Demandes d'accès RGPD (DSAR) : comment y répondre (2026)

Une demande d'accès (Data Subject Access Request, ou DSAR) est une demande formelle présentée au titre de l'article 15 du règlement (UE) 2016/679 (le RGPD), par laquelle une personne demande à une organisation de confirmer si elle détient des données à caractère personnel la concernant et, le cas échéant, de lui en fournir une copie. Les organisations soumises au RGPD doivent répondre dans un délai d'un mois calendaire à compter de la réception de la demande, gratuitement, sous une forme concise et intelligible.
Pour une présentation générale du règlement, voir qu'est-ce que le RGPD. Pour l'ensemble des droits dont disposent les personnes concernées, y compris le droit à l'effacement et le droit d'opposition, voir les droits des personnes concernées RGPD.
Qu'est-ce qu'une DSAR et qui peut en formuler une ?
Une DSAR est toute communication, sous quelque forme que ce soit, par laquelle une personne physique exerce le droit d'accès prévu à l'article 15. Le demandeur n'a pas besoin de citer l'article 15 ni de remplir un formulaire fourni par l'organisation. « Quelles informations détenez-vous à mon sujet ? » constitue une DSAR valide.
Ce droit appartient exclusivement aux personnes physiques : les personnes vivantes dont les données à caractère personnel sont traitées. Les sociétés et autres entités juridiques ne peuvent pas formuler de DSAR. Les personnes décédées sont généralement exclues du champ d'application du RGPD, bien que plusieurs États membres de l'UE accordent des droits d'accès aux représentants successoraux ou aux proches.
Une demande peut être formulée directement ou par l'intermédiaire d'un représentant autorisé, tel qu'un avocat ou un parent agissant pour un enfant de moins de 16 ans. Lorsqu'une demande parvient par l'intermédiaire d'un représentant, le responsable du traitement doit vérifier l'habilitation de ce dernier avant de divulguer les données, mais cette vérification ne prolonge pas le délai d'un mois.
Les demandes peuvent être formulées verbalement ou par écrit, par courriel, par courrier postal ou par tout autre moyen. L'article 12, paragraphe 1, exige des réponses en langage clair et simple ; le considérant 59 encourage les responsables du traitement à faciliter la formulation des demandes, y compris par voie électronique. Les portails en ligne ou les adresses électroniques dédiées constituent une bonne pratique, mais ne sont pas juridiquement obligatoires.
Ce droit s'applique à toutes les données à caractère personnel qu'un responsable du traitement traite au sujet de la personne concernée, quel qu'en soit le format (électronique ou papier, structuré ou non, actuel ou archivé), sous réserve des exceptions examinées ci-dessous.
Portée juridictionnelle
Cet article traite du droit d'accès au titre du RGPD de l'UE et des orientations du CEPD. Il s'applique aux organisations établies dans l'UE/EEE et aux organisations non européennes qui ciblent des biens ou services destinés à des personnes situées dans l'UE/EEE ou qui surveillent leur comportement (article 3, paragraphe 2). Le UK GDPR est matériellement identique ; les différences sont signalées tout au long de l'article. Les régimes canadien, américain et les autres régimes nationaux équivalents ne sont pas couverts.
Quelles informations une organisation doit-elle fournir ?
L'article 15, paragraphes 1 et 3, exige deux éléments distincts : la confirmation qu'un traitement a lieu (ou qu'aucune donnée n'est détenue), et une copie des données à caractère personnel assortie d'informations complémentaires prescrites.
La copie des données à caractère personnel
L'article 15, paragraphe 3, exige « une copie des données à caractère personnel faisant l'objet d'un traitement » : les données elles-mêmes, et non une description. Si un responsable du traitement détient un échange de courriels, un dossier de compte, un enregistrement d'appel, un extrait de vidéosurveillance ou une demande de crédit contenant des données à caractère personnel du demandeur, celui-ci a droit à une copie, sauf exception applicable.
Les lignes directrices 01/2022 du CEPD sur le droit d'accès (version 2.1, adoptée le 28 mars 2023) confirment que « copie » signifie une reproduction fidèle, et non un résumé ni un export de portabilité des données. Le droit à une copie prévu à l'article 15 et le droit à la portabilité des données prévu à l'article 20 sont distincts : la portabilité ne s'applique que lorsque la base légale est le consentement ou le contrat, et que le traitement est automatisé.
