Facebook Instagram LinkedIn X-twitter
Rendez-vous
Droit IT

Droit d'accès au RGPD : ce que couvre l'article 15 du RGPD

  • Accueil
  • Blog
  • Droit d'accès au RGPD : ce que couvre l'article 15 du RGPD
Retour à tous les articles

L'article 15 du Règlement général sur la protection des données, intégré au droit néerlandais par l'Algemene Verordening Gegevensbescherming (AVG), confère à toute personne le droit inconditionnel de savoir si une organisation traite ses données personnelles, d'en obtenir une copie et de connaître le contexte, comme les finalités, les destinataires et les durées de conservation. Ce droit est le fondement de la transparence et de la responsabilité : il permet aux individus de vérifier ce qui est détenu à leur sujet et oblige les entreprises à maintenir des pratiques de traitement des données claires, documentées et défendables.

Que vous demandiez votre propre dossier RH ou que vous vous prépariez à répondre à la demande d'accès d'un client, connaître la portée et les limites exactes de l'article 15 réduit les risques d'amendes, de litiges et d'atteinte à la réputation. Dans les pages qui suivent, nous traduisons le texte juridique en anglais simple, accompagnons les personnes concernées à travers un modèle de demande étape par étape, guidons les responsables du traitement sur les délais, les frais et les obligations de rédaction, signalons les règles spécifiques aux Pays-Bas appliquées par l'Autorité de la protection des données (APD) et concluons par des listes de contrôle pratiques pour les deux parties.

Décryptage de l'article 15 AVG en anglais simple

« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès aux données à caractère personnel… » — Article 15(1) GDPR

En termes clairs : vous pouvez demander à n’importe quelle organisation « Conservez-vous des données me concernant ? Si oui, indiquez-moi lesquelles, pourquoi, avec qui vous les partagez et combien de temps vous les conservez. » C'est l'essence du droit d'accès en vertu du RGPD ; la portée de l'article 15 de l'AVG aux Pays-Bas est identique car l'Uitvoeringswet néerlandaise AVG ne fait que localiser l'application sans en modifier le contenu.

Lorsque vous déposez une demande, vous avez droit à huit éléments concrets :

  1. Confirmation du traitement
  2. Une copie des données personnelles
  3. Les finalités du traitement
  4. Catégories de données concernées
  5. Destinataires ou catégories de destinataires
  6. Période de stockage prévue ou critères pour la déterminer
  7. Autres droits RGPD que vous pouvez exercer
  8. Garanties pour tout transfert hors de l'EEE

Le droit est personnel — seule la personne concernée (ou un représentant valable) peut l’invoquer — et il est absolu Quant à la réception de vos propres données. Les responsables du traitement peuvent toutefois restreindre ou refuser l'accès lorsque d'autres droits fondamentaux (secrets commerciaux, vie privée de tiers) seraient compromis.

Texte juridique vs. termes profanes

Clause de l'article 15 Ce que cela signifie vraiment
15 (1) confirmation Demandez « oui/non » s’ils traitent vos données.
15 (1) accès Obtenez les données réelles ainsi que le contexte.
15 (1) c) destinataires Découvrez qui voit ou obtient les données, à l’intérieur ou à l’extérieur de l’entreprise.
15 (2) transferts vers des pays tiers Renseignez-vous sur les données envoyées en dehors de l'EEE et les protections utilisées.
15 (3) copier Recevez les informations dans un format numérique réutilisable, gratuitement.

Principaux points à retenir en un coup d’œil

  • Combien de temps un contrôleur peut-il prendre ? Un mois, extensible à trois pour les cas complexes.
  • Peuvent-ils me facturer ? Non, à moins que la demande ne soit « manifestement infondée ou excessive ».
  • Sous quel format vais-je recevoir les données ? Fichier électronique sécurisé (par exemple, PDF ou CSV) sauf demande contraire de votre part.
  • Dois-je utiliser un formulaire spécial ? Non; un e-mail, une lettre ou même un appel téléphonique comptent.
  • Et s'ils ne détiennent rien contre moi ? Ils doivent le signaler par écrit dans le même délai.

