Lorsqu'une personne soumet une demande d'accès à ses données personnelles (DSAR), elle exerce son droit légal d'accéder, de modifier ou de contrôler les données personnelles qu'une entreprise détient à son sujet.
Les volumes de DSAR soumis par l'intermédiaire de Termly montrent à quel point la hausse a été vertigineuse : Les demandes de CCPA ont augmenté de 246 % entre 2021 et 2024, tandis que les demandes deRGPD ont augmenté de 222 % au cours de la même période.
Avec l'adoption de nouvelles lois nationales sur la protection de la vie privée et la sensibilisation croissante des utilisateurs, on peut affirmer sans risque de se tromper que les DSAR ne sont plus rares ou facultatifs pour les entreprises.
Dans cet article, j'explore les cinq types de DSAR les plus courants que vous êtes susceptible de recevoir et je vous fais part des mesures pratiques que vous pouvez prendre pour les traiter en douceur.
Les types de DSAR les plus courants
Bien que les lois sur la protection de la vie privée diffèrent dans leur formulation exacte et leurs lignes directrices, il existe cinq droits communs en matière de protection de la vie privée pour lesquels les consommateurs soumettent généralement des DASR, comme le montre l'ensemble de données de Termly, qui comprend près de 60 000 demandes.
Ci-dessous, je détaille chaque type, pourquoi il est important et comment votre entreprise doit réagir.
1. "Dites-moi quelles sont les données dont vous disposez" (demande d'information)
Pourcentage de toutes les demandes : 43.9% (Termly)
De loin la demande la plus courante, ces DSAR demandent des éclaircissements sur les informations personnelles qu'une entreprise a collectées sur une personne, sur les raisons pour lesquelles elles ont été collectées et/ou sur les personnes avec lesquelles elles ont été partagées.
Ce droit est au cœur de presque toutes les lois sur la protection de la vie privée, y compris la CCPA et le RGPD, qui considèrent la transparence comme le fondement de la protection des données.
Pourquoi les utilisateurs font-ils cette demande ?
De nombreuses personnes ne sont pas sûres de ce que les entreprises suivent réellement, et cette demande est donc souvent la première étape de l'établissement de la confiance.
Certains utilisateurs font des demandes d'accès avant de décider de supprimer ou non leurs données.
Comment les entreprises doivent-elles réagir ?
Pour traiter efficacement les demandes d'accès, les entreprises doivent se concentrer sur la clarté, l'exactitude et la fourniture d'informations d'une manière conviviale.
- Dressez un inventaire détaillé des données et indiquez où sont stockées les données à caractère personnel.
- Fournir des réponses claires et rédigées dans un langage simple, et non dans un jargon juridique.
- Partager les catégories, les finalités et les divulgations à des tiers, et fournir les informations en toute sécurité dans les délais requis.
2. "Supprimer mes données" (demande de suppression)
Pourcentage de toutes les demandes : 17.7% (Termly)
Après les demandes d'information, les demandes de suppression permettent aux utilisateurs de demander la suppression de leurs informations personnelles.
En vertu du RGPD, ce droit est connu sous le nom de "droit à l'oubli", et en vertu du CCPA, les entreprises doivent honorer la suppression, sauf si une exemption s'applique.
Pourquoi les utilisateurs font-ils cette demande ?
Les personnes peuvent demander la suppression pour n'importe quelle raison.
Par exemple, lorsqu'ils cessent d'utiliser un service, lorsqu'ils ne sont pas satisfaits de la manière dont les données sont utilisées ou lorsqu'ils souhaitent simplement réduire leur empreinte numérique.
Comment les entreprises doivent-elles réagir ?
Lorsqu'il s'agit de répondre à des demandes de suppression, il est essentiel de trouver un équilibre entre les exigences légales en matière de conservation et le droit de l'utilisateur à ce que ses informations soient supprimées.
- Vérifiez si vous disposez d'une base légale pour conserver les données (par exemple, obligations de conformité).
- Créez des flux de travail qui suppriment les informations dans tous les systèmes, et pas seulement dans la base de données principale.
- Confirmez toujours à l'utilisateur que la suppression est terminée.
3. "Ne vendez pas ou ne partagez pas mes données" (demandes d'exclusion)
Pourcentage de toutes les demandes : 12.3% (Termly)
Ces demandes d'exclusion visent principalement à empêcher les entreprises de vendre ou de partager des données personnelles, notamment à des fins de publicité ou de profilage.
L'ACPR a étendu les droits de retrait de la Californie à la publicité comportementale inter-contexte, permettant aux utilisateurs d'empêcher l'utilisation de leurs données pour établir des profils ciblés.
Pourquoi les utilisateurs font-ils cette demande ?
Les utilisateurs soucieux de la protection de leur vie privée ne souhaitent pas que leurs données soient utilisées pour alimenter des publicités ciblées, et les nouvelles lois nationales leur donnent plus de contrôle que jamais.
Comment les entreprises doivent-elles réagir ?
Les demandes d'exclusion nécessitent des processus clairs pour garantir que les choix des utilisateurs sont respectés de manière cohérente dans tous les systèmes et chez tous les partenaires.
- Affichez un lien clair "Ne pas vendre ou partager mes informations personnelles" sur votre site web.
- Veiller à ce que les clauses d'exclusion soient respectées dans tous les outils et réseaux publicitaires.
- Intégrer les préférences d'exclusion à votre plateforme de gestion du consentement pour qu'elles s'appliquent automatiquement.
4. "Envoyez-moi mes données" (demande de portabilité)
Pourcentage de toutes les demandes : 12.3% (Termly)
Également connues sous le nom de droit à la portabilité des données, ces demandes exigent que vous fournissiez aux utilisateurs