À l’issue de la 20e Université des DPO, l’AFCDP publie son index 2026 du droit d’accès. Si 76 % des organismes répondent désormais dans les délais légaux, l’exercice continue de mettre en lumière des failles opérationnelles persistantes. Plus qu’un indicateur de conformité, le droit d’accès s’impose comme un révélateur de la robustesse réelle des processus data et des systèmes d’information.
Un respect des délais en forte progression
Fondé sur des demandes réelles exercées au titre de l’article 15 du RGPD, l’index 2026 repose sur les travaux menés par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP. Soixante-deux responsables de traitement ont été sollicités dans ce cadre.
Quarante-sept organismes ont répondu dans les délais réglementaires, soit 76 % du panel. La progression est nette et continue : 64 % en 2025, 59 % en 2024, 51 % en 2023 et 46 % en 2022. Cette dynamique traduit une montée en maturité progressive dans la gestion du droit d’accès, longtemps considéré comme l’un des exercices les plus complexes du RGPD.
Des réponses encore perfectibles, parfois risquées
Le respect des délais ne suffit cependant pas à garantir la conformité. Les réponses ont été évaluées au regard de plusieurs critères : sécurité de transmission, complétude des données, clarté des informations et respect des exigences de l’article 15.
Parmi les 47 organismes ayant répondu dans les temps, 23 ont obtenu une appréciation excellente ou satisfaisante. Vingt ont été jugés moyens, notamment en raison d’un défaut d’informations complémentaires prévues par le RGPD, d’une vérification insuffisante de l’identité du demandeur ou d’un envoi de données insuffisamment sécurisé. Quatre réponses ont été qualifiées de mauvaises ou très mauvaises, certaines se limitant à renvoyer des données déjà communiquées dans la demande initiale.
Surtout, un quart des responsables de traitement n’a pas répondu aux demandes exercées. Et des erreurs graves persistent : confusion entre droit d’accès et droit à l’effacement, suppression injustifiée de comptes ou communication de données relatives à des tiers, constituant de véritables violations de données personnelles.
« Les résultats de l’Index 2026 montrent que le droit d’accès n’est plus seulement un principe théorique : de plus en plus d’organisations savent y répondre. Mais ils rappellent aussi qu’un droit mal exercé peut devenir un risque majeur. Une vérification d’identité insuffisante ou une réponse non sécurisée expose à des violations de données aussi graves qu’évitables. Le droit d’accès est aujourd’hui un véritable test de maturité RGPD. Rappelons toutefois qu’il ne doit pas porter atteinte aux droits et libertés d’autrui »
Fabrice Mattatia, délégué général de l’AFCDP.
Le droit d’accès, stress test des architectures data
L’index 2026 confirme ainsi que le droit d’accès agit comme un stress test des organisations. Il interroge la gouvernance des données, la cartographie des traitements, la capacité à extraire des informations fiables et complètes, ainsi que la coordination entre équipes IT, métiers et DPO.
Les progrès observés traduisent un effort réel d’outillage et de structuration. Mais les lacunes opérationnelles identifiées rappellent que la conformité formelle ne suffit pas. Une réponse incomplète, une identité mal vérifiée ou un canal de transmission non sécurisé peuvent transformer un droit fondamental en vecteur de risque.
Dans sa proposition d’Omnibus numérique, la Commission européenne a d’ailleurs proposé des mesures visant à lutter contre les abus du droit d’accès, signe que le sujet dépasse désormais le seul cadre de la conformité pour devenir un enjeu d’équilibre entre protection des droits et sécurité des systèmes.
