La bonne gestion des demandes d’exercice du droit d’accès aux données personnelles constitue une obligation essentielle pour toute entité soumise au RGPD et à la loi Informatique et Libertés. Ces entités, qu’elles soient publiques et privées et quelle que soit leur taille (entreprise, ministère, administration, association, etc.) doivent répondre efficacement et dans les délais aux demandes des personnes concernées par le traitement de leurs données à caractère personnel.

Face à l’augmentation des contrôles de la CNIL et des contentieux judiciaires sur ce sujet, il est crucial de comprendre les spécificités du droit d’accès, d’anticiper les difficultés pratiques et de mettre en place des procédures adaptées pour répondre aux demandes dans le respect de la réglementation.

Pourtant, certains aspects de la réglementation soulèvent dans la pratique de nombreuses questions pratiques et juridiques, tant sur le périmètre des informations à communiquer que sur les modalités de réponse et les limites à respecter. Cette FAQ vise à accompagner concrètement les professionnels dans la gestion conforme et sécurisée de ces droits, pour vous aider à sécuriser les pratiques et à limiter l’exposition au risque de sanction.

 

Périmètre du DSAR

1. En cas de demande d’accès aux emails, que doit-on communiquer ?

La question se pose souvent car en principe, le droit d’accès porte sur les données et non sur un document. Or, la Cour de cassation a pu préciser que le contenu du courriel est considéré comme une donnée personnelle dès lors qu’il permet d’identifier, directement ou indirectement, un individu (Cass. Soc., 18 juin 2025, n° 23-19.022, P). Il peut donc être important de le communiquer.

Dans le cas d’une demande exercée par un collaborateur, il peut être nécessaire de communiquer les courriels dans lesquels il est mentionné, mais dont il n’est ni l’émetteur ni le destinataire.  Le travail de collecte peut être fastidieux et l’employeur doit trouver un équilibre entre satisfaire le droit d’accès du salarié et respecter les droits et libertés des autres salariés, notamment le secret des correspondances. Pour cela, la CNIL recommande de procéder en deux temps :

1. S’assurer que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits des salariés de l’organisme. Lorsque l’identification des courriels suppose la mise en œuvre de moyens particulièrement intrusifs (ex. scan de l’ensemble des messageries des salariés), le demandeur est invité à préciser sa demande. Si ce dernier s’y oppose, l’employeur devra répondre au droit d’accès pour les données contenues dans des courriels ne nécessitant pas de tels moyens intrusifs.

Si le demandeur précise sa demande et que cela permet d’identifier les courriels demandés sans atteinte disproportionnée au secret de la correspondance, il faut procéder à la deuxième étape.

2. Étudier le contenu des courriels et l’éventuelle atteinte aux droits des tiers du fait de leur communication, au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires. L’analyse est menée au cas par cas, selon la nature des informations (ex. enquête disciplinaire, etc.).

La jurisprudence récente tend à durcir les obligations incombant à l’employeur, ce dernier ne pouvant rejeter en bloc une demande sans justifier des motifs de son refus, sans analyser les demandes au cas par cas. De son côté, les tribunaux opèrent un contrôle de proportionnalité sur le terrain du droit de la preuve et peuvent enjoindre les entreprises à communiquer une partie des documents nécessaire au litige en occultant les éléments sensibles.

 

2. Le droit d’accès porte-il également sur les métadonnées associées aux données à caractère personnel ?

La CNIL considère que, lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, le responsable du traitement doit fournir tant les métadonnées (horodatage, destinataires, etc.) que les données personnelles contenues dans les courriels.

Dans cette hypothèse, le plus aisé est d’envoyer une copie des courriels. L’envoi d’un tableau contenant les métadonnées et les données personnelles contenues dans les différents courriels est également une solution.

 

3. Lorsqu’un salarié de plus de 20 ans d’ancienneté au sein d’une société demande une copie de ses emails, cela représente plusieurs millions de documents. Traiter sa demande est techniquement irréalisable… Comment faire ?

Si la demande est trop large ou imprécise, notamment lorsque le responsable du traitement traite une grande quantité de données sur la personne concernée, il peut être demandé des précisions afin d’y répondre efficacement. Il est alors recommandé demander à la personne de préciser sur quelles données ou quelles opérations de traitement sa demande porte.

Ainsi, dans le cas d’un salarié qui dispose d’une longue ancienneté, il est possible de demander de préciser la période, les mots-clés, ou les types de documents dont la copie est sollicitée.

La demande doit coïncider avec la durée de conservation des données, à savoir tant les durées de conservation qui résulterait d’obligations légales, que celles mises en place par la société. En effet, le responsable du traitement n’est pas tenu de fournir des courriels ou documents qui ne sont plus conservés conformément à sa politique de conservation ou aux obligations légales applicables. Il est donc recommandé d’informer le salarié de la période de conservation des courriels et de préciser que seuls les documents encore disponibles dans les systèmes de l’entreprise pourront être communiqués.

 

4.Hormis les emails, doit on communiquer tous les documents que nous détenons sur la personne, notamment les documents dans lesquels on peut retrouver les données personnelles de la personne (contrat de travail, notes internes, etc.) ?