Qui peut exercer ce droit et envers qui ?

Conformément à l'article 4(1) du RGPD, un sujet des données Toute personne physique vivante et identifiable, qu'il s'agisse d'un client, d'un employé, d'un patient ou d'un élève mineur. Chacune d'entre elles peut invoquer le droit d'accès prévu par le RGPD : l'article 15 de l'AVG ne fait aucune distinction d'âge, de nationalité ou de lieu de résidence. Les demandes doivent être adressées à contrôleur: le parti qui décide why et how les données sont traitées. Un fournisseur de cloud ou un bureau de paie qui se contente de stocker les données est un processeur; il doit transmettre la demande au contrôleur mais ne peut pas refuser une instruction directe.

Les résidents néerlandais peuvent également adresser leur demande à une entreprise étrangère ciblant le marché néerlandais (par exemple, un réseau social irlandais). Le délai d'un mois commence à courir à la réception de la demande par le responsable du traitement, quel que soit le lieu d'hébergement de ses serveurs.

Situations particulières : représentants, personnes décédées, parents et tuteurs

  • Mineurs et adultes incapables : un parent, un tuteur ou un curateur peut agir en leur nom en vertu du Livre 1 du Code civil néerlandais.
  • Écoles et employeurs: élèves et employés se peut déposer une demande d'accès aux données (DAD) ; les représentants sont facultatifs, mais non obligatoires.
  • Les personnes décédées ne sont pas soumises au RGPD, mais les médecins, les notaires et les assureurs doivent néanmoins respecter les règles du secret professionnel avant de divulguer les dossiers concernés.

Responsabilité conjointe des contrôleurs dans les systèmes partagés

Lorsque deux ou plusieurs organisations conjointement déterminer les finalités ou les moyens du traitement (article 26 du RGPD) — par exemple, un employeur et son fournisseur de logiciels RH — ils sont responsables conjoints du traitementIls doivent convenir en toute transparence de qui répond aux demandes de l'article 15 et informer la personne concernée, mais chacun reste responsable si l'autre laisse tomber la balle.

Ce qui doit être divulgué : données et informations supplémentaires

Lorsque vous invoquez le droit d'accès en vertu du RGPD, le champ d'application de l'article 15 de l'AVG oblige le responsable du traitement à remettre deux choses : les données personnelles réelles et un paquet de détails contextuelsConsidérez cela comme la réception de la photo et de sa légende. La loi divise l'obligation de divulgation en huit catégories, énumérées ci-dessous.

Article 15(1) Ce que vous devriez recevoir
(a) Confirmation Un clair Oui Non si vos données sont traitées
(b) Objectifs Les raisons pour lesquelles les données existent (par exemple, la paie, le marketing)
(c) Catégories Types tels que les coordonnées, l'historique des achats, les journaux GPS
(d) Destinataires Équipes internes et partenaires ou sous-traitants externes
(e) Conservation Période ou critères exacts (par exemple, « 7 ans pour le droit fiscal »)
(f) Droits Rappel : vous pouvez rectifier, effacer, restreindre, vous opposer, déposer une plainte
(g) Source D'où proviennent les données si elles ne sont pas collectées auprès de vous
(h) Transferts Garanties pour tout envoi en dehors de l'EEE

Les données personnelles ne se limitent pas à un nom et un numéro. Elles englobent les profils comportementaux, les scores de crédit déduits, les images de vidéosurveillance, les enregistrements vocaux, les identifiants d'appareils et même des métadonnées apparemment banales comme les horodatages de connexion : tout ce qui peut être lié, directement ou indirectement, à une personne identifiable.

Explication de la « Copie des données personnelles »

A copier Désigne une reproduction intelligible, et non le fichier papier original. Attendez-vous à :

  • Un PDF de votre dossier de paie
  • Exportation CSV des notes CRM
  • ZIP avec fichiers audio des appels d'assistance
    Si vous avez envoyé la demande par courrier électronique, la livraison par défaut doit également être électronique et dans un format « couramment utilisé », à moins que vous ne demandiez du papier.

