Les droits des personnes concernées RGPD expliqués : les huit droits (2026)

Au titre du chapitre III du règlement (UE) 2016/679, le RGPD accorde huit droits opposables aux personnes physiques au sein de l'Union européenne : le droit à l'information, le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d'opposition, et les droits liés à la prise de décision automatisée (articles 13 à 22). Les organisations doivent répondre à toute demande dans un délai d'un mois calendaire.
Le RGPD confère à chaque personne physique au sein de l'Union européenne des droits opposables sur ses propres données à caractère personnel. Ces droits figurent au chapitre III du règlement (UE) 2016/679 (articles 12 à 22). Ils couvrent l'intégralité du cycle de vie des données : depuis le moment où une organisation les collecte pour la première fois (le droit à l'information) jusqu'à leur accès, leur correction, leur suppression, leur transfert, et la contestation de leur utilisation.
Comprendre ces droits importe dans les deux sens. Les personnes concernées doivent savoir ce qu'elles peuvent exiger et comment l'exiger. Les organisations doivent savoir ce qu'elles sont tenues de faire, dans quels délais, et où se situent les exceptions.
Cet article explique en détail les huit droits, décrit le fonctionnement pratique des demandes d'accès (DSAR), présente les principaux arrêts de la CJUE qui ont façonné leur interprétation, et traite des évolutions récentes les plus significatives, notamment les rapports d'application coordonnée du CEPD et la proposition Digital Omnibus.
Pour le cadre réglementaire plus large, voir Qu'est-ce que le RGPD. Pour les étapes de mise en conformité, voir la liste de contrôle de conformité RGPD. Pour les règles détaillées relatives au consentement, voir les exigences de consentement RGPD.
Portée juridictionnelle : Cet article traite des droits des personnes concernées au titre du règlement (UE) 2016/679 (RGPD) de l'UE. Il ne couvre pas le UK GDPR (qui a divergé du RGPD de l'UE après le Brexit), ni les dérogations propres à certains États membres pouvant s'appliquer dans des secteurs particuliers. Pour les droits spécifiques au Royaume-Uni, consultez l'ICO.
Cet article fournit des informations juridiques générales uniquement. Il ne constitue pas un conseil juridique. Consultez un avocat spécialisé en protection des données ou un professionnel de la confidentialité pour des conseils adaptés à votre situation.
Les huit droits des personnes concernées RGPD en un coup d'œil
Le chapitre III du RGPD établit huit droits distincts. L'article 12 fournit le cadre procédural global : les réponses doivent être gratuites (dans un premier temps), fournies sous une forme concise, transparente, intelligible et aisément accessible, en des termes clairs et simples. Le délai de réponse par défaut d'un mois s'applique à l'ensemble des droits.
| Droit | Article principal | Contenu essentiel |
|---|---|---|
| Droit à l'information | Articles 13 et 14 | Recevoir des informations de confidentialité au moment de la collecte des données |
| Droit d'accès | Article 15 | Obtenir confirmation et une copie des données à caractère personnel détenues |
| Droit de rectification | Article 16 | Faire corriger des données inexactes ou incomplètes |
| Droit à l'effacement | Article 17 | Demander la suppression de données à caractère personnel |
| Droit à la limitation du traitement | Article 18 | Limiter l'utilisation des données sans les supprimer |
| Droit à la portabilité des données | Article 20 | Recevoir les données dans un format structuré et lisible par machine |
| Droit d'opposition | Article 21 | Contester un traitement fondé sur l'intérêt légitime ou la prospection directe |
| Droits liés à la prise de décision automatisée | Article 22 | Contester des décisions prises uniquement par des systèmes automatisés |

Le droit à l'information (articles 13 et 14)
Le droit à l'information constitue le fondement sur lequel reposent tous les autres droits du RGPD. Il impose aux organisations de fournir aux personnes des informations claires sur les données à caractère personnel collectées et sur leur utilisation, avant ou au moment de la collecte. Sans transparence, les personnes ne peuvent exercer utilement aucun des sept autres droits.
L'article 13 régit les situations dans lesquelles l'organisation collecte des données à caractère personnel directement auprès de la personne concernée, par exemple via un formulaire en ligne, une inscription à une application, ou une demande écrite. L'article 14 régit les situations dans lesquelles les données à caractère personnel sont obtenues auprès d'un tiers plutôt que de la personne elle-même.