Oui, tous les documents contenant des données personnelles concernant la personne doivent être communiqués, y compris son contrat de travail et les éventuels avenants, des notes internes le concernant, ses évaluations, ses emails, etc. dans le respect des limitations exposées par le RGPD. À ce titre, il convient de veiller à ne pas porter atteinte aux droits et libertés des tiers, tels que le secret des affaires, la vie privée d’autres salariés, ou un droit de propriété intellectuelle (par exemple le droit d’auteur, lorsqu’il protège le logiciel) et de respecter les exceptions légales applicables (demande est infondée ou excessive).

Avant toute communication, il est recommandé d’analyser chaque document pour occulter, si nécessaire, les informations susceptibles de porter atteinte aux droits d’autrui.

 

 

La qualité de l’information

5. Peut-on, en réponse à une demande d’information sur les données personnelles, se limiter à préciser la finalité principale et orienter la personne vers la politique de confidentialité pour le reste ?

Le RGPD pose un principe selon lequel plusieurs catégories d’informations sur les modalités de traitement des données personnelles sont à fournir à la personne concernée qui en fait la demande, notamment les finalités du traitement, les catégories de données concernées, les destinataires, la durée de conservation, les droits de la personne, outre le droit de réclamation auprès d’une autorité de contrôle, la source des données (si elles n’ont pas été collectées auprès de la personne concernée), et l’existence d’une prise de décision automatisée le cas échéant.

Il est possible de renvoyer à la politique de confidentialité pour fournir ces informations, à condition que celle-ci soit suffisamment détaillée et couvre l’ensemble des éléments requis. Si la politique de confidentialité n’est pas assez précise ou exhaustive, il convient de compléter la réponse pour garantir la conformité. Le Comité européen de la protection des données (CEPD) recommande d’adapter le contenu et le niveau de détail de la réponse en fonction de la demande formulée par la personne concernée.

 

6. Si le destinataire des données personnelles est un ou plusieurs sous-traitants, faut-il donner le nom et coordonnées de tous ces prestataires ?

L’article 15 du RGPD relatif au droit d’accès de la personne concernée prévoit que cette dernière doit être informée sur « les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées ». Le RGPD n’exige pas expressément que les noms et coordonnées de tous les sous-traitants soient communiqués à la personne concernée par le traitement de ses données. Toutefois, le guide européen en la matière prévoit que, en application du principe d’équité, il convient de fournir les informations « les plus significatives sur les destinataires », ce qui comprend de « désigner nommément les destinataires afin que les personnes puissent savoir exactement qui détient leurs données personnelles » (G29, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, 2018).

Si le responsable du traitement choisit de se borner à communiquer les catégories de destinataires, les informations fournies doivent être les plus spécifiques possible sur le type de destinataire, notamment les activités de traitement concernées, le secteur et sous-secteur du destinataire, ainsi que son emplacement.

Si le destinataire est situé dans un pays tiers à l’Union européenne, il faut également informer la personne sur le pays tiers concerné, les garanties pertinentes prises pour garantir la protection des données personnelles, telle qu’une décision d’adéquation, ainsi que les moyens d’obtenir une copie de ces informations ou de connaître l’endroit où elles ont été mises à disposition.

 

 

Délai de réponse

7. Dans quels cas le délai d’un mois peut être augmenté jusqu’à 2 mois ?

Une demande doit être traitée « dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande ». Ce délai peut être prolongé de deux mois au maximum compte tenu de la complexité et du nombre de demandes, à condition que la personne concernée ait été informée des raisons de ce retard dans un délai d’un mois à compter de la réception de la demande.

Cette dérogation ne doit pas être utilisée de manière excessive.  Il faut apprécier au cas par cas les demandes susceptibles d’être considéré comme complexes. Les facteurs pertinents sont notamment la quantité de données traitées par l’organisme, la manière dont elles sont stockées (par exemple des données difficiles à récupérer, car traitées par différentes unités de l’organisme), la nécessité d’occulter des informations (par exemple des informations concernant des tiers ou qui constituent des secrets d’affaires), ou encore lorsque des travaux supplémentaires sont nécessaires pour rendre les informations intelligibles.

Le simple fait qu’une demande nécessite un effort important de traitement ne la rend pas « complexe » au sens du RGPD. De même, le fait qu’une grande entreprise reçoive un grand nombre de demandes ne justifie pas automatiquement une prolongation. Toutefois, si un grand nombre de demandes sont soudainement reçues (par exemple société visée par un « bad buzz »), cela peut constituer une raison légitime de prolonger le délai.

 

Vérification d’identité de la personne

8. A réception de demandes d’accès par email, nous demandons souvent une pièce d’identité pour confirmer l’identité, en précisant la raison pour laquelle ce justificatif est demandé. Généralement notre mail reste sans réponse. Que faire dans ce cas ?

En cas de doute raisonnable et sans justificatif d’identité, il n’est pas recommandé de répondre à la demande. En effet, communiquer des données personnelles à un tiers non autorisé risquerait de causer une violation de données personnelles susceptible d’engager la responsabilité de l’organisme.

