Le droit d'accès : connaître les données qu’un organisme détient sur vous

Vous pouvez demander à un organisme s'il détient des données sur vous (site web, magasin, banque...) et demander à ce que l’on vous les communique pour en vérifier le contenu.

A quoi cela sert-il ?

L'exercice du droit d’accès permet de savoir si des données vous concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.

L’organisme auprès duquel vous demandez votre « droit d’accès » devra être en mesure de vous faire parvenir une copie des données qu’il détient sur vous et de vous renseigner sur :

les finalités d’utilisation de ces données,
les catégories de données collectées,
les destinataires ou catégories de destinataires qui ont pu accéder à ces données,
la durée de conservation des données ou les critères qui déterminent cette durée,
l’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
la possibilité de saisir la CNIL,
toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées auprès de vous,
l'existence d'une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision,
l’éventuel transfert de vos données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.

Ces situations qui concernent l’exercice du droit d’accès

Comment faire concrètement ?

Identifier l’organisme à contacter

Identifiez l’organisme puis rendez vous sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique confidentialité », « politique vie privée », « mention légales », etc). Si vous rencontrez des difficultés pour obtenir les coordonnées du délégué à la protection des données ou du responsable, consultez notre fiche pratique.

Exercer votre droit d’accès auprès de l’organisme

Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.), ou par courrier par exemple. Si votre demande est formulée par voie électronique, le responsable de traitement vous répondra par voie électronique, à moins que vous ne précisiez que vous souhaitez obtenir une réponse par un autre moyen (ex. par papier).

Si nécessaire, utilisez ce modèle de courrier pour lui demander de vous faire parvenir une copie - en langage clair - de l'ensemble des données qu'il possède sur vous. La CNIL propose un générateur de courrier qui vous aidera à formuler votre demande.

Si et seulement si, l’organisme a des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

L’accès à ce droit est gratuit. Dans certains cas, des frais raisonnables liés au traitement de votre dossier pourront vous être demandés, par exemple en cas de demande d’une copie supplémentaire.

Conserver une copie de vos démarches

Cette étape est primordiale si vous souhaitez saisir la CNIL en cas de réponse insatisfaisante ou d’absence de réponse. Réalisez une capture d’écran de votre demande ou de la réponse

à l’aide de la touche « impr écran » en haut à droit de votre clavier (PC)
ou grâce au raccourci clavier cmd + MAJUSCULE + 4 si vous disposez d’un Mac.

Vous exercez cette démarche par courrier ? Demandez un accusé réception qui prouvera la date de votre démarche. De même, n’oubliez pas de conserver une copie du courriel ou de votre demande formulée par voie électronique.

LES OUTILS POUR AGIR

En manque d’inspiration ?

Utilisez notre modèle de demande d’accès et personnalisez les champs à votre convenance !

Que faire en cas de refus ou d'absence de réponse ?

L’organisme doit vous répondre dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation dans le délai d’un mois.

Si l’organisme ne répond pas dans le délai d’un mois après ou ne vous informe pas d’une prolongation de délai, vous pouvez adresser une plainte auprès de la CNIL avec les éléments attestant de vos démarches préalables.

Que faire en cas de réponse incomplète ?

Si la réponse apportée par l’organisme à votre demande d’accès vous parait incomplète, vous pouvez adresser une plainte à la CNIL afin qu’elle intervienne à l’appui de votre demande.

Toutefois, il vous est recommandé, avant de saisir la CNIL, de demander préalablement à l’organisme de compléter sa réponse avec les données que vous considérez comme manquantes. En cas d’absence de réponse ou de réponse insatisfaisante, vous pourrez adresser une plainte auprès de la CNIL en joignant les justificatifs de vos démarches préalables.

Quelles sont les limites du droit d’accès ?

Certains fichiers sont particulièrement encadrés : Pour certains fichiers de police ou intéressant la sûreté de l'Etat, la loi n’autorise pas un particulier à accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNIL. Si l’organisme estime que votre demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».

Les droits ou libertés d’autrui sont également des limites : l’exercice de votre droit d’accès ne doit pas porter atteinte :

au droit des tiers : seules vos données peuvent être communiquées au titre du droit d’accès,
à la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel,
au secret des affaires,
etc.