Données personnelles et documents : où tracer la ligne ?

Les responsables du traitement doivent extraire uniquement les extraits qui vous concernent. Par exemple, dans un compte rendu de réunion impliquant plusieurs employés, vos propos peuvent être divulgués tandis que ceux de vos collègues sont expurgés. À l'inverse, un compte rendu signé Contrat de travail est divulgué dans son intégralité car chaque clause vous concerne.

Informations complémentaires obligatoires

Au-delà de la copie des données, le responsable du traitement doit expliquer : les finalités, les catégories, les destinataires, la conservation, les droits disponibles, les sources de données, la logique des décisions automatisées (le cas échéant) et les garanties de transfert. Méfiez-vous des réponses vagues : « à des fins commerciales » ou « conservées aussi longtemps que nécessaire » ont peu de chances de satisfaire l'Autorité de protection des données. Des explications complètes et claires constituent la meilleure protection contre les plaintes et les amendes.

Comment soumettre et gérer une demande d'accès aux données personnelles (SAR) aux Pays-Bas

Une demande d’accès aux données peut être faite de la manière souhaitée par la personne concernée : par téléphone, en nous envoyant un mail, lettre, message privé sur les réseaux sociaux, voire chatbot. L'article 12 du RGPD interdit aux responsables du traitement d'exiger un formulaire spécifique ; ainsi, « Je souhaite une copie de toutes les données personnelles que vous détenez à mon sujet » suffit à déclencher le délai. Il est toutefois recommandé de déposer une trace écrite afin que les deux parties puissent suivre les délais. Une fois la demande reçue, le responsable du traitement doit immédiatement (1) accuser réception et (2) consigner la demande dans un journal. un mois Délai de réponse. Passé ce délai, tout silence ou retard risque de donner lieu à une plainte auprès de l'Autorité de la protection des personnes (AP) et à des amendes.

Vous trouverez ci-dessous un modèle concis et bilingue que les personnes concernées peuvent copier-coller ; aucun jargon juridique n'est requis.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

Les contrôleurs doivent créer un flux de travail d’admission simple :[email protected] boîte aux lettres, numéro de ticket, confirmation automatique, pour prouver la conformité ultérieurement.

Vérification d'identité sans surcollecte

Le contrôleur doit faire preuve de « raisonnabilité » en vérifiant l'identité de l'auteur de la demande sans s'approprier plus de données que nécessaire. L'AP recommande :

  • Faites correspondre les détails de la demande avec les données de compte existantes (nom d'utilisateur, ID client) dans la mesure du possible.
  • Si des preuves supplémentaires sont inévitables, demandez un passeport expurgé ou scan du permis de conduire avec le BSN, la photo et la MRZ masqués.
  • Ne conservez jamais de copies plus longtemps que nécessaire pour la vérification ; enregistrez le fait de la vérification, puis supprimez le fichier.

Enregistrement et tenue de registres pour la responsabilisation

Un journal SAR de base satisfait les régulateurs et votre DPD. Enregistrez :

  1. Date de réception et canal (e-mail, appel, etc.)
  2. Mesures de vérification d'identité prises
  3. Portée des données localisées
  4. Équipes internes impliquées
  5. Date et mode de réponse + toute prolongation demandée
  6. Résumé des informations fournies ou motifs de refus

La tenue de ce registre soutient le principe de « responsabilité » de l’article 5 et fournit une piste d’audit prête à l’emploi si l’AP frappe à votre porte.

Délais, honoraires et formats de livraison des contrôleurs

Lorsque l'horloge démarre, les contrôleurs ont un mois pour répondre à une demande d'accès. Ils peuvent prolonger une fois par jusqu'à deux mois supplémentaires, mais uniquement pour les demandes complexes ou nombreuses et Ils doivent justifier le retard dans le premier mois. Si aucune donnée personnelle n'est conservée, le responsable du traitement doit néanmoins répondre dans le même délai et le préciser explicitement.