Dès lors, sans réponse à la demande de justificatif d’identité, et sous réserve qu’un tel justificatif soit requis pour traiter la demande, cette dernière peut être considérée comme non recevable et le traitement suspendu. Il est recommandé de conserver la preuve de la demande de justificatif restée sans retour.

 

9. Pour un mineur, la demande de droit d’accès doit-elle être faite par les deux parents ou un seul suffit ?

Un seul parent titulaire de l’autorité parentale peut exercer le droit d’accès au nom du mineur. Il n’est pas nécessaire que les deux parents participent à la demande.

Cela étant dit, la CNIL considère que les mineurs peuvent exercer directement leurs droits sur leurs données personnelles lorsque cette démarche peut être regardée comme un « acte courant », notamment si elle correspond à l’intérêt supérieur de l’enfant. En ce sens, la CNIL estime que les mineurs doivent pouvoir exercer directement les droits relatifs à leurs données personnelles sur les réseaux sociaux, les plateformes de jeux et de partage de vidéos.

 

Modalités de réponse

10. En réponse à une demande d’accès, quels formats et moyens sont autorisés pour une transmission sécurisée des données ? Peut-on utiliser un canal de communication différent de celui employé par le demandeur ?

Dans la mesure du possible, le responsable du traitement doit permettre un accès à distance aux données personnelles idéalement via une fonctionnalité de téléchargement dans un format électronique courant et lisible (fichier PDF, XLX, etc.). Le format choisi doit garantir l’intelligibilité et l’accessibilité des informations.

En l’absence d’accès autonome, la transmission peut être électronique (avec des mesures de sécurité appropriées telles que cryptage ou mot de passe) ou non (par exemple un courrier recommandé, remis contre signature). L’envoi d’une clé USB par courrier recommandée est également possible.

Il est recommandé de répondre par le même canal de communication que celui utilisé par la personne mais l’utilisation d’un autre canal n’est pas contraire au RGPD.  Enfin, il est conseillé de confirmer par écrit la réception de la demande et d’indiquer le délai de traitement.

 

 

Traçabilité

11. Combien de temps doit-on garder copie des demandes traitées, notamment pour démontrer la conformité en cas de contrôle de la CNIL ?

La Loi Informatiques et Libertés et le RGPD ne prévoient pas de durée de conservation à cette fin. Pour ménager la capacité à démontrer le respect du RGPD, il est recommandé de conserver une trace de la gestion des demandes d’accès pendant une durée de cinq ans suivant la date de la réponse ou le dernier événement suivant celle-ci, le cas échéant.

 

 

Limites au DSAR

12. Quelles sont les limites du droit d’accès ? Quels sont les scénarios les plus courants ?

Les principales limites au droit d’accès tiennent à la possibilité de refuser de répondre aux demandes manifestement abusives ou excessive (demandes trop nombreuses, répétitives à des intervalles rapprochés, ou systématiques). Néanmoins, le responsable du traitement doit motiver sa décision et informer le demandeur des recours possibles.

Attention, le fait que la demande ne soit pas motivée (absence de justification) ne permet nullement de refuser d’y répondre.

Ainsi, une demande de droit d’accès formulée par un ancien salarié ayant engagé un contentieux prud’homal et qui porte sur la communication des motifs de son licenciement disciplinaire ne peut pas, en soi, être considéré comme abusif ou sans objet. À cet égard, la CNIL considère que les valeurs de classement annuel ou de potentiel de carrière sont communicables lorsqu’elles ont servi à prendre une décision concernant le salarié. L’employeur n’est pas tenu de les communiquer lorsqu’elles sont encore prévisionnelles, au jour de la demande.

Par ailleurs, le droit d’accès ne doit pas porter atteinte aux droits des tiers (secret des affaires, propriété intellectuelle, droits des tiers au respect de leur vie privée, sécurité publique, etc.). Par exemple, un salarié ne peut pas accéder aux données d’un autre salarié lorsqu’il existe un risque qu’une telle communication porte atteinte à sa vie privée ou au secret de ses correspondances.

Enfin, si aucune donnée n’est détenue sur la personne, le responsable doit tout de même répondre dans un délai d’un mois pour en informer le demandeur.

 

 

Risque de sanction

13. Concernant les contrôles CNIL, avez-vous des références de sanction du non-respect à une demande d’accès ?

La CNIL contrôle l’effectivité du respect du droit d’accès et rend régulièrement des décisions de sanction à ce sujet. En 2025, la CNIL a rendu publiques cinq décisions comportant des sanctions prononcées pour ce motif à l’encontre d’organismes de divers secteurs (e-commerce, immobilier, bancaire, santé, etc.). L’une des amendes prononcées notamment manquement pour non-respect du droit d’accès, s’élève à 150 millions d’euros (Délibération SAN-2025-005 du 1 septembre 2025).

 

A propos des auteures

Elisabeth Marrache et Gabrielle Pierre-Lenfant sont avocates au barreau de Paris et respectivement associée et collaboratrice du cabinet Addleshaw Goddard. Elles possèdent une expertise en propriété intellectuelle, nouvelles technologies et données personnelles.