Lorsque le responsable du traitement traite de grands volumes de données, le considérant 63 prévoit que le responsable du traitement « devrait pouvoir demander que, avant que les informations lui soient communiquées, la personne concernée précise les informations ou les activités de traitement auxquelles sa demande se rapporte ». Il s'agit d'un outil de gestion pratique, et non d'un droit de refuser ou d'exiger une réduction de la demande comme condition pour y répondre.
Les informations complémentaires exigées par l'article 15, paragraphe 1
| Disposition de l'article 15, § 1 | Ce que le responsable du traitement doit expliquer |
|---|---|
| a) Finalités du traitement | Pourquoi l'organisation détient les données, pour chaque finalité précise |
| b) Catégories de données à caractère personnel | Les types de données détenues : coordonnées, données financières, de santé, de localisation, etc. |
| c) Destinataires ou catégories de destinataires | Chaque tiers auquel les données ont été ou seront communiquées ; pour les destinataires situés dans des pays tiers, les garanties de l'article 46 doivent également être précisées |
| d) Durée de conservation envisagée | La durée précise ou les critères utilisés pour la déterminer |
| e) Droits de rectification, d'effacement, de limitation et d'opposition | Informations sur les droits de la personne concernée au titre des articles 16, 17, 18 et 21 |
| f) Droit d'introduire une réclamation | Nom et coordonnées de l'autorité nationale de protection des données compétente |
| g) Source des données | Lorsque les données n'ont pas été collectées directement auprès de la personne concernée, la source dont elles proviennent |
| h) Prise de décision automatisée et profilage | Lorsque l'article 22 s'applique, des informations utiles sur la logique, l'importance et les conséquences envisagées |
Le point g) (la source des données provenant de tiers) figure parmi les manquements les plus fréquemment relevés dans les décisions de sanction. Si le responsable du traitement a acheté une liste marketing ou obtenu des données auprès d'un courtier, il doit en divulguer la source.
Pour les transferts vers des pays tiers, le point c) exige la divulgation de la garantie spécifique employée : clauses contractuelles types, décision d'adéquation, règles d'entreprise contraignantes, ou autre mécanisme de l'article 46.
Combien de temps une organisation a-t-elle pour répondre ?
L'article 12, paragraphe 3, exige une réponse dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande. « Réception » signifie le jour où la demande parvient à l'organisation, et non le jour où un employé la lit.
La prolongation de deux mois
L'article 12, paragraphe 3, permet une prolongation de deux mois lorsque la demande est complexe ou que le responsable du traitement a reçu un nombre important de demandes simultanément. La complexité désigne des demandes nécessitant un effort substantiel à travers plusieurs systèmes ou soulevant des questions difficiles de portée ou d'exception, et non simplement le fait que le responsable du traitement détient un volume important de données.
L'avis de prolongation doit parvenir à la personne concernée avant l'expiration du délai initial d'un mois ; un avis envoyé au cours du deuxième mois est invalide. L'avis doit préciser le motif spécifique ; un avis type invoquant la « complexité » sans détail ne satisfait pas aux lignes directrices 01/2022 du CEPD.
| Situation | Délai |
|---|---|
| Demande standard | 1 mois à compter de la réception |
| Demande complexe ou demandes nombreuses | 3 mois à compter de la réception, sous réserve d'un avis de prolongation envoyé dans le premier mois |
| Refus de la demande par le responsable du traitement | Notification à la personne concernée dans un délai d'un mois, avec motifs et voies de recours, au titre de l'article 12, paragraphe 4 |
Le point de départ du délai
Le délai commence à courir à la réception, et non à la vérification d'identité. Lorsque le responsable du traitement ne peut identifier la personne concernée sans informations supplémentaires, il peut demander le minimum nécessaire à cette identification ; le délai est alors effectivement suspendu pendant cette période. Les responsables du traitement ne peuvent pas exiger systématiquement une pièce d'identité officielle avec photo de chaque demandeur comme tactique dilatoire.
Comment la réponse doit-elle être communiquée ?