L'article 12(5) établit une règle de gratuité : l'accès est gratuit. Une redevance n'est autorisée que lorsqu'une demande est « manifestement infondées ou excessives »—pensez à un employé demandant des copies identiques chaque semaine, ou à un spammeur demandant des données sur des centaines de faux profils.

La livraison doit être effectuée dans un format sécurisé « couramment utilisé ». Comparaison rapide :

Format Avantages Inconvénients
PDF crypté Lisible ; rédaction facile Mots de passe faibles possibles
Export CSV Lisible par machine ; petite taille Plus difficile pour les profanes
Portail sécurisé 2FA et piste d'audit Coûteux à entretenir

Quelle que soit la voie choisie, les contrôleurs doivent respecter les préférences raisonnables et éviter le verrouillage propriétaire.

Transmission sécurisée et minimisation des données

N'envoyez jamais de feuilles de calcul non protégées par courriel. Utilisez des fichiers protégés par mot de passe (partagez la clé séparément), des portails HTTPS avec authentification à deux facteurs ou un courrier recommandé pour les liasses papier. Avant la transmission, nettoyez les données tierces avec un logiciel de rédaction et supprimez les champs superflus. Cette mesure est conforme à l'article 5(1)(c) de minimisation des risques, tout en protégeant les collègues, les secrets commerciaux et les tiers.

Motifs légitimes de restreindre ou de refuser l'accès

L'article 15 est puissant, mais n'est pas sans limites. Le paragraphe 4 et le considérant 63 précisent qu'un responsable du traitement peut limiter, voire refuser, la divulgation des informations lorsque la transmission serait contraire à d'autres droits fondamentaux ou manifestement déraisonnable. La charge de la preuve incombe au responsable du traitement : vous devez document pourquoi un accès complet porterait atteinte à ces intérêts concurrents et comment vous avez atténué l’impact (par exemple, rédaction partielle).

Protection de la confidentialité des tiers

La divulgation d'une chaîne de courrier électronique qui nomme également des collègues ou des clients peut révéler leur Données personnelles. La jurisprudence néerlandaise (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) confirme que les responsables du traitement peuvent masquer ou résumer les identifiants tiers, à condition que le demandeur comprenne le contexte. Techniques :

  • Noms et numéros de téléphone en noir et blanc
  • Remplacer par des termes neutres (« un autre employé »)
  • Fournir des extraits au lieu du fichier entier

Secrets commerciaux, propriété intellectuelle et droit d'auteur

Les entreprises n'ont pas besoin de dévoiler leur kimono algorithmique. Si la divulgation du code source, des formules de tarification ou du matériel protégé par le droit d'auteur expose un savoir-faire confidentiel, l'article 15(4) autorise une réponse calibrée. Solution de contournement typique : décrire la logique d'une décision automatisée en langage clair, et non le code complet ; fournir des extraits d'un calendrier contractuel, et non le modèle propriétaire. Expliquez toujours pourquoi une divulgation plus approfondie porterait préjudice à des intérêts commerciaux.

Prévenir les abus de droits

Une demande est manifestement infondées ou excessives Lorsqu'elles sont répétitives, harcelantes ou délibérément contraignantes, pensez à copier-coller les rapports d'activité après la livraison des données complètes. Les responsables du traitement peuvent alors :

  1. Facturer des « frais raisonnables » reflétant les coûts administratifs, or
  2. Refuser d’agir complètement.
    Dans tous les cas, vous devez justifier votre position par écrit et informer la personne concernée de son droit de déposer une plainte auprès de l'Autoriteit Persoonsgegevens.

Demander réparation : plaintes et litiges aux Pays-Bas

Lorsqu'un responsable du traitement ne parvient pas à ses fins, les personnes concernées disposent d'options rapides et progressives pour faire valoir leur droit d'accès en vertu du RGPD (champ d'application de l'article 15 de l'AVG).