Ce que les organisations doivent divulguer
Au titre des articles 13 et 14, les organisations doivent fournir au minimum :
- L'identité et les coordonnées du responsable du traitement, ainsi que celles du délégué à la protection des données, le cas échéant
- Les finalités du traitement et la base légale de chacune d'elles
- Lorsque le traitement repose sur l'intérêt légitime, les intérêts spécifiques poursuivis
- Les destinataires ou catégories de destinataires
- Les précisions sur les transferts vers des pays tiers et les garanties applicables
- La durée de conservation, ou les critères utilisés pour la déterminer
- L'existence de l'ensemble des droits applicables aux personnes concernées et les modalités de leur exercice
- Le droit de retirer son consentement, lorsque le consentement constitue la base légale
- Le droit d'introduire une réclamation auprès d'une autorité de contrôle
- Au titre de l'article 14 uniquement : la source dont proviennent les données à caractère personnel
Exigences de délai
Pour la collecte directe au titre de l'article 13, les informations de confidentialité doivent être fournies au moment où les données sont obtenues. Pour la collecte indirecte au titre de l'article 14, le délai est d'un mois à compter de l'obtention des données, ou du premier contact avec la personne concernée si celui-ci est antérieur, ou du moment de la divulgation à un autre destinataire si celui-ci est encore plus proche.
Le CEF 2026 : l'action d'application coordonnée
Le CEPD a retenu les articles 12, 13 et 14 comme thème de son action de cadre d'application coordonnée (CEF) 2026, lancée en 2026. Vingt-cinq autorités de protection des données à travers l'UE y participent. Le CEPD a décrit le droit à l'information comme « un élément central de la transparence qui garantit aux personnes davantage de contrôle sur leurs données ». Les résultats de cette action devraient générer des constats sur la conformité des politiques de confidentialité en pratique.
Le droit d'accès (article 15)
Le droit d'accès est le droit RGPD le plus fréquemment exercé et le plus contentieux. L'article 15 permet aux personnes d'obtenir confirmation qu'une organisation traite leurs données à caractère personnel et, le cas échéant, de recevoir une copie de ces données assortie d'informations complémentaires prescrites.
Ce que le droit couvre
Au titre de l'article 15, paragraphe 1, la personne concernée a droit à :
- La confirmation qu'un traitement est en cours
- Une copie des données à caractère personnel elles-mêmes
- Les finalités du traitement
- Les catégories de données à caractère personnel concernées
- Les destinataires ou catégories de destinataires, y compris ceux situés dans des pays tiers
- La durée de conservation envisagée, ou les critères utilisés pour la déterminer
- L'existence des droits de rectification, d'effacement, de limitation et d'opposition
- Le droit d'introduire une réclamation auprès d'une autorité de contrôle
- Lorsque les données n'ont pas été collectées auprès de la personne, des informations sur leur source
- Le recours éventuel à une prise de décision automatisée, y compris le profilage, et des informations utiles sur la logique appliquée
La jurisprudence de la CJUE relative à l'article 15
La CJUE a considérablement réduit la marge de manœuvre dont disposaient auparavant les responsables du traitement pour répondre aux demandes d'accès.
Dans l'affaire C-154/21, RW contre Österreichische Post AG (arrêt du 12 janvier 2023), la Cour a jugé que l'article 15, paragraphe 1, point c), impose aux responsables du traitement de divulguer l'identité concrète des destinataires auxquels les données à caractère personnel ont été ou seront communiquées. Ce n'est que lorsqu'il est réellement impossible d'identifier des destinataires spécifiques que le responsable du traitement peut se limiter à divulguer des catégories de destinataires. Cet arrêt a mis fin à la pratique courante consistant à fournir des descriptions génériques vagues de catégories.
Dans l'affaire C-487/21, F.F. contre Österreichische Datenschutzbehörde et CRIF GmbH (arrêt du 4 mai 2023), la Cour a jugé que le droit d'obtenir une « copie » au titre de l'article 15, paragraphe 3, signifie que la personne concernée doit recevoir une reproduction fidèle et intelligible de l'ensemble des données à caractère personnel détenues. Ce droit peut s'étendre à des copies d'extraits de documents, de documents entiers, ou d'extraits de bases de données, lorsque cela est nécessaire pour permettre à la personne d'accéder à ses données sous une forme compréhensible. Les responsables du traitement ne peuvent pas fournir une sélection organisée ou résumée.
Les lignes directrices 01/2022 du CEPD sur le droit d'accès (version 2.0, avril 2023) confirment en outre que les responsables du traitement ne peuvent pas limiter leurs réponses aux données qu'ils jugent « pertinentes » ou « importantes ». L'accès doit couvrir l'ensemble des données à caractère personnel détenues.
Les constats du CEF 2024 sur le droit d'accès
Le CEPD a publié son rapport CEF 2024 sur le droit d'accès en janvier 2025, à l'issue d'une action coordonnée à laquelle 31 autorités de contrôle ont participé. Les difficultés récurrentes recensées comprenaient : l'absence de procédures internes de traitement des demandes ; des réponses incomplètes ; et des exigences de vérification d'identité excessivement lourdes dissuadant les demandeurs légitimes.

Le droit de rectification (article 16)
L'article 16 confère aux personnes le droit d'obtenir la correction, sans délai excessif, de données à caractère personnel inexactes. Les personnes peuvent également demander que des données incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
Portée et exemples pratiques
Ce droit s'applique chaque fois que des données factuelles détenues par une organisation sont inexactes ou incomplètes. Parmi les exemples courants figurent les noms mal orthographiés, les adresses incorrectes, les numéros de téléphone obsolètes, et les dossiers d'emploi comportant des dates erronées. Ce droit ne s'applique pas aux appréciations ou opinions (une note d'évaluation de performance est une opinion, non une inexactitude factuelle), bien que les personnes puissent demander qu'une déclaration complémentaire soit jointe à des appréciations subjectives contestées.