L'article 12, paragraphe 3, exige que les informations soient fournies par écrit ou par d'autres moyens, y compris des moyens électroniques le cas échéant. L'article 15, paragraphe 3, ajoute que, lorsque la demande est formulée par voie électronique, la réponse doit être fournie sous une forme électronique d'usage courant, sauf demande contraire de la personne concernée. Le PDF, Word, Excel ou un portail sécurisé conviennent tous. Un format propriétaire nécessitant un logiciel spécialisé peu accessible au demandeur ne convient pas.
La réponse doit satisfaire aux normes de l'article 12, paragraphe 1 : concise, transparente, intelligible, et rédigée en des termes clairs et simples. Un déversement brut de champs de base de données sans explication de leur signification serait vraisemblablement insuffisant au regard de l'exigence d'intelligibilité selon les orientations du CEPD, même s'il contient toutes les données requises.
Lorsque les données comprennent des catégories particulières au sens de l'article 9 (dossiers de santé, origine raciale ou ethnique, données biométriques), leur envoi par courriel non chiffré ou via un portail dont les contrôles d'accès sont inadéquats constitue à la fois une violation de données à caractère personnel et une réponse à la DSAR non conforme. Les responsables du traitement devraient utiliser une transmission chiffrée pour toute réponse contenant des données visées à l'article 9.
Vérification d'identité : ce que les responsables du traitement peuvent et ne peuvent pas exiger
Le considérant 64 précise que les responsables du traitement devraient utiliser « tous les moyens raisonnables pour vérifier l'identité d'une personne concernée demandant l'accès ». La vérification est autorisée, mais elle doit être proportionnée ; les responsables du traitement ne peuvent pas exiger plus d'informations que nécessaire.
Si le responsable du traitement détient déjà l'adresse électronique de la personne concernée et que la demande provient de cette adresse, exiger une pièce d'identité officielle avec photo est disproportionné. Si une personne contacte pour la première fois une organisation par courrier postal en affirmant être cliente, demander des informations de compte pour confirmer son identité est raisonnable.
Les responsables du traitement ne devraient pas :
- Exiger systématiquement des copies certifiées de passeport ou de permis de conduire lorsque la demande provient de l'adresse électronique enregistrée d'un client existant.
- Exiger une vérification en personne, sauf si une erreur de divulgation causerait un préjudice grave.
- Utiliser la vérification comme prétexte pour repousser les réponses au-delà du délai d'un mois.
Refuser une DSAR ou facturer des frais
Le seuil de la demande « manifestement infondée ou excessive »
L'article 12, paragraphe 5, constitue le seul fondement permettant de facturer des frais ou de refuser d'agir : la demande doit être « manifestement infondée ou excessive, notamment en raison de son caractère répétitif ». La répétition est un indice, non une condition suffisante. Un demandeur qui soumet une deuxième DSAR six mois après la première (parce qu'un nouveau traitement a eu lieu ou que la première réponse était déficiente) ne formule pas une demande répétitive au sens de l'article 12, paragraphe 5.
La charge de la preuve incombe au responsable du traitement. L'article 12, paragraphe 5, dispose expressément : « il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande ». Les autorités de contrôle ont sanctionné à plusieurs reprises des organisations ayant refusé des DSAR pour des motifs vagues d'« excès ».
Lorsque le seuil est atteint, le responsable du traitement dispose de deux options : facturer des frais raisonnables reflétant les coûts administratifs, ou refuser d'agir. En cas de refus, la procédure de l'article 12, paragraphe 4, s'applique : notifier la personne concernée dans un délai d'un mois, expliquer le motif, et l'informer de son droit d'introduire une réclamation auprès d'une autorité de contrôle et de former un recours juridictionnel.
Frais pour copies supplémentaires
L'article 15, paragraphe 3, permet séparément de facturer des frais pour « toute copie supplémentaire demandée par la personne concernée », c'est-à-dire des copies additionnelles de données déjà divulguées, et non de nouvelles DSAR portant sur des données nouvellement traitées. Cette disposition est étroite et rarement applicable.
Exceptions : quand des données à caractère personnel peuvent-elles être retenues ?
L'article 23 permet aux États membres de l'UE de restreindre le droit d'accès dans des circonstances définies. Les règles nationales de mise en œuvre varient considérablement.