  1. Coup de pouce interne. Envoyez un rappel daté faisant référence à l’article 15 et au délai écoulé ; la plupart des organisations s’y conforment une fois invitées.
  2. Plainte de l'Autoriteit Persoonsgegevens. Déposez votre dossier en ligne. L'AP peut ordonner la divulgation, imposer des astreintes journalières ou des amendes administratives. Les dossiers simples sont souvent clôturés en trois mois.
  3. Action en justice civile. Conformément à l'article 82 du RGPD tribunaux néerlandais peut accorder des injonctions et des indemnités. Des décisions récentes ont accordé des indemnités de 250 à 2 500 € pour préjudice moral, avec procédure accélérée. cortex geding aide disponible pour les conflits d'emploi urgents.

Coopération transfrontalière et guichet unique

Un résident néerlandais peut toujours déposer une plainte auprès de l'AP, même si le siège européen du responsable du traitement est situé ailleurs. L'AP transmet le dossier via le RGPD. guichet uniqueainsi que, Conseil européen de la protection des données peut briser toute impasse réglementaire. La géographie ne constitue donc pas un obstacle à l’obtention de vos données.

Plan directeur de conformité pour les organisations

Un processus SAR efficace commence bien avant la première demande. Mettez en place ces éléments essentiels et 90 % des problèmes d'accès disparaîtront :

  • Publiez une politique SAR courte et rédigée en anglais simple et orientez-la vers le personnel.
  • Maintenez vos registres des activités de traitement (RoPA) à jour afin de savoir où se trouvent les données.
  • Cartographiez les périodes de conservation et les déclencheurs de suppression ; les données obsolètes sont des données que vous n'avez jamais besoin de transmettre.
  • Maintenez un flux de travail de rédaction étape par étape avec une révision à double contrôle.
  • Enregistrez chaque demande, décision et délai pour l'article 5 la reddition de comptes.
  • Organisez des exercices annuels sur table pour tester la vitesse, la clarté et la chaîne de commandement.

Formez le front-office, les RH et le service informatique à repérer et à trier les demandes verbales ; un appel téléphonique manqué peut déclencher le chronomètre des pénalités.

Automatisation et outils

Utilisez des logiciels de découverte de données, des API de vérification d'identité et des portails de téléchargement sécurisés pour rechercher, regrouper et transmettre rapidement des données, en laissant toujours de la place à la vérification du sens humain et au contexte.

Intégration avec d'autres droits des personnes concernées

Concevez le flux de travail SAR pour qu'il se ramifie en actions de rectification, d'effacement ou de portabilité ; un pipeline cohérent évite les recherches en double et les réponses incohérentes.

Autonomisation des personnes concernées : conseils pratiques pour des demandes efficaces

Un SAR clair et bien défini permet à tout le monde de gagner du temps et rend le décrochage du contrôleur plus difficile. Essayez ces tactiques :

  • Préciser est ce que nous faisons vous voulez : « Tous les e-mails entre moi et le manager Jansen du 1er janvier au 31 mars 2024. »
  • Mention il se trouve : « Système RH et tickets d’assistance. »
  • Énoncez votre format préféré (CSV, PDF) et canal sécurisé.
  • Indiquez l'urgence lorsque cela est pertinent (« à venir ») Revue de la performance le 15 octobre »).

Une fois les données reçues, recherchez les erreurs ou les lacunes et lancez immédiatement une demande de rectification ou d'effacement : le fait de suivre la même piste de preuves permet de maintenir l'élan.

Stratégie d'escalade en cas d'ignorance

Jour 31 et toujours silence radio ? Restez poli mais ferme :

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

Documentez chaque étape (dates, courriels, appels téléphoniques). Si la semaine supplémentaire est écoulée, déposez une plainte en ligne auprès de l'AP et joignez votre dossier de preuves ; les tribunaux et les organismes de réglementation privilégient les plaignants bien organisés.