L'obligation de notification aux tiers
Lorsqu'un responsable du traitement rectifie des données, l'article 19 du RGPD exige une notification à chaque destinataire auquel les données ont été précédemment communiquées, sauf si cela s'avère impossible ou exige des efforts disproportionnés. Le responsable du traitement doit également informer la personne concernée de ces destinataires si elle le demande.
Le droit à l'effacement / droit à l'oubli (article 17)
L'article 17 permet aux personnes de demander la suppression de leurs données à caractère personnel. Le droit à l'effacement, également appelé « droit à l'oubli », est l'une des dispositions les plus emblématiques du RGPD. Il n'est pas absolu : l'article 17, paragraphe 3, énumère les situations dans lesquelles ce droit ne s'applique pas.
Motifs justifiant l'effacement
L'effacement est requis au titre de l'article 17, paragraphe 1, lorsque :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées
- La personne retire son consentement et aucune autre base légale ne s'applique
- La personne s'oppose au titre de l'article 21 et il n'existe pas de motif légitime impérieux pour le responsable du traitement
- Les données ont fait l'objet d'un traitement illicite
- L'effacement est nécessaire pour respecter une obligation légale du droit de l'Union ou d'un État membre
- Les données ont été collectées auprès d'un enfant dans le cadre de services de la société de l'information (article 8)
Motifs de refus de l'effacement
Au titre de l'article 17, paragraphe 3, les responsables du traitement peuvent refuser l'effacement lorsque le traitement est nécessaire :
- À l'exercice du droit à la liberté d'expression et d'information
- Au respect d'une obligation légale (par exemple, la conservation obligatoire de documents fiscaux)
- Pour des motifs de santé publique relevant de l'intérêt public (article 9, paragraphe 2, points h) et i))
- À l'archivage dans l'intérêt public, à la recherche scientifique, ou à des fins statistiques, lorsque l'effacement compromettrait gravement cet objectif
- À la constatation, à l'exercice ou à la défense de droits en justice
Attention : L'exception relative aux droits en justice est fréquemment mal appliquée. Certaines organisations l'invoquent de manière préventive pour éviter leurs obligations d'effacement. Cette exception exige qu'une procédure judiciaire soit réellement en cours, menacée, ou raisonnablement anticipée, et non que le responsable du traitement puisse théoriquement faire l'objet d'une future réclamation.
L'effacement chez les moteurs de recherche
Le droit à l'effacement revêt une importance particulière pour les moteurs de recherche. À la suite de l'arrêt Google Spain (affaire C-131/12, 2014), les personnes peuvent demander aux moteurs de recherche de déréférencer des résultats les concernant. Les lignes directrices 5/2019 du CEPD précisent les critères que les autorités de contrôle appliquent pour évaluer les demandes de déréférencement.
CEF 2025 : les difficultés de mise en œuvre du droit à l'effacement
Le CEPD a publié son rapport CEF 2025 sur le droit à l'effacement en février 2026. Trente-deux autorités de contrôle ont participé tout au long de 2025, dont neuf ont ouvert des enquêtes formelles et 23 ont mené des travaux d'enquête factuelle. Sept difficultés récurrentes de mise en œuvre ont été identifiées :
- Des organisations recourant à des techniques d'anonymisation insuffisantes en lieu et place de la suppression
- Des pratiques incohérentes concernant l'effacement dans les systèmes de sauvegarde
- Des difficultés à déterminer les durées de conservation, puis à agir en conséquence
- Des responsables du traitement peinant à appliquer les tests de mise en balance de l'article 17, paragraphe 3
- Une absence de procédures internes, faisant écho aux constats de 2024 relatifs à l'accès
- Une information insuffisante fournie aux personnes concernées sur les suites données aux demandes d'effacement
- Une notification inadéquate aux destinataires tiers à la suite d'un effacement
Le droit à la limitation du traitement (article 18)
L'article 18 permet aux personnes de demander à une organisation de conserver leurs données tout en cessant de les utiliser activement. Lorsque la limitation est en place, le responsable du traitement peut stocker les données mais ne peut pas les traiter, sauf avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, la protection des droits d'une autre personne, ou pour des motifs importants d'intérêt public.
Quand la limitation s'applique-t-elle ?
Les personnes peuvent demander une limitation dans quatre circonstances :
- Elles contestent l'exactitude des données, et la limitation s'applique pendant que le responsable du traitement vérifie cette exactitude
- Le traitement est illicite, mais la personne préfère la limitation à l'effacement
- Le responsable du traitement n'a plus besoin des données, mais la personne en a besoin pour la constatation, l'exercice ou la défense de droits en justice
- La personne s'est opposée au titre de l'article 21, et le résultat de la mise en balance est en attente
Effet pratique
La limitation constitue effectivement une « mise en pause » du traitement actif. Le responsable du traitement doit informer la personne concernée avant de lever toute limitation. Ce droit constitue un moyen terme entre l'effacement total et le traitement non restreint, et se révèle particulièrement utile dans les différends factuels contestés ou pendant un contentieux.
