Parmi les droits que le RGPD reconnaît aux personnes concernées, le droit d’accéder aux données faisant l’objet d’un traitement (le fameux « droit d’accès »)[1] est sans doute celui qui parle le plus au grand public. Pour les avocats, il présente également un intérêt certain. La Cour de justice de l’Union européenne a en effet confirmé que la personne concernée n’a pas à justifier la finalité de sa demande auprès du responsable du traitement, ladite finalité pouvant par ailleurs être totalement étrangère à la protection des données[2].
Vous me direz sans doute : « Intéressant pour un spécialiste… mais en pratique, qu’est‑ce que cela change pour moi ? ». Eh bien, si on lit entre les lignes, cela signifie que, dans certains cas, votre client peut invoquer son droit d’accès pour obtenir des extraits de documents (voire des documents complets) contenant ses données à caractère personnel[3]. Des documents qu’il ne détenait peut‑être pas, et qui peuvent se révéler précieux, notamment à des fins probatoires.
Cette parenthèse refermée, n’oublions pas l’autre versant de la médaille : ce droit peut également être exercé à votre encontre. Un client, ancien ou actuel, ou toute personne dont vous traitez les données dans le cadre de votre activité professionnelle peut parfaitement vous adresser une telle demande.
Dans ce cas, comment devez‑vous réagir ? Êtes‑vous tenu de communiquer les données, au risque de compromettre la confidentialité ? C’est précisément ce que nous allons examiner.
- L’accès aux données à caractère personnel : un droit au cœur de la protection
Avant d’entrer dans le vif du sujet, rappelons que le RGPD reconnaît aux personnes concernées plusieurs droits destinés à leur permettre de garder la maîtrise de leurs données personnelles. Parmi eux, le droit d’accès occupe une place tout à fait essentielle. Historiquement, ce droit poursuit deux objectifs bien précis : permettre à la personne de vérifier la licéité du traitement et lui offrir la possibilité d’exercer, le cas échéant, les autres droits prévus par le règlement[4]. Si ce droit est si important, et s’il est, en pratique, le plus exercé[5], c’est donc parce qu’il conditionne l’effectivité de tous les autres.
- Les trois composantes et les modalités d’exercice du droit d’accès
Le droit d’accès repose sur trois composantes. Premièrement, il permet à la personne concernée de savoir si des données la concernant sont traitées (« droit à la curiosité »[6]) : le responsable doit confirmer ou infirmer l’existence d’un traitement.
La seconde composante consiste en le droit d’accès stricto sensu : concrètement, une description claire, voire une copie des données (voy. ci-après), doit être transmise à la personne concernée.
Le droit d’accès permet, troisièmement, à la personne concernée de recevoir des informations complémentaires relatives au traitement : finalités, catégories de données, destinataires, durée de conservation, droits associés, etc. Tout cela dans l’objectif de contextualiser le traitement.
Comme les autres droits prévus par le RGPD, le droit d’accès est encadré par certaines modalités. La première demande doit être traitée gratuitement, sauf demande manifestement infondée ou excessive[7]. Le responsable du traitement dispose en principe d’un délai de trente jours pour répondre, délai qui peut être prolongé en cas de complexité[8]. Enfin, la personne concernée peut demander (sauf exception) à recevoir une copie de ses données[9].
- Avocat et droit d’accès : l’équilibre avec le secret professionnel
À ce stade, encore faut‑il savoir comment appliquer ces principes dans le contexte particulier de la profession d’avocat. La position officielle d’AVOCATS.BE, telle qu’exprimée dans la fiche n°11 disponible sur notre extranet[10], consiste à distinguer la situation dans laquelle les données sont traitées dans le cadre de la mission d’avocat de celle dans laquelle elles le sont en dehors. Lorsqu’un avocat traite des données dans l’exercice strict de sa mission (ce qui inclut le traitement des données de la partie adverse), l’article 23 du RGPD permet au droit national de prévoir des limitations, et le secret professionnel (art. 458 C. pén.) constitue précisément une telle limitation. En conséquence, l’avocat n’est pas tenu de faire droit aux demandes d’accès portant sur des données traitées dans ce cadre.
À l’inverse, lorsque le traitement ne relève pas de la mission d’avocat (gestion RH, fournisseurs, collaborateurs, etc.), le droit d’accès s’applique pleinement et l’avocat doit répondre à la demande.
Concrètement, comment réagir lorsqu’une demande vous parvient ? D’abord, il importe d’identifier dans quel contexte les données ont été traitées : mission d’avocat ou non. Cette qualification détermine entièrement vos obligations. Si la demande vise des données couvertes par le secret professionnel, vous pouvez (et devez souvent) opposer un refus, motivé par écrit, afin de conserver une preuve du traitement de la demande. Vous pouvez alors rediriger la personne vers votre charte vie privée, sans divulguer d’informations relatives à votre intervention lorsque celle-ci est elle-même couverte par le secret.
Si, en revanche, le traitement ne relève pas de votre mission d’avocat, la demande doit être prise en charge selon les modalités habituelles du RGPD : vérification de l’identité du demandeur, traitement dans les délais, communication des données ou des informations requises, éventuelle remise d’une copie.
Pour aller plus loin, la fiche n°11 précitée fournit un cadre complet, incluant les éléments à insérer dans votre charte vie privée et les modalités pratiques de réponse. Elle constitue une référence indispensable pour harmoniser votre pratique et sécuriser la gestion de ce droit au sein de votre cabinet.
Martin Rappe,
Avocat au barreau de Bruxelles et assistant à la faculté de droit de l’UNamur
[1] RGPD, art. 15.
[2] C.J., arrêt FT c. DW, 26 octobre 2023, C-307/22, EU:C:2023:811, point 38 ; voy. aussi C.J., arrêt CRIF précité, point 32. C.J., ord. Addiko Bank d.d. c. Agencija za zaštitu osobnih podataka, 27 mai 2024, C-312/23, point 40.
[3] C.J., arrêt F.F. c. Österreichische Datenshutzbehörde et CRIF GmbH, 4 mai 2023, C-487/21, EU:C:2023:369, point 41.
[4] Voy., p. ex., C.J., arrêt J.M. c. Apulaistietosuojavaltuutettu et Pankki S, 22 juin 2023, C-579/21, EU:C:2023:501, points 58 et 59.
[5] Communication de la Commission au Parlement européen et au Conseil, Deuxième rapport sur l’application du règlement général sur la protection des données, 27 juillet 2024, COM(2024) 357 final, p. 14.
[6] C. de Terwangne, « Quels droits ? Quelles obligations » in C. de Terwangne, E. Degrave, A. Delforge et L. Gérard, La protection des données à caractère personnel en Belgique, 1re édition, Bruxelles, Politeia, 2019, p. 67.
[7] RGPD, art. 12 (5).
[8] RGPD, art. 12 (3).
[9] RGPD, art. 15 (4). Pour la petite histoire, il existe une controverse quant à la question de savoir si le droit à l’obtention d’une copie doit être considéré comme un droit distinct (« voisin ») du droit d’accès ou plutôt comme une modalité d’exercice de ce droit. Personnellement, je penche pour la seconde option. Si cette question vous intéresse (sait-on jamais), voy. M. Rappe, « RGPD : la Cour de justice précise les contours du droit d’accès », R.D.T.I., n° 98, 2025, pp. 11 à 41.
[10] https://extranet.avocats.be/fr/rgpd