Catégories d'exceptions courantes :
Prévention, enquêtes et poursuites relatives aux infractions pénales. La plupart des États membres autorisent les autorités répressives et de réglementation à retenir des données lorsque leur divulgation porterait préjudice à une enquête.
Sécurité nationale et renseignement. Prévue de manière standard dans les législations nationales de mise en œuvre.
Secret professionnel de l'avocat. Les communications entre un client et son avocat, ou les travaux préparatoires à une procédure judiciaire, peuvent être retenus lorsque le droit national préserve cette exception.
Informations commerciales confidentielles et secrets d'affaires. Une restriction peut s'appliquer uniquement dans la mesure strictement nécessaire pour protéger des informations propres à l'organisation, et non celles de la personne concernée.
Emploi et négociations. Plusieurs États membres autorisent la rétention d'informations lorsque la divulgation révélerait la stratégie de gestion ou de négociation de l'employeur.
Les exceptions limitent les données divulguées, et non l'obligation de répondre. Même lorsqu'une exception s'applique à une partie des données, l'organisation doit répondre dans le délai, confirmer qu'elle détient des données, divulguer tout ce qui n'est pas exempté, et informer la personne concernée que certaines données ont été retenues, ainsi que le motif.
Exceptions applicables au Royaume-Uni
Le UK GDPR intègre un régime d'exceptions plus large par les annexes 2 à 4 et la partie 4 du Data Protection Act 2018, y compris une exception relative aux prévisions et à la planification de gestion lorsque la divulgation nuirait à la conduite de l'activité.
Données de tiers : l'occultation, pas le refus
Lorsque les données détenues au sujet du demandeur comprennent également des données à caractère personnel relatives à d'autres personnes (situation courante dans les litiges du travail, les réclamations de consommateurs et les dossiers de santé), l'approche correcte au titre de l'article 15 et des lignes directrices 01/2022 du CEPD consiste en une occultation ciblée, et non en un refus global.
Le responsable du traitement doit fournir les données à caractère personnel propres au demandeur tout en occultant les données de tiers dont la divulgation porterait atteinte à leurs droits. Facteurs à prendre en compte :
- Le tiers a-t-il consenti à la divulgation ?
- Le demandeur connaît-il déjà l'identité du tiers (si le tiers est le supérieur hiérarchique du demandeur, nommé dans une évaluation de performance, son nom n'est pas protégé contre la divulgation dans ce document) ?
- Est-il raisonnable, compte tenu de toutes les circonstances, de fournir l'information sans le consentement du tiers ?
- Les informations relatives au tiers sont-elles à ce point imbriquées avec celles du demandeur qu'une occultation effective est impossible ?
Les autorités de contrôle ont constamment rejeté le recours à la protection des données de tiers comme justification systématique du refus de communiquer des documents entiers lorsqu'une occultation ciblée est possible.
Erreurs courantes dans les réponses aux DSAR
Manquer le délai sans prolongation valide. Les organisations qui traitent le délai d'un mois comme un simple objectif plutôt qu'une obligation légale s'exposent à des sanctions et à des mises en demeure.
Fournir des réponses incomplètes. Ignorer les systèmes archivés ou de sauvegarde, les fichiers hors ligne, ou les données détenues par des sous-traitants constitue un manquement récurrent. La réponse doit couvrir toutes les données à caractère personnel détenues par le responsable du traitement, quel qu'en soit le format.
Exiger une identification excessive. Exiger une pièce d'identité officielle avec photo auprès de clients existants via des canaux connus retarde les réponses et peut lui-même constituer une infraction au RGPD.
Omettre d'identifier la source de données provenant de tiers. Le point g) de l'article 15, paragraphe 1, est systématiquement omis. Lorsque les données proviennent d'un courtier, d'un partenaire d'apport d'affaires ou d'une source publique, cela doit être divulgué.
Occulter les données propres au demandeur. Un responsable du traitement ne peut pas occulter les données à caractère personnel du demandeur dans sa réponse à la DSAR au motif qu'elles apparaissent également aux côtés de données de tiers.
Refuser pour motif « manifestement infondé » sans preuve. Refuser parce que la demande est gênante, s'inscrit dans un litige, ou nécessite un travail important ne satisfait pas au seuil de l'article 12, paragraphe 5.