Le droit à la portabilité des données (article 20)
L'article 20 confère aux personnes le droit de recevoir les données à caractère personnel qu'elles ont fournies à un responsable du traitement dans un format structuré, couramment utilisé et lisible par machine, et de faire transmettre ces données directement à un autre responsable du traitement lorsque cela est techniquement possible. Ce droit vise à réduire la dépendance à l'égard d'un fournisseur et à faciliter le passage d'un service concurrent à un autre.
Conditions de la portabilité
Le droit à la portabilité des données ne s'applique que lorsque deux conditions sont simultanément réunies :
- Le traitement est fondé sur le consentement (article 6, paragraphe 1, point a), ou article 9, paragraphe 2, point a)) ou sur un contrat avec la personne concernée (article 6, paragraphe 1, point b))
- Le traitement est effectué à l'aide de procédés automatisés
Les données traitées au titre de l'intérêt légitime, d'une obligation légale, ou de l'intérêt public n'ouvrent pas droit à la portabilité.
Quelles données sont couvertes ?
La portabilité couvre les données que la personne a « fournies » au responsable du traitement. Cela inclut les données activement soumises (saisies dans un formulaire, documents téléchargés, informations de profil) et les données générées par l'utilisation d'un service (historique de transactions, journaux d'utilisation, données de localisation issues de l'usage d'une application). Elle n'inclut pas les données déduites ou dérivées, telles que les scores de risque, les segments de clientèle, ou les résultats d'un profilage algorithmique, ces données étant générées par le responsable du traitement et non fournies par la personne concernée.
Exigences de format
Les données doivent être fournies dans un format structuré, couramment utilisé et lisible par machine. Les formats CSV, JSON et XML sont largement acceptés. Lorsque cela est techniquement possible et à la demande de la personne concernée, le responsable du traitement doit transmettre les données directement à un autre responsable du traitement nommé.
Le droit d'opposition (article 21)
L'article 21 permet aux personnes de s'opposer à un traitement dans deux scénarios distincts, aux conséquences juridiques nettement différentes.
L'opposition au traitement fondé sur l'intérêt légitime ou l'intérêt public
Lorsque le traitement est fondé sur l'intérêt légitime (article 6, paragraphe 1, point f)) ou l'intérêt public (article 6, paragraphe 1, point e)), les personnes peuvent s'y opposer pour des « raisons tenant à leur situation particulière ». Le responsable du traitement doit cesser le traitement, sauf s'il démontre des motifs légitimes impérieux qui prévalent sur les intérêts, droits et libertés de la personne concernée, ou si le traitement est nécessaire à la constatation, l'exercice ou la défense de droits en justice.
La charge incombe au responsable du traitement de procéder à une mise en balance véritable et propre à la situation particulière invoquée par la personne, et non à une simple affirmation générique du poids de ses intérêts.
Le droit absolu de s'opposer à la prospection directe
Le droit de s'opposer au traitement à des fins de prospection directe est inconditionnel. L'article 21, paragraphes 2 et 3, dispose que, lorsqu'une personne s'oppose à un traitement à des fins de prospection directe, le responsable du traitement doit cesser immédiatement, pour cette finalité et pour tout profilage connexe. Aucune mise en balance ne s'applique et aucun motif légitime ne peut y faire échec.
L'opposition au traitement à des fins de recherche
Les personnes peuvent également s'opposer au traitement à des fins de recherche scientifique, historique ou statistique pour des raisons tenant à leur situation particulière, à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public.

Les droits liés à la prise de décision automatisée et au profilage (article 22)
L'article 22 prévoit que les personnes ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou les affectant de manière similaire de façon significative.
La protection essentielle
Trois conditions doivent être réunies simultanément pour que l'article 22 s'applique :
- La décision est fondée exclusivement sur un traitement automatisé (aucune intervention humaine significative)
- Le traitement comprend un profilage (analyse d'aspects personnels pour évaluer, prédire ou catégoriser la personne)
- La décision produit un effet juridique (refus de crédit, de visa, ou d'emploi) ou l'affecte de façon similaire et significative (refus d'assurance, exclusion d'un service, conséquences financières ou sociales graves)
Exceptions autorisées
L'article 22, paragraphe 2, autorise les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires significatifs dans trois circonstances :
- La décision est nécessaire à la conclusion ou à l'exécution d'un contrat avec la personne concernée
- Elle est autorisée par le droit de l'Union ou d'un État membre, avec des garanties appropriées
- Elle est fondée sur le consentement explicite de la personne
Garanties obligatoires
Lorsqu'une exception s'applique, le responsable du traitement doit mettre en œuvre des mesures appropriées pour protéger les droits de la personne concernée. Au minimum, la personne doit avoir le droit :
- D'obtenir une intervention humaine dans la décision
- D'exprimer son point de vue avant ou après la décision
- De contester la décision
Le responsable du traitement doit également fournir des informations utiles sur la logique appliquée par le système automatisé, ainsi que sur l'importance et les conséquences envisagées de la décision pour la personne concernée.