Conclure votre droit d'accès

L'article 15 du RGPD/AVG donne le contrôle aux individus : vous pouvez demander, consulter et contester ce qu'une organisation fait de vos données. Pour les responsables du traitement, des procédures claires, des archives bien rangées et des expurgations judicieuses ne sont pas facultatifs ; c'est le seul moyen de respecter le délai d'un mois et d'échapper aux foudres de l'Autorité de protection des données.

Rappelez-vous le manuel de base :

  • la demande peut être informelle,
  • la réponse doit être gratuite, rapide et complète,
  • les limites sont étroites et doivent être justifiées,
  • Une divulgation partielle est préférable à un refus général.

Suivez ces règles et le droit d’accès devient une tâche de conformité de routine au lieu d’un casse-tête judiciaire.

Besoin d'un modèle de rapport d'accès personnalisé (SAR) sur mesure, d'aide pour démêler les données de tiers ou d'une stratégie pour un responsable du traitement récalcitrant ? Les avocats spécialisés en protection de la vie privée de Law & More sont prêts à intervenir, que vous soyez une personne concernée à la recherche de réponses ou une entreprise en quête de certitude.

Besoin d'assistance juridique?

Contact Law & More Pour obtenir des conseils d'experts sur vos questions juridiques, notre équipe multilingue est à votre disposition.

Réservez Consultation
Contactez-Nous

Besoin de conseils juridiques ?

Nos avocats expérimentés sont prêts à répondre à vos questions juridiques.

Réservez Consultation

Articles connexes

Salle de réunion d'entreprise avec ordinateur portable, documents juridiques et tableau de bord de conformité RGPD affichant des indicateurs d'alerte — illustration accompagnant les risques juridiques liés au partage de données dans le cadre du RGPD
Droit IT

7 risques liés au RGPD que toute entreprise doit connaître lors du partage de données

Le partage de données est essentiel au commerce moderne. Que vous intégriez un nouveau fournisseur de cloud,

Lire la suite
Vue aérienne d'un campus technologique moderne à l'heure dorée, montrant des immeubles de bureaux en verre entourés de collines verdoyantes et une silhouette urbaine au loin — symbolisant le point de rencontre entre technologie et risque juridique.
Droit pénal, Droit IT

Responsabilité pénale des entrepreneurs du secteur technologique : quand un litige civil en matière de propriété intellectuelle devient-il pénal ?

Une entreprise SaaS néerlandaise reçoit une mise en demeure lui reprochant d'utiliser une fonctionnalité essentielle de son produit.

Lire la suite
Bureau moderne à l'heure dorée, avec des plans techniques, un document de brevet et un prototype en laiton sur un bureau élégant, donnant sur la ligne d'horizon de la ville.
Droit IT

Demande de brevet aux Pays-Bas : le guide complet pour les entrepreneurs

1. Introduction – Pourquoi un brevet est-il essentiel pour les entrepreneurs ? Vous avez passé des mois –

Lire la suite

Restez informé(e) sur le droit néerlandais

Abonnez-vous à notre newsletter pour recevoir les dernières analyses juridiques, les mises à jour réglementaires et des conseils pratiques.

Law & More Logo et branding
Logos tous verticaux (1)

Services

Expertise

Lien rapide

Contactez-nous

Facebook Instagram LinkedIn Twitter

© 2026 Law & More. Tous droits réservés.

image des heures d'ouverture.webp
Klantenvertellen.nl Law and More avis clients

Cabinet d'avocats international au service des entreprises et des particuliers Eindhoven et Amsterdam. 

Expertise dans l'écosystème technologique de Brainport.

 

Facebook Instagram LinkedIn Twitter
Logos

Services

Expertise

Lien rapide

© 2026 Law & More. Tous droits réservés.

Conditions générales  ·  Déclaration de confidentialité   ·  Procédure de plainte  ·  Politique de cookies

Contact

  • +31 20 369 71 21
  • Amsterdam: Pietersbergweg 291, 1105 BM (lieu de visite)
  • Du lundi au vendredi : 08h00-18h00 | Samedi-Dim : 09h00-17h00

Langue

image des heures d'ouverture.webp
Klantenvertellen.nl Law and More avis clients