Envoyer des données sensibles non chiffrées. Transmettre des données visées à l'article 9 par courriel non chiffré combine un manquement à la DSAR et une violation de données à caractère personnel.
Ignorer les demandes verbales. L'article 12, paragraphe 1, autorise les demandes verbales. Les organisations qui n'acceptent les DSAR que par écrit ou via un formulaire en ligne risquent de manquer des demandes légitimes ; le personnel de première ligne doit être formé pour les reconnaître et les transmettre.
Méthode de réponse aux DSAR, étape par étape
Étape 1 : reconnaître la demande. Former l'ensemble du personnel en contact avec les clients, les salariés ou le public à reconnaître les DSAR quels que soient les termes employés. Consigner immédiatement la date de réception.
Étape 2 : identifier la personne concernée. Confirmer si la personne peut être identifiée à partir des informations fournies. Sinon, demander le minimum d'informations supplémentaires nécessaires. Documenter la raison de cette demande.
Étape 3 : déclencher le délai. Enregistrer la date de réception. Fixer un délai interne de 28 jours pour laisser du temps de préparation avant le délai légal impératif d'un mois.
Étape 4 : rechercher dans tous les systèmes. Fouiller l'ensemble des bases de données, archives de courriels, dossiers papier, et registres détenus par des sous-traitants pour le compte de l'organisation. La recherche doit être exhaustive.
Étape 5 : évaluer les exceptions et les données de tiers. Examiner les données localisées au regard des exceptions nationales applicables de l'article 23. Pour les dossiers contenant également des données de tiers, déterminer si une occultation ciblée est possible.
Étape 6 : envisager une prolongation. Si la demande est réellement complexe ou si plusieurs demandes simultanées ont été reçues, documenter la décision de prolongation et envoyer l'avis de prolongation avant l'expiration du délai d'un mois.
Étape 7 : préparer la réponse. Rassembler la copie des données ainsi que l'ensemble des informations complémentaires prévues à l'article 15, paragraphe 1, points a) à h). Utiliser un format électronique d'usage courant si la demande a été formulée par voie électronique.
Étape 8 : transmettre en toute sécurité. Utiliser une transmission chiffrée pour les données visées à l'article 9. Consigner ce qui a été envoyé, à quelle date, et sous quel format.
Étape 9 : documenter le processus. Au titre du principe de responsabilité de l'article 5, paragraphe 2, tenir un registre des DSAR : date de réception, étapes de vérification d'identité, méthodologie de recherche, données divulguées, exceptions appliquées, avis de prolongation (le cas échéant), et date d'émission de la réponse.
Étape 10 : traiter les demandes de suivi. Traiter toute demande ultérieure relative à l'exhaustivité de la réponse, ou toute demande relative à de nouvelles données générées, selon ses propres mérites.
L'équivalent britannique : les demandes d'accès au titre du UK GDPR
Après le Brexit, le Royaume-Uni a conservé le RGPD sous la forme du « UK GDPR » par le biais de l'European Union (Withdrawal) Act 2018, complété par le Data Protection Act 2018. Le délai d'un mois, l'étendue des informations à fournir, les règles de frais et les motifs de refus sont tous préservés dans le texte britannique.
Principales différences :
- L'application est assurée par l'ICO, et non par une autorité de contrôle de l'UE. Les transferts post-Brexit de l'UE vers le Royaume-Uni nécessitent une décision d'adéquation (adoptée par la Commission européenne le 28 juin 2021) ou une garantie appropriée.
- Les annexes 2 à 4 du Data Protection Act 2018 contiennent des exceptions supplémentaires propres au Royaume-Uni : prévisions de gestion, négociations, et exceptions élargies relatives aux autorités répressives.
- Les organisations opérant à la fois dans l'UE et au Royaume-Uni peuvent être soumises à des obligations concurrentes : une DSAR provenant d'un résident de l'UE relève du RGPD de l'UE ; une DSAR provenant d'un résident britannique relève du UK GDPR.
Pour des orientations détaillées de l'ICO, voir ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/.
Les DSAR dans le contexte de l'emploi
La relation de travail génère davantage de DSAR que presque toute autre relation, en particulier lorsque l'emploi prend fin ou vient de prendre fin.