Interaction avec le règlement européen sur l'IA
Le règlement européen sur l'intelligence artificielle (règlement (UE) 2024/1689, entré en vigueur en août 2024, avec des dispositions essentielles applicables à partir d'août 2026) introduit des obligations qui se chevauchent pour les systèmes d'IA à haut risque. Les systèmes d'IA à haut risque énumérés à l'annexe III, couvrant le scoring de crédit, les décisions d'emploi, l'accès aux services essentiels et les migrations, doivent respecter des exigences de transparence, de surveillance humaine et de précision au titre du règlement sur l'IA, en plus de toute obligation résultant de l'article 22 du RGPD. Lorsque les deux régimes s'appliquent, les deux ensembles d'obligations doivent être satisfaits. Le CEPD et le Bureau de l'IA de l'UE devraient fournir des orientations coordonnées sur l'interaction entre l'article 22 et le règlement sur l'IA à mesure que ses dispositions entreront pleinement en vigueur au cours de 2026.
Comment fonctionnent en pratique les demandes d'accès (DSAR)
L'article 12 fournit le cadre procédural qui régit les réponses à toutes les demandes relatives aux droits des personnes concernées.
Formuler une demande
Les personnes n'ont pas besoin d'employer des termes juridiques spécifiques ni de citer un article du RGPD. Toute communication claire précisant ce que la personne souhaite suffit. Les demandes peuvent être formulées par courriel, formulaire en ligne, courrier postal, téléphone, ou tout autre canal exploité par l'organisation.
Le délai d'un mois
Les responsables du traitement doivent répondre dans un délai d'un mois calendaire à compter du jour suivant la réception de la demande. Le CEPD confirme qu'il s'agit d'un mois calendaire (une demande reçue le 5 mars appelle une réponse au plus tard le 5 avril). Si le dernier jour tombe un week-end ou un jour férié dans la juridiction du responsable du traitement, le délai est prolongé jusqu'au jour ouvrable suivant.
Prolongations
Pour les demandes complexes, ou lorsqu'une personne a soumis de nombreuses demandes simultanément, le délai peut être prolongé de deux mois supplémentaires (trois mois au total). Pour recourir à cette prolongation, le responsable du traitement doit notifier la personne concernée au cours du premier mois calendaire et exposer le motif de la prolongation. Le défaut d'envoi de l'avis de prolongation dans ce délai empêche le responsable du traitement de s'en prévaloir.
Frais
La première réponse à toute demande relative aux droits doit être gratuite. Des frais administratifs raisonnables ne peuvent être facturés que pour les demandes manifestement infondées ou excessives, en particulier lorsqu'elles sont répétitives. La charge de démontrer qu'une demande atteint ce seuil incombe au responsable du traitement. Le seuil est élevé ; une demande ordinaire émanant d'une personne qui n'a pas déjà formulé la même demande n'est pas excessive.
Vérification d'identité
Les responsables du traitement peuvent demander des informations pour vérifier l'identité du demandeur, mais uniquement en cas de doute réel. Les mesures de vérification doivent être proportionnées. Les responsables du traitement ne peuvent pas imposer des obstacles de vérification disproportionnés à titre dissuasif. Pour les comptes en ligne, il suffit généralement de demander à l'utilisateur de s'authentifier avec ses identifiants de compte existants. Exiger des copies de passeport ou une pièce d'identité officielle est généralement disproportionné, sauf si les données en cause sont particulièrement sensibles ou si les circonstances le justifient spécifiquement.
Quand les demandes peuvent-elles être refusées ?
Les responsables du traitement peuvent refuser de donner suite aux demandes manifestement infondées ou excessives. En cas de refus, le responsable du traitement doit informer la personne :
- Des motifs du refus
- De son droit d'introduire une réclamation auprès d'une autorité de contrôle
- De son droit de former un recours juridictionnel
Le responsable du traitement ne peut pas ignorer la demande. Même un refus doit être communiqué dans le délai d'un mois.
Introduire une réclamation
Chaque État membre de l'UE dispose d'une autorité nationale de protection des données auprès de laquelle les personnes peuvent introduire une réclamation gratuitement. Le CEPD tient à jour une liste complète de toutes les autorités de contrôle nationales, avec leurs coordonnées. Parmi les autorités les plus en vue figurent la CNIL (France), le BfDI (Allemagne), la DPC (Irlande, qui supervise de nombreuses entreprises technologiques américaines établies dans l'UE en Irlande), et l'APD/GBA (Belgique).
