L’analyse combinée du RGPD, du règlement sur la gouvernance des données (DGA), du droit national et du projet de règlement omnibus numérique conduit à une conclusion claire : l’exercice du droit d’accès aux données personnelles détenues par les organismes publics par l’intermédiaire d’un prestataire d’intermédiation de données (PSID) est juridiquement reconnu, y compris par voie automatisée. Les délais réglementaires doivent s’interpréter comme des maxima et non comme des standards incompressibles lorsque les garanties techniques et juridiques sont réunies.

Un fondement juridique pleinement établi pour l’accès par mandat

L’exercice du droit d’accès aux données personnelles par l’intermédiaire d’un tiers repose sur une base juridique solide, à la conjonction du droit civil, du droit administratif et du droit européen des données. Le mécanisme du mandat, défini aux articles 1984 et suivants du Code civil, permet à une personne de confier à un tiers le pouvoir d’agir en son nom. Ce principe est explicitement transposé dans le champ du numérique par l’article 77 du décret n° 2019-536, qui autorise une personne « spécialement mandatée » à exercer, pour le compte de la personne concernée, les droits issus du RGPD, notamment le droit d’accès (article 15) et le droit à la portabilité (article 20).

Ce dispositif s’articule avec le Code des relations entre le public et l’administration, qui garantit à tout administré le droit d’obtenir communication des documents et données le concernant détenus par les organismes publics ou chargés d’une mission de service public. La combinaison de ces textes permet ainsi l’exercice effectif du droit d’accès « pour le compte » de la personne concernée.

Le PSID : un tiers de confiance institutionnalisé par le droit européen

Le règlement (UE) 2022/868 sur la gouvernance des données (DGA) a introduit le statut de prestataire de services d’intermédiation de données (PSID), désormais repris et renforcé par le projet de règlement omnibus numérique. Ce statut impose des exigences strictes de neutralité, de sécurité et de gouvernance, sous la supervision des autorités nationales compétentes, notamment l’Arcep et la Cnil.

Dans sa délibération no 2021-070, la Cnil précise qu’un mandataire mandaté par la personne concernée agit en qualité de responsable de traitement distinct, assumant la responsabilité juridique des opérations réalisées. Elle souligne en outre que le recours à un mandataire ne saurait, à lui seul, constituer un « doute raisonnable » quant à l’identité de la personne concernée.

Des délais réglementaires inadaptés aux usages numériques

Si le droit est acquis, sa mise en œuvre demeure entravée par des délais conçus pour des traitements manuels. L’article 12, paragraphe 3, du RGPD impose au responsable de traitement de répondre aux demandes « dans les meilleurs délais et en tout état de cause dans un délai d’un mois ». Ce délai, prorogeable en cas de complexité, vise avant tout à protéger le responsable de traitement contre une surcharge administrative.

Le délai d’un mois prévu par le RGPD est un maximum, non une norme intangible

Toutefois, lorsque l’accès est sollicité par un PSID labellisé conformément au DGA, s’appuyant sur des mécanismes d’authentification électronique robustes conformes au règlement eIDAS, la justification opérationnelle de ce délai disparaît. Dans cette hypothèse, les vérifications d’identité pourraient être réputées satisfaites ab initio, ce qui inviterait à une interprétation renouvelée de l’expression « dans les meilleurs délais ». Maintenir un traitement manuel là où une réponse automatisée est possible revient à priver le droit d’accès de son effectivité.

L’API comme standard juridique d’effectivité du droit d’accès

La Cnil encourage explicitement le recours aux API pour le traitement sécurisé des demandes d’exercice de droits. Dans sa délibération no 2021-070, elle souligne que les API permettent de réduire la charge administrative tout en renforçant la sécurité, et recommande leur usage en priorité par rapport à des techniques moins sûres telles que le « screen scraping ». 

Dès lors qu’un organisme public dispose d’une infrastructure API – notamment pour satisfaire à ses obligations en matière d’open data – il ne peut plus invoquer une impossibilité technique ou un coût disproportionné. L’obligation de répondre « dans les meilleurs délais » doit alors s’interpréter à la lumière des moyens techniques effectivement disponibles.

L’apport structurant du règlement omnibus numérique

Le projet de règlement omnibus numérique opère une consolidation du droit européen des données en intégrant notamment le régime des PSID au sein du Data Act. Il consacre explicitement l’exercice des droits par des moyens automatisés et « machine-readable », en particulier pour le consentement et le droit d’opposition 8. Si ces dispositions ne visent pas formellement le droit d’accès, elles imposent une lecture téléologique de l’article 12 du RGPD. Il serait incohérent d’exiger l’automatisation pour certains droits tout en maintenant des délais manuels pour l’accès aux données personnelles, dès lors que les garanties techniques et juridiques sont réunies.

Conclusion

Le cadre juridique existant – droit civil, RGPD, DGA et droit national – est suffisant pour autoriser l’accès automatisé aux données personnelles détenues par les organismes publics, directement ou par l’intermédiaire d’un PSID labellisé. L’enjeu n’est plus normatif, mais interprétatif : reconnaître que, lorsque l’infrastructure technique existe, l’accès via API constitue le « meilleur délai » au sens de l’article 12 du RGPD, et donc la traduction la plus fidèle de l’effectivité du droit fondamental d’accès aux données, qui permettrait de concilier la lettre du règlement avec les exigences d’une administration numérique moderne.

 

SUR LES AUTEURS

Constantin Pavléas est avocat, fondateur de Pavléas Avocats. Il conseille des entreprises et organismes français et étrangers sur les enjeux juridiques liés aux technologies, en particulier en matière de propriété intellectuelle, de valorisation des actifs immatériels et de protection des données. Le cabinet accompagne également ses clients dans la structuration et la négociation de contrats complexes. Constantin intervient régulièrement comme expert du droit des technologies numériques dans les médias et lors de conférences, notamment sur les questions liées à l’intelligence artificielle, à la gouvernance des données et aux technologies de semiconducteurs. Constantin a coordonné la majeure Droit du numérique du mastère Droit des affaires de l’école des Hautes études appliquées du droit (HEAD) de 2018 à 2024.

George Papadopoulos collabore au sein du cabinet Pavléas Avocats depuis 2018. Avocat avec plus de vingt ans d’expérience en conseil et contentieux, il intervient sur des opérations complexes de licence de technologie, des problématiques de données personnelles, de conformité réglementaire et de droit commercial. Ancien conseiller juridique du gouvernement grec, il a enseigné le droit du numérique à HEAD (Paris).