Le contentieux ne crée pas d'exception. Une procédure prud'homale menacée ou en cours ne rend pas une DSAR manifestement infondée ou excessive. Les autorités de contrôle et l'ICO l'ont constamment confirmé. Refuser une DSAR liée à l'emploi au motif qu'un contentieux est anticipé générera presque certainement une plainte supplémentaire.
La confidentialité commerciale est d'interprétation stricte. La documentation de gestion de la performance, les notes disciplinaires et les comptes rendus de réunion contiennent les données à caractère personnel propres au salarié et doivent être divulgués. Le responsable du traitement peut occulter les opinions relatives à d'autres salariés, mais ne peut pas occulter les données propres au demandeur.
Le secret professionnel de l'avocat ne s'applique qu'à des documents spécifiques. Lorsqu'un avocat spécialisé en droit du travail a conseillé l'organisation en prévision d'un contentieux, ces communications privilégiées peuvent être retenues. Seuls ces documents spécifiques sont couverts, et non l'ensemble des catégories du dossier RH.
Les références et les notes d'entretien sont des données à caractère personnel. Les références concernant un salarié et les grilles d'évaluation d'entretien constituent des données à caractère personnel du salarié et doivent généralement être divulguées, sous réserve uniquement d'une occultation ciblée des informations relatives à d'autres personnes.
Les DSAR et la prise de décision automatisée
Lorsque le responsable du traitement recourt à une prise de décision automatisée ou à un profilage produisant des effets juridiques ou des effets similaires significatifs, l'article 15, paragraphe 1, point h), exige que la réponse à la DSAR inclue « des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ».
Les lignes directrices 06/2022 du CEPD sur la prise de décision automatisée précisent que des « informations utiles concernant la logique » n'exigent pas la divulgation de l'algorithme complet ni du code source, mais doivent aller au-delà d'une description vague. La personne concernée a le droit de comprendre : quelles données ont été utilisées en entrée ; ce que l'algorithme en fait ; quel a été le résultat dans son cas spécifique ; et quelles conséquences ce résultat entraîne.
Cela s'applique dans les domaines du scoring de crédit, de la tarification des assurances, de la présélection de recrutement et de la modération de contenu. Un refus de crédit déclenché par une évaluation automatisée sans explication utile du modèle viole à la fois l'article 15, paragraphe 1, point h), et le droit à un réexamen humain de l'article 22, paragraphe 3.
Sanctions relatives aux DSAR : ce que les régulateurs ont fait
Thèmes récurrents de sanction parmi les autorités de contrôle membres du CEPD :
Services financiers. Des banques et des assureurs ont été sanctionnés pour des réponses incomplètes, notamment pour ne pas avoir divulgué des données détenues dans des systèmes hérités ou par des sous-traitants.
Secteur de la santé. Des hôpitaux et des assureurs de santé ont été sanctionnés pour des délais dépassés et pour avoir refusé de divulguer des dossiers en raison de données cliniques de tiers qui auraient pu être occultées.
Entreprises technologiques. De grandes plateformes ont fait l'objet d'un examen approfondi pour des réponses fournies dans des formats propriétaires non lisibles par machine, empêchant les personnes concernées de comprendre leurs propres données.
Employeurs. Les employeurs qui refusent des DSAR pour des motifs de « contentieux » ou d'« excès » sans preuve font systématiquement l'objet de constats défavorables.
Le CEPD publie un registre central des sanctions à l'adresse edpb.europa.eu/about-edpb/who-we-are/members_en, ainsi que sur les sites web de chaque autorité nationale.
Comment le droit d'accès s'articule avec les autres droits RGPD
Le droit d'accès précède généralement l'exercice des autres droits. Une personne concernée qui ne sait pas encore quelles données sont détenues soumet souvent d'abord une DSAR, puis utilise les informations divulguées pour décider si elle souhaite demander une rectification au titre de l'article 16, un effacement au titre de l'article 17 (voir le droit à l'oubli RGPD), une limitation au titre de l'article 18, ou une opposition au titre de l'article 21.
Le droit d'accès est distinct du droit à la portabilité des données au titre de l'article 20. La portabilité ne s'applique que lorsque la base légale est le consentement ou le contrat, et que le traitement est automatisé ; elle exige que les données soient fournies dans un format structuré et lisible par machine. Le droit à une copie de l'article 15 s'applique indépendamment de la base légale, mais comporte une exigence de format moins contraignante.