Exceptions et limites aux droits des personnes concernées
Les droits des personnes concernées ne sont pas illimités. Le considérant 73 et plusieurs articles du RGPD permettent aux États membres de restreindre ces droits par voie législative, lorsque cela est nécessaire pour sauvegarder :
- La sécurité nationale, la sécurité publique et la défense
- La prévention, les enquêtes et les poursuites relatives aux infractions pénales
- D'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment la santé publique, la protection sociale et la fiscalité
- La protection de l'indépendance judiciaire
- L'exécution des demandes de droit civil
- Les droits et libertés d'autrui
Les organisations opérant dans plusieurs États membres de l'UE doivent déterminer si des dérogations nationales applicables couvrent leur traitement dans chaque juridiction concernée.
Évolutions récentes et à venir (2024 à 2026)
L'application coordonnée du CEPD : des lacunes systémiques dans tous les droits
Les actions annuelles de cadre d'application coordonnée (CEF) du CEPD ont désormais couvert le droit d'accès (2024) et le droit à l'effacement (2025). Les deux rapports ont recensé les mêmes défaillances systémiques : absence de procédures internes pour traiter les demandes relatives aux droits ; réponses incomplètes ou tardives ; exigences de vérification disproportionnées ; et application incohérente de la notification aux destinataires tiers en cas de correction ou de suppression.
L'action de 2026 porte sur les articles 12 à 14 (transparence et information). Compte tenu des tendances des années précédentes, le CEPD anticipe des lacunes systémiques dans la qualité et l'accessibilité des politiques de confidentialité. Les résultats de l'application dans les 25 autorités de contrôle participantes sont attendus d'ici la fin de l'année 2026.
La CJUE : une réduction de la marge de manœuvre des responsables du traitement
La jurisprudence de la CJUE en matière d'accès a constamment réduit la marge de manœuvre des responsables du traitement pour limiter leur conformité. L'affaire C-154/21 (janvier 2023) impose la divulgation de l'identité concrète des destinataires lorsqu'elle est identifiable. L'affaire C-487/21 (mai 2023) impose une copie complète et fidèle de l'ensemble des données à caractère personnel. Des réponses aux demandes d'accès qui étaient une pratique courante jusqu'en 2022 (tableaux récapitulatifs, descriptions limitées aux catégories, sélections organisées) sont désormais non conformes.
La proposition Digital Omnibus (novembre 2025)
La Commission européenne a publié son paquet Digital Omnibus le 19 novembre 2025, proposant des modifications ciblées du RGPD dans le cadre d'une initiative de simplification plus large. Les propositions les plus pertinentes pour les droits des personnes concernées comprennent :
- Un nouveau motif discrétionnaire permettant aux responsables du traitement de refuser ou de facturer les DSAR lorsque la personne est jugée abuser de ses droits « à des fins autres que la protection de ses données ». Cette proposition vise des scénarios tels que les contentieux du travail, où les DSAR sont utilisées de manière instrumentale plutôt qu'à des fins réelles de protection de la vie privée.
- Un assouplissement proposé des exigences de transparence de l'article 13 dans des circonstances limitées : lorsque les données sont collectées directement auprès de la personne concernée, qu'il est raisonnable de supposer que la personne dispose déjà de l'information, et que l'activité du responsable du traitement n'est pas intensive en données. Cette exemption ne s'appliquerait pas lorsque le traitement automatisé, le profilage, ou des transferts de données sont en cause.
- Un droit explicite et inconditionnel de s'opposer au traitement de données à caractère personnel à des fins d'entraînement de systèmes d'IA.
Il ne s'agit que de propositions. Le paquet est en cours de négociation en trilogue entre le Parlement européen, le Conseil et la Commission. Les droits actuels du RGPD décrits dans cet article demeurent pleinement en vigueur et inchangés jusqu'à la publication de tout règlement modificatif au Journal officiel.
Questions fréquentes
Autres guides sur le RGPD
- Qu'est-ce que le RGPD pour une présentation complète du règlement et de son fondement juridique
- Exigences de consentement RGPD pour les normes de consentement valide et leur interaction avec les droits des personnes concernées
- Liste de contrôle de conformité RGPD pour un guide de mise en conformité étape par étape
- Amendes et sanctions RGPD pour les données relatives aux sanctions et les conséquences du non-respect
- Règle des 72 heures pour la notification des violations RGPD pour les obligations de notification des violations
- Lois européennes sur la protection des données pour une vue d'ensemble complète de la protection des données dans l'UE
Avertissement
Cet article fournit des informations juridiques générales sur les droits des personnes concernées au titre du règlement (UE) 2016/679 (RGPD). Il couvre uniquement le RGPD de l'UE et ne traite pas du UK GDPR ni des dérogations propres à certains États membres. Ces informations ont été vérifiées à jour au 19 mai 2026. Le RGPD est un instrument vivant : les orientations des autorités de contrôle, la jurisprudence de la CJUE, et les décisions de sanction affinent continuellement l'interprétation de ses dispositions. Cet article ne remplace pas un conseil juridique. Consultez un avocat spécialisé en protection des données ou un professionnel de la confidentialité, inscrit au barreau compétent, pour des conseils adaptés à votre situation.
