Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus
← Blog Droits et données Initié 5 min

Comment exercer votre droit d'accès RGPD : le guide pas à pas

Une banque. Un employeur. Une plateforme de rencontres que vous avez désinstallée il y a trois ans. Tous les trois détiennent des données sur vous et tous les trois ont l'obligation légale, depuis mai 2018, de vous montrer lesquelles si vous le demandez. Gratuitement. Sous un mois.

Ce droit est posé par l'article 15 du RGPD. La CNIL le rappelle régulièrement comme étant le plus exercé de tous les droits numériques, devant la rectification et l'effacement (CNIL, ligne directrice droit d'accès des salariés). Logique : avant de demander une suppression, encore faut-il savoir ce qui existe.

Et pourtant, beaucoup de personnes qui tentent l'exercice rapportent les mêmes obstacles : silence radio, réponse partielle, fichier illisible, refus déguisé. Ce guide donne la méthode pour aller jusqu'au bout, y compris quand l'organisme traîne ou bluffe.

Ce que vous pouvez exiger, sans négocier

L'article 15 ne se résume pas à "récupérer ses données". L'organisme doit vous transmettre un paquet complet, dont chaque pièce est un levier potentiel.

D'abord, la copie de vos données. Toutes : nom, adresse, IP, identifiants, historiques de connexion, contenu de votre profil, fichiers que vous avez chargés, transactions, messages échangés via le service. Y compris ce que l'organisme a déduit de vous (segments marketing, profil de risque, score interne).

Ensuite, plusieurs informations qui révèlent ce qu'on fait de ces données :

  • la finalité du traitement, c'est-à-dire pourquoi ces données sont collectées et utilisées

  • les catégories de données traitées

  • les destinataires ou catégories de destinataires (sous-traitants, partenaires commerciaux, autorités)

  • la durée de conservation prévue

  • l'origine des données si elles n'ont pas été collectées directement auprès de vous

  • l'existence d'une prise de décision automatisée vous concernant et la logique qui la sous-tend

  • les éventuels transferts hors Union européenne et les garanties associées

Cette dernière information est explicitement mentionnée par la CNIL comme un point sur lequel les organismes répondent souvent de manière incomplète. C'est aussi un des points les plus utiles : si vos données partent vers un sous-traitant américain sans encadrement valide, vous tenez un motif de plainte solide.

L'organisme doit aussi vous indiquer que vous disposez du droit de rectifier, d'effacer, de limiter ou de vous opposer au traitement et qu'une réclamation à la CNIL est possible. Ces mentions ne sont pas du formalisme : leur absence est en soi une violation.

La demande : quel canal, quel format

Aucune obligation de formulaire officiel. Un simple mail à l'adresse du DPO de l'organisme suffit ou à défaut au contact général. Le RGPD n'impose aucun formalisme particulier (article 12 RGPD et lignes directrices EDPB sur les droits des personnes concernées) : courrier postal, email, formulaire en ligne sont admis, à la limite oralement si vous êtes en mesure de prouver l'échange.

Trois éléments doivent figurer dans la demande pour qu'elle soit incontestable :

  1. Votre identité, suffisamment précise pour que l'organisme puisse retrouver votre dossier (nom, prénom, email d'inscription, numéro de client si vous l'avez)

  2. L'invocation explicite de l'article 15 du RGPD. Pas obligatoire en théorie, indispensable en pratique : ça empêche les services support de vous renvoyer vers un FAQ générique

  3. Le périmètre demandé : "l'ensemble des données me concernant" si vous voulez tout ou un périmètre plus ciblé si vous savez ce que vous cherchez

Méfiez-vous des demandes de pièces d'identité abusives. L'organisme peut vous demander une vérification d'identité s'il a un doute raisonnable mais il ne peut pas exiger systématiquement une copie de carte d'identité ou de passeport. La CNIL rappelle dans sa doctrine que la vérification d'identité doit être proportionnée au risque réel. Si on vous demande une pièce, il est légitime de questionner la base légale invoquée. La CNIL recommande par ailleurs de masquer les éléments non nécessaires sur la copie transmise (numéro de pièce et photo).

Modèle minimal qui couvre toutes les bases :

Madame, Monsieur, > > Je souhaite exercer mon droit d'accès prévu à l'article 15 du Règlement Général sur la Protection des Données (RGPD). > > Je vous remercie de bien vouloir me communiquer, sous le délai légal d'un mois : (1) une copie de l'ensemble des données me concernant que vous traitez, (2) les finalités du traitement, (3) les catégories de données concernées, (4) les destinataires ou catégories de destinataires, (5) la durée de conservation, (6) l'origine des données si elles n'ont pas été collectées directement auprès de moi, (7) l'existence d'une prise de décision automatisée et la logique sous-jacente, (8) les transferts éventuels hors UE et les garanties associées. > > Je vous précise que je suis client ou utilisateur sous l'identité suivante : « nom, email, identifiant ». > > Cordialement.

Le délai d'un mois et son extension

L'organisme a un mois calendaire à compter de la réception de votre demande. Pas un mois ouvré, pas un mois "à compter de la qualification". Un mois calendaire.

Il peut prolonger ce délai de deux mois supplémentaires si la demande est complexe ou nombreuse. Mais cette prolongation a une condition stricte : il doit vous prévenir du retard et de son motif dans le premier mois. Un organisme qui vous écrit le 35e jour pour vous demander deux mois de plus est hors délai.

Au bout du mois (ou des trois mois si prolongation valide), si vous n'avez rien reçu ou si la réponse est manifestement incomplète, le silence est un refus. Et un refus ouvre la voie au recours.

Quand ils refusent ou traînent : la mécanique de l'escalade

L'écart entre le droit théorique et le droit exercé est le talon d'Achille du RGPD. Beaucoup d'organismes parient sur le découragement. Ne le leur offrez pas.

Étape 1 : relance écrite. Un mail simple, daté, qui rappelle la date de la demande initiale, le délai légal et la demande de réponse complète sous 15 jours. Conservez les accusés de réception.

Étape 2 : plainte CNIL. Le formulaire est en ligne, gratuit et prend 10 minutes à remplir (cnil.fr, plainte en ligne). Joignez la copie de votre demande initiale, la réponse reçue (ou son absence) et la relance. La CNIL peut mettre l'organisme en demeure, le sanctionner financièrement et publier la sanction. Pour un organisme grand public, la pression réputationnelle est souvent plus dissuasive que l'amende elle-même.

Étape 3 : recours judiciaire. Si vous voulez aller plus loin, le tribunal judiciaire est compétent. Vous pouvez demander la communication des données sous astreinte et des dommages et intérêts. Pour un cas grand public, cette étape reste rare mais elle existe.

Les cas qui posent problème en pratique

Votre employeur. Le droit d'accès s'applique à toutes vos données professionnelles, y compris vos courriels professionnels. La CNIL a précisé que l'employeur ne peut pas opposer un secret commercial systématique mais peut expurger les éléments qui portent atteinte aux droits de tiers (par exemple, le nom d'un collègue qui vous a évalué). Demandez la version expurgée plutôt que d'accepter un refus global.

Une plateforme grand public. Beaucoup proposent un téléchargement automatisé via les paramètres de compte (Meta, Google, X, LinkedIn). C'est un bon point de départ mais ce n'est presque jamais l'intégralité de ce que prévoit l'article 15. Les segments marketing dérivés, les destinataires tiers et les transferts hors UE ne figurent généralement pas dans l'export en libre-service. Doubler avec une demande formelle reste pertinent.

Un organisme qui dit "ne plus avoir vos données". Demandez qu'il vous le confirme par écrit, en précisant la date de suppression et la base légale invoquée pour la conservation préalable. Cette confirmation écrite vaut preuve si une donnée resurgit plus tard, par exemple via un sous-traitant.

Un courtier en données ou un data broker. Plus difficile à identifier mais le droit s'applique aussi. Si une entreprise vous contacte sans que vous ayez jamais entendu parler d'elle, elle a forcément acquis vos données quelque part. Demandez la source dans votre droit d'accès. La réponse ou son absence est en soi un signal.

Une arme sous-utilisée

Le droit d'accès est le pied dans la porte qui rend tous les autres droits opérables. On ne demande pas la suppression d'un fichier dont on ignore l'existence. On ne s'oppose pas à un traitement automatisé qu'on ne soupçonne pas. On ne porte pas plainte contre un transfert hors UE qu'on ne connaît pas.

Et pourtant, les retours compilés par les associations de défense des consommateurs et les bilans CNIL successifs suggèrent que la part des citoyens qui activent réellement ce droit reste largement en deçà des situations où il serait légitime. Le droit existe. La pratique reste à construire. Une demande, un mail, un mois d'attente : c'est le coût d'entrée pour reprendre une part de visibilité sur ce que les organismes savent de vous.

Dans la même série

Initié

Refus de crédit : exigez une explication

La CNIL rappelle vos droits face au scoring algorithmique des banques. Refus de crédit, comprendre la décision, la contester : voici comment exercer concrètement le RGPD.

5 min
Initié

LinkedIn et vos données : comment consulter, télécharger et effacer ce que Microsoft stocke sur vous

LinkedIn n'est pas un réseau social comme les autres : il concentre vos données professionnelles les plus sensibles (employeurs, salaires, ambitions). Depuis le rachat par Microsoft en 2016, ces données alimentent un écosystème publicitaire condamné à 310 millions d'euros d'amende par l'autorité irlandaise. Guide complet pour reprendre la main.

7 min
Initié

Google et vos données : voir, télécharger et effacer ce que le moteur sait sur vous

Recherches, localisation, YouTube, Gmail : Google conserve des années d'historique. Guide complet pour consulter ce que Google sait, tout télécharger avec Takeout, et exercer vos droits RGPD pour faire supprimer ce que vous ne souhaitez pas conserver.

8 min