltées directement auprès de vous ;
- l'existence d'une prise de décision automatisée (y compris en cas de profilage), le fonctionnement de celle-ci, l’importance et les conséquences pour vous d’une telle décision. Les informations fournies doivent être suffisamment complètes pour que vous compreniez les raisons de la décision ;
- l’éventuel transfert de vos données vers un pays en dehors de l’Union européenne ou vers une organisation internationale.
Ces situations qui concernent l’exercice du droit d’accès
Comment faire concrètement ?
-
Identifier l’organisme à contacter
Vous pouvez retrouver les coordonnées de l’organisme sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique confidentialité », « vie privée », « mention légales », etc). Si vous rencontrez des difficultés pour obtenir les coordonnées du délégué à la protection des données ou de l’organisme, consultez notre fiche pratique.
-
Exercer votre droit d’accès auprès de l’organisme
Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.), ou par courrier par exemple.
Si votre demande est formulée par voie électronique, l’organisme vous répondra par voie électronique, sauf si vous demandez à ce qu’il en soit fait autrement (par exemple par courrier postal).
Vous pouvez utiliser ce modèle de courrier pour lui demander de vous faire parvenir une copie de l'ensemble des données qu'il possède sur vous, en langage clair.
Si l’organisme a des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas vous demander des pièces justificatives qui seraient disproportionnées par rapport à votre demande.
L’exercice de ce droit est gratuit. Des frais raisonnables liés au traitement de votre dossier pourront vous être demandés, par exemple en cas de demande d’une copie supplémentaire.
-
Conserver une copie de vos démarches
Cette étape est primordiale si vous souhaitez saisir la CNIL en cas de réponse insatisfaisante ou d’absence de réponse de la part de l’organisme. Réalisez une capture d’écran de votre demande ou de la réponse :
- à l’aide de la touche « impr. écran » en haut à droit de votre clavier (PC)
- ou grâce au raccourci clavier cmd + MAJUSCULE + 4 si vous disposez d’un Mac.
Vous exercez cette démarche par courrier ? Demandez un accusé réception qui prouvera la date de votre démarche.
De même, n’oubliez pas de conserver une copie du courriel ou de votre demande formulée par voie électronique.
Que faire en cas de refus ou d'absence de réponse ?
L’organisme doit vous répondre dans les meilleurs délais et au plus tard dans un délai d’un mois. Ce délai peut être porté à trois mois selon la complexité de la demande ou le nombre de demandes reçues par l’organisme. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation dans ce même délai d’un mois.
Si l’organisme ne vous répond pas dans le délai d’un mois ou refuse de faire droit à votre demande, vous pouvez adresser une plainte auprès de la CNIL avec les éléments attestant de vos démarches préalables. Pendant ce délai, vous pouvez demander la limitation du traitement, c’est-à-dire le « gel » de l’utilisation de vos données.
Que faire en cas de réponse incomplète ?
Si la réponse apportée par l’organisme à votre demande d’accès vous paraît incomplète, vous pouvez adresser une plainte à la CNIL afin qu’elle intervienne à l’appui de votre demande.
Toutefois, il vous est recommandé, avant de saisir la CNIL, de demander préalablement à l’organisme de compléter sa réponse avec les données que vous considérez comme manquantes. En cas d’absence de réponse ou de réponse insatisfaisante, vous pourrez adresser une plainte auprès de la CNIL en joignant les justificatifs de vos démarches préalables.
Quelles sont les limites du droit d’accès ?
Certains fichiers sont particulièrement encadrés. Pour certains fichiers de police ou intéressant la sûreté de l'État, la loi n’autorise pas un particulier à accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNIL. Si l’organisme estime que votre demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».
Le droit d’accès ne doit pas porter atteinte au droit des tiers :
- Seules vos données peuvent être communiquées au titre du droit d’accès. Par exemple, il n’est pas possible de demander l’accès aux données de son conjoint ou obtenir copie d’images non floutées où apparaissent d’autres personnes;
- Le droit d’accès ne peut porter atteinte au secret des affaires ou à la propriété intellectuelle (droit d’auteur protégeant le logiciel par exemple).
En pratique, l’organisme pourra masquer l’identité de tiers ou des éléments permettant indirectement de les identifier dans sa réponse.