À propos de l'auteur
[EMPLACEMENT RÉSERVÉ : liste des auteurs en attente]
Autorités citées
- Règlement (UE) 2016/679 (RGPD) : texte officiel intégral. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Article 12 du RGPD : transparence des informations, communications et modalités. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679
- Lignes directrices 01/2022 du CEPD sur le droit d'accès, version 2.0 (avril 2023). https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf
- Lignes directrices 5/2019 du CEPD sur le droit à l'oubli auprès des moteurs de recherche. https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterpublicconsultation_en.pdf
- Affaire C-154/21 de la CJUE, RW contre Österreichische Post AG, arrêt du 12 janvier 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0154
- Affaire C-487/21 de la CJUE, F.F. contre Österreichische Datenschutzbehörde et CRIF GmbH, arrêt du 4 mai 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0487
- CEPD : recensement des difficultés freinant la pleine mise en œuvre du droit à l'effacement (février 2026). https://www.edpb.europa.eu/news/news/2026/edpb-identifies-challenges-hindering-full-implementation-right-erasure_en
- Rapport CEF 2025 du CEPD : mise en œuvre du droit à l'effacement. https://www.edpb.europa.eu/system/files/2026-02/edpb_cef-report_2025_right-to-erasure_en.pdf
- CEPD : lancement du CEF 2026, application coordonnée sur la transparence et les obligations d'information. https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CEPD : CEF 2024, difficultés de mise en œuvre du droit d'accès (janvier 2025). https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-access_en
- Commission européenne : informations pour les particuliers sur les droits RGPD. https://commission.europa.eu/law/law-topic/data-protection/information-individuals_en
- Commission européenne : traitement des demandes relatives aux droits des personnes concernées. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-exercising-their-data-protection-rights-be-dealt_en
- CEPD : autorités de contrôle nationales (membres). https://edpb.europa.eu/about-edpb/about-edpb/members_en
Dernière mise à jour : 19 mai 2026. Les dispositions du RGPD citées reflètent le règlement (UE) 2016/679 en vigueur au 19 mai 2026. Les propositions Digital Omnibus (novembre 2025) sont en attente de trilogue et n'ont pas modifié le RGPD à cette date.
Frequently Asked Questions
Quels sont les huit droits des personnes concernées au titre du RGPD ?
Les huit droits prévus au chapitre III du RGPD sont : (1) le droit à l'information (articles 13 et 14), (2) le droit d'accès (article 15), (3) le droit de rectification (article 16), (4) le droit à l'effacement, également appelé droit à l'oubli (article 17), (5) le droit à la limitation du traitement (article 18), (6) le droit à la portabilité des données (article 20), (7) le droit d'opposition (article 21), et (8) les droits liés à la prise de décision automatisée et au profilage (article 22). L'article 12 régit les obligations procédurales applicables à l'ensemble des droits.
Comment formuler une demande d'accès RGPD ?
Contactez l'organisation qui détient vos données par n'importe quel canal disponible : courriel, courrier postal, formulaire en ligne, ou téléphone. Indiquez clairement que vous souhaitez accéder à vos données à caractère personnel. Vous n'avez pas besoin de citer l'article 15 ni d'employer l'expression « demande d'accès ». L'organisation doit répondre dans un délai d'un mois calendaire et fournir la première copie gratuitement. Conservez une trace de votre demande et de sa date d'envoi. Si l'organisation ne répond pas dans le délai d'un mois, ou refuse sans explication adéquate, introduisez une réclamation auprès de votre autorité nationale de protection des données.
Une organisation peut-elle facturer une DSAR ?
La première réponse à une demande d'accès doit être gratuite. Des frais administratifs raisonnables ne peuvent être facturés que pour les demandes manifestement infondées ou excessives, notamment lorsqu'elles sont répétitives. Le responsable du traitement doit démontrer que la demande atteint ce seuil. Le seuil est élevé ; une demande ordinaire émanant d'une personne qui n'a pas déjà formulé la même demande n'est pas excessive.
Le droit à l'effacement est-il absolu au titre du RGPD ?
Non. L'article 17, paragraphe 3, du RGPD énumère six circonstances dans lesquelles le droit à l'effacement ne s'applique pas : lorsque le traitement est nécessaire à l'exercice du droit à la liberté d'expression et d'information ; au respect d'une obligation légale ; à des fins de santé publique relevant de l'intérêt public ; à l'archivage dans l'intérêt public, à la recherche scientifique ou à des fins statistiques lorsque l'effacement compromettrait gravement cet objectif ; ou à la constatation, l'exercice ou la défense de droits en justice. Les organisations doivent apprécier chaque demande au regard de ces exceptions individuellement.
Quelle est la différence entre l'effacement et la limitation du traitement ?