Une DSAR n'est pas non plus une demande d'accès à l'information de type « liberté d'information ». Les lois de liberté d'information et équivalentes confèrent des droits d'accès aux informations détenues par des autorités publiques concernant leurs fonctions publiques. Une DSAR confère des droits sur les données à caractère personnel concernant la personne spécifique qui formule la demande. Les deux droits peuvent coexister lorsqu'une personne concernée s'adresse à une autorité publique, et de nombreux organismes du secteur public traitent ces demandes en parallèle.
Avertissement : Cet article fournit des informations juridiques générales sur le droit d'accès prévu par le RGPD (article 15) et les demandes d'accès. Il ne constitue pas un conseil juridique et ne remplace pas les conseils d'un avocat qualifié inscrit au barreau compétent. Le droit du RGPD et son interprétation par les autorités de contrôle et les juridictions évoluent en permanence ; les informations de cet article ont été vérifiées à jour au mois de juin 2026. Si vous êtes responsable de la conformité aux DSAR au sein d'une organisation, ou si vous cherchez à exercer vos droits en tant que personne concernée, consultez un professionnel de la protection des données ou un avocat qualifié dans l'État membre de l'UE ou la juridiction britannique compétente.
Frequently Asked Questions
Combien de temps a-t-on pour répondre à une DSAR ?
L'article 12, paragraphe 3, exige une réponse dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande. Une prolongation pouvant aller jusqu'à deux mois supplémentaires est autorisée lorsque la demande est complexe ou que des demandes nombreuses ont été reçues simultanément, à condition que le responsable du traitement notifie la personne concernée avant l'expiration du délai initial d'un mois. Le non-respect du délai d'un mois sans prolongation valide constitue une violation du RGPD.
Peut-on facturer une demande d'accès ?
Non, en règle générale. La seule exception prévue à l'article 12, paragraphe 5, concerne les demandes manifestement infondées ou excessives, auquel cas le responsable du traitement peut facturer des frais raisonnables fondés sur les coûts administratifs, ou refuser la demande. La charge de prouver que la demande atteint ce seuil incombe au responsable du traitement. L'article 15, paragraphe 3, permet séparément de facturer des frais pour des copies supplémentaires de données déjà divulguées, mais pas pour de nouvelles demandes de DSAR.
Peut-on refuser une DSAR ?
Oui, dans des circonstances limitées. L'article 12, paragraphe 5, ne permet le refus que lorsque la demande est manifestement infondée ou excessive ; la charge de la preuve incombe au responsable du traitement. L'article 23 permet aux États membres de l'UE de restreindre le droit d'accès pour des motifs de sécurité nationale, d'enquête pénale ou de secret professionnel. En cas de refus, le responsable du traitement doit notifier la personne concernée dans un délai d'un mois, exposer les motifs, et expliquer comment introduire une réclamation auprès d'une autorité de contrôle et former un recours juridictionnel.
Quelle est la différence entre une DSAR et le droit à l'oubli ?
Une DSAR au titre de l'article 15 est une demande visant à obtenir une copie de données à caractère personnel et à comprendre comment elles sont traitées. Le droit à l'oubli (droit à l'effacement) au titre de l'article 17 est une demande de suppression dans l'une des six circonstances définies. Il s'agit de droits distincts, avec des fondements et des procédures distincts. En pratique, de nombreuses personnes soumettent une DSAR pour comprendre ce qui existe avant de décider de demander un effacement. Voir [le droit à l'oubli RGPD](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/gdpr-right-to-be-forgotten/) pour plus de détails.
Une DSAR doit-elle être formulée par écrit ?
Non. L'article 12, paragraphe 1, prévoit que les informations peuvent être fournies verbalement à la demande de la personne concernée, et les demandes verbales sont valides. Les organisations qui n'acceptent les DSAR que par un formulaire écrit officiel ou un portail en ligne risquent de manquer des demandes verbales formulées par téléphone ou en personne. Le personnel de première ligne devrait être formé pour reconnaître et transmettre les DSAR verbales.
Que se passe-t-il si une organisation ne répond pas à une DSAR ?
