Exercer ses droits RGPD

Chaque organisme qui traite vos données doit répondre à une demande d'accès, de rectification ou d'effacement sous 1 mois. Voici la procédure.

1. Les sept droits

• Droit d'accès (art. 15 RGPD) : obtenir la confirmation qu'un organisme traite vos données et en obtenir une copie, ainsi que les finalités, les catégories de données, les destinataires, la durée de conservation.
• Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) : faire supprimer les données, dans les cas prévus (finalité éteinte, retrait du consentement, opposition acceptée, traitement illicite).
• Droit à la limitation (art. 18) : geler le traitement pendant un examen contentieux.
• Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime ou à la prospection commerciale.
• Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine.
• Droit de retirer son consentement (art. 7) : à tout moment, quand c'est cette base légale qui est utilisée.

2. Identifier l'organisme

La demande s'adresse au responsable de traitement : le plus souvent, la société ou administration elle-même, et non ses sous-traitants. Leur adresse doit figurer dans la politique de confidentialité. Si un délégué à la protection des données (DPO) est désigné, ses coordonnées sont également publiées.

3. Rédiger la demande

Par courrier recommandé, par email (avec accusé de lecture) ou via un formulaire en ligne de l'organisme. La demande doit :

• identifier le demandeur (sans nécessairement joindre de copie d'identité — ne le faire que si des doutes sérieux subsistent) ;
• préciser le droit invoqué et le fondement RGPD (article) ;
• être datée.

Objet : demande d'accès à mes données personnelles au titre de l'article 15 du RGPD
Madame, Monsieur, au titre de l'article 15 du RGPD, je vous demande communication des données personnelles que vous détenez à mon sujet, des finalités du traitement, des catégories de données concernées, des destinataires et de la durée de conservation. (…) Dans l'attente d'une réponse dans le délai d'un mois, (…).

4. Délai de réponse

• 1 mois pour répondre (art. 12 RGPD).
• Prolongation possible de 2 mois supplémentaires pour les demandes complexes : l'organisme doit alors en informer le demandeur dans le premier mois.
• Réponse gratuite.
• Absence de réponse = refus tacite.

5. Saisir la CNIL en cas de blocage

1. Conserver la preuve de la demande initiale et d'éventuelles relances.
2. Saisir la CNIL via le téléservice « déposer une plainte » sur cnil.fr.
3. Joindre : demande initiale datée, preuve d'envoi, réponse de l'organisme (ou absence), exposé du motif de plainte.
4. La CNIL instruit, peut mettre en demeure, contrôler et sanctionner.

6. Exceptions

• L'effacement peut être refusé si le traitement est imposé par la loi (données comptables sur 10 ans, données fiscales, obligations LCB-FT bancaires).
• Les traitements à des fins archivistiques, scientifiques, journalistiques bénéficient de dérogations encadrées.
• Un traitement fondé sur l'exécution d'un contrat ne peut pas être suspendu tant que le contrat est en cours (l'effacement équivaudrait à résilier).

Une chose à faire maintenant

Envoyer la demande par email en demandant un accusé de réception et de lecture. En cas de blocage, la preuve d'envoi est indispensable.