Un client, un salarie ou un usager vous demande d’acceder a ses donnees personnelles ? Vous avez 30 jours pour repondre. Voici comment traiter efficacement une demande de droit d’acces en 2025 tout en respectant le RGPD.
Le droit d’acces : un droit fondamental du RGPD
L’article 15 du RGPD garantit a toute personne le droit d’obtenir du responsable de traitement la confirmation que ses donnees sont ou ne sont pas traitees, et lorsqu’elles le sont, l’acces a ces donnees ainsi qu’a un ensemble d’informations : les finalites du traitement, les categories de donnees, les destinataires, la duree de conservation prevue, l’existence d’autres droits (rectification, effacement, limitation).
Qui peut exercer ce droit ?
Toute personne physique dont les donnees sont traitees par votre organisme peut exercer son droit d’acces : clients, prospects, salaries, anciens salaries, usagers, patients, adherents, eleves et leurs parents. La demande peut etre formulee par ecrit ou oralement, par tout moyen : email, courrier, formulaire en ligne, guichet d’accueil. Aucun formalisme particulier n’est impose.
Verifier l’identite du demandeur
Avant de repondre, vous devez vous assurer que la demande provient bien de la personne concernee ou de son representant legal. En cas de doute raisonnable sur l’identite, vous pouvez demander des informations supplementaires pour la confirmer. Attention : n’exigez pas systematiquement une copie de piece d’identite si d’autres moyens permettent de verifier l’identite (email connu, espace client authentifie).
Le delai de 30 jours
Vous disposez d’un mois a compter de la reception de la demande pour y repondre. Ce delai peut etre prolonge de deux mois supplementaires si la demande est complexe ou si vous recevez un grand nombre de demandes. Dans ce cas, vous devez informer la personne de cette prolongation et de ses motifs dans le premier mois. Le silence n’est pas une option : vous devez toujours repondre, meme pour refuser.
Que fournir en reponse ?
Vous devez communiquer une copie des donnees personnelles traitees, accompagnee des informations prevues a l’article 15 : finalites, categories de donnees, destinataires, duree de conservation, droits de la personne, source des donnees si elles n’ont pas ete collectees directement. La premiere copie est gratuite. Pour les copies supplementaires, vous pouvez facturer un cout raisonnable base sur les frais administratifs.
Format de la reponse
Si la demande est formulee par voie electronique, les informations doivent etre fournies sous une forme electronique d’usage courant, sauf demande contraire de la personne. Privilegiez un format structure et lisible : tableau recapitulatif des donnees, copie d’ecran anonymisee des fichiers, export de la fiche client du CRM. Pensez a anonymiser les donnees de tiers qui pourraient figurer dans les documents transmis.
Peut-on refuser une demande ?
Le droit d’acces n’est pas absolu. Vous pouvez refuser si la demande est manifestement infondee ou excessive (demandes repetitives). Vous pouvez aussi limiter l’acces pour proteger les droits et libertes d’autrui (secret des affaires, donnees de tiers, secret medical). En cas de refus, vous devez motiver votre decision et informer la personne de son droit de saisir la CNIL ou de former un recours.
Organiser le traitement des demandes
Pour respecter systematiquement le delai de 30 jours, mettez en place un processus interne : point de contact unique pour recevoir les demandes, registre de suivi avec dates de reception et d’echeance, modeles de reponse pre-rediges, procedure de collecte des donnees aupres des differents services. Formez vos equipes a identifier une demande de droit d’acces, meme formulee de maniere informelle.
Conclusion
Le droit d’acces est le droit le plus exerce par les personnes en 2025. Un traitement rapide et professionnel des demandes renforce la confiance de vos clients et de vos collaborateurs. Anticipez en mettant en place des procedures claires et des outils adaptes pour ne jamais depasser le delai de 30 jours.