Le non-respect du délai applicable constitue une violation de l'article 12, paragraphe 3. La personne concernée peut introduire une réclamation auprès de l'autorité de contrôle compétente de son État membre de l'UE. Les autorités de contrôle peuvent imposer des amendes au titre de l'article 83 ; les amendes RGPD pour violation des articles 12 ou 15 peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
Une DSAR couvre-t-elle les données détenues par les sous-traitants de l'organisation ?
Oui. Le responsable du traitement est responsable de toutes les données à caractère personnel qu'il traite, y compris celles traitées pour son compte par des sous-traitants tiers tels que des fournisseurs de cloud, des services de paie ou des plateformes marketing. Le responsable du traitement doit demander aux sous-traitants d'assister les recherches liées aux DSAR dans le cadre des contrats de sous-traitance exigés par l'article 28. La personne concernée soumet la DSAR au responsable du traitement ; celui-ci est responsable de récupérer les données auprès des sous-traitants et de les inclure dans la réponse.
Un employeur peut-il refuser une DSAR liée à l'emploi en raison d'un contentieux en cours ?
Non. Le fait d'être impliqué dans une procédure prud'homale ne rend pas une DSAR manifestement infondée ou excessive au sens de l'article 12, paragraphe 5. Les autorités de contrôle et l'ICO l'ont constamment confirmé. Le secret professionnel de l'avocat peut s'appliquer à des communications privilégiées spécifiques, mais il ne justifie pas de refuser ou de retarder la DSAR dans son ensemble.
Sous quel format une réponse à une DSAR doit-elle être fournie ?
L'article 15, paragraphe 3, exige que, lorsqu'une demande est formulée par voie électronique, la réponse soit fournie sous une forme électronique d'usage courant, sauf demande contraire de la personne concernée. Le PDF, Word, Excel et l'accès à un portail sécurisé sont tous acceptables. La réponse doit également satisfaire aux normes de l'article 12, paragraphe 1 : concise, transparente, intelligible, et rédigée en des termes clairs et simples.
Existe-t-il une obligation de DSAR au titre du RGPD pour les organisations situées hors de l'UE ?
Oui, pour les organisations visées par l'article 3, paragraphe 2. Le RGPD s'applique aux organisations non européennes qui offrent des biens ou des services à des personnes situées dans l'UE/EEE ou qui surveillent leur comportement. Une entreprise américaine vendant à des clients de l'UE, ou une entreprise mondiale dont l'application suit la localisation d'utilisateurs de l'UE, doit répondre aux DSAR de ces personnes. Ces organisations doivent également désigner un représentant dans l'UE au titre de l'article 27, sauf exception applicable.
Sources and References
- Règlement (UE) 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données), article 15 (droit d'accès de la personne concernée)(eur-lex.europa.eu).gov
- Règlement (UE) 2016/679, article 12 (transparence des informations, communications et modalités de l'exercice des droits de la personne concernée)(eur-lex.europa.eu).gov
- Règlement (UE) 2016/679, considérant 63 (droit d'accès aux données à caractère personnel)(eur-lex.europa.eu).gov
- Règlement (UE) 2016/679, considérant 64 (vérification d'identité pour les demandes d'accès)(eur-lex.europa.eu).gov
- Comité européen de la protection des données, lignes directrices 01/2022 sur les droits des personnes concernées, droit d'accès, version 2.1, adoptée le 28 mars 2023(edpb.europa.eu).gov
- Comité européen de la protection des données, lignes directrices 06/2022 sur l'application de l'article 65, paragraphe 1, point a), du RGPD (prise de décision individuelle automatisée et profilage)(edpb.europa.eu).gov
- Information Commissioner's Office (Royaume-Uni), orientations sur le droit d'accès au titre du UK GDPR(ico.org.uk).gov
- Commission irlandaise de protection des données, droit d'accès à l'information au titre de l'article 15 du RGPD(dataprotection.ie).gov
- Commission européenne, décision d'adéquation pour le Royaume-Uni, 28 juin 2021(ec.europa.eu).gov
- European Union (Withdrawal) Act 2018 (Royaume-Uni) et Data Protection Act 2018, annexe 2 (exceptions au droit d'accès)(legislation.gov.uk).gov