Ce site web utilise des cookies
Ce site utilise des cookies nécessaires à son bon fonctionnement, nous respectons votre vie privée et ne collectons pas vos données pour réaliser des statistiques de visites.
Accepter Tout refuser

Nos avocats prennent la parole

Nous contacter
02 . 04 . 2026

Automatisation du droit d’accès aux données personnelles détenues par les organismes publics

L'automatisation du droit d'accès aux données personnelles détenues par les organismes publics n’est plus une perspective : c’est une évolution juridique en cours de consolidation.

Un sujet structurant, à la croisée du RGPD, du droit civil, du droit européen des données… et d’une réalité technique où l’administration est déjà, en grande partie, API-compatible.

Le cadre juridique est déjà là.

Le RGPD consacre un droit fondamental d’accès aux données.
Le droit civil permet l’exercice de ce droit par mandat.
Le droit européen, avec le DGA, a institutionnalisé un tiers de confiance : le PSID.

Le projet d’omnibus numérique, actuellement en cours d’adoption au niveau européen, va plus loin : il consacre une logique d’automatisation et de formats “machine-readable” pour l’exercice des droits, en cohérence avec le Data Act.

Le véritable blocage n’est plus juridique, il est opérationnel.

Le délai d’un mois prévu à l’article 12 du RGPD a été conçu pour des traitements manuels.
Mais lorsque l’identification est sécurisée (eIDAS), la demande est portée par un PSID encadré, et l’administration dispose déjà d’API (open data, interopérabilité), maintenir un traitement manuel devient difficilement justifiable.

Les régulateurs eux-mêmes confirment cette trajectoire, mais avec vigilance.

Dans leur avis sur l’omnibus numérique, le CEPD et l’EDPS :

  • soutiennent les objectifs de simplification et de compétitivité,
  • confirment que l’exercice du droit d’accès n’est pas abusif même lorsqu’il poursuit d’autres finalités (ex : réutilisation économique),
  • mais insistent sur la nécessité de préserver un haut niveau de transparence, de sécurité juridique et de garanties.
  • Autrement dit : l’automatisation est légitime, à condition d’être encadrée, traçable et gouvernée.

Le vrai sujet devient donc interprétatif.

Peut-on encore considérer qu’un délai d’un mois constitue le “meilleur délai” lorsque la donnée est disponible en temps réel, et que les garanties techniques et juridiques sont réunies ?

Notre conviction est claire : Lorsque l’infrastructure existe, l’accès automatisé via API constitue le standard d’effectivité du droit d’accès.
Ne pas le reconnaître reviendrait à maintenir artificiellement une friction… là où le droit européen tend précisément à l’éliminer.

J’ai eu le plaisir de développer ces réflexions dans Décideurs Magazine, aux côtés de George Papadopoulos.

La tribune complète est à lire ici : Automatisation du droit d’accès aux données personnelles détenues par les organismes publics : une mise en œuvre légale et attendue - DECIDEURS MAGAZINE

Articles