Le droit à l'effacement (article 17) impose à l'organisation de supprimer entièrement les données à caractère personnel. Le droit à la limitation du traitement (article 18) impose à l'organisation de cesser d'utiliser activement les données, mais lui permet de continuer à les stocker. La limitation est appropriée comme mesure provisoire, par exemple lorsque la personne conteste l'exactitude des données et souhaite qu'elles soient conservées pendant que le responsable du traitement les vérifie, ou lorsque la personne a besoin que les données soient conservées pour une action en justice.
Combien de temps une organisation a-t-elle pour répondre à une demande relative aux droits ?
Un mois calendaire à compter du jour suivant la réception de la demande. Pour les demandes complexes, ou lorsqu'une même personne a soumis de nombreuses demandes, le délai peut être prolongé de deux mois supplémentaires (trois mois au total). L'organisation doit informer la personne de la prolongation et de son motif au cours du premier mois calendaire. Si aucun avis de prolongation n'est envoyé dans ce délai, le délai initial d'un mois demeure applicable.
Le droit à la portabilité des données s'applique-t-il à toutes mes données à caractère personnel ?
Non. Le droit à la portabilité des données au titre de l'article 20 ne s'applique que lorsque deux conditions sont simultanément réunies : le traitement est fondé sur le consentement ou sur un contrat avec la personne concernée, et le traitement est effectué à l'aide de procédés automatisés. Il ne s'applique pas aux données traitées au titre de l'intérêt légitime, d'une obligation légale, ou de l'intérêt public. Il ne couvre également que les données fournies par la personne au responsable du traitement, et non les données déduites ou dérivées telles que les scores de risque, les segments de clientèle, ou les résultats de profilage.
Puis-je contester une décision prise par un algorithme ou un système d'IA ?
Oui, dans certaines circonstances. L'article 22 du RGPD confère aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsque la décision produit un effet juridique ou l'affecte de manière similaire et significative. Lorsque de telles décisions sont autorisées au titre de l'une des exceptions de l'article 22, paragraphe 2, la personne doit se voir accorder le droit d'obtenir une intervention humaine, d'exprimer son point de vue, et de contester la décision. Pour les systèmes d'IA classés à haut risque au titre du règlement européen sur l'IA, des obligations supplémentaires de transparence et de surveillance humaine s'appliquent également.
Que se passe-t-il si je m'oppose à la prospection directe ?
Le droit de s'opposer à la prospection directe au titre de l'article 21, paragraphes 2 et 3, est absolu et immédiat. Dès que vous vous opposez, l'organisation doit cesser de traiter vos données à des fins de prospection directe, y compris tout profilage lié à cette prospection. Aucune mise en balance ne s'applique et aucun motif légitime ne peut y faire échec.
Qu'est-ce que la proposition Digital Omnibus et modifie-t-elle mes droits RGPD ?
La Commission européenne a publié le paquet Digital Omnibus en novembre 2025, proposant des modifications ciblées du RGPD. Ces propositions comprennent un nouveau motif de refus des DSAR lorsque la personne est jugée abuser de son droit, un assouplissement des exigences de transparence dans des circonstances limitées, et un droit explicite de s'opposer au traitement à des fins d'entraînement de l'IA. Il ne s'agit que de propositions, qui n'ont pas été adoptées. L'ensemble des droits RGPD actuels décrits dans cet article demeurent pleinement en vigueur et inchangés jusqu'à la publication de tout règlement modificatif au Journal officiel de l'UE.
Sources and References
- Règlement (UE) 2016/679 (RGPD), texte officiel intégral(eur-lex.europa.eu).gov
- Article 12 du RGPD, transparence des informations et modalités(eur-lex.europa.eu).gov
- Lignes directrices 01/2022 du CEPD sur le droit d'accès (v2.0, avril 2023)(edpb.europa.eu).gov
- Lignes directrices 5/2019 du CEPD sur le droit à l'oubli auprès des moteurs de recherche(edpb.europa.eu).gov
- Affaire C-154/21 de la CJUE, RW contre Österreichische Post AG, 12 janvier 2023(eur-lex.europa.eu).gov
- Affaire C-487/21 de la CJUE, F.F. contre Österreichische Datenschutzbehörde et CRIF GmbH, 4 mai 2023(eur-lex.europa.eu).gov
- CEPD, difficultés freinant la pleine mise en œuvre du droit à l'effacement (février 2026)(edpb.europa.eu).gov
- Rapport CEF 2025 du CEPD, mise en œuvre du droit à l'effacement(edpb.europa.eu).gov
- CEPD, CEF 2026 : application coordonnée sur la transparence et les obligations d'information(edpb.europa.eu).gov
- CEPD, CEF 2024 : difficultés de mise en œuvre du droit d'accès (janvier 2025)(edpb.europa.eu).gov
- Commission européenne, informations pour les particuliers sur les droits RGPD(commission.europa.eu).gov
- Commission européenne, traitement des demandes relatives aux droits des personnes concernées(commission.europa.eu).gov
- CEPD, autorités de contrôle nationales (membres)(edpb.europa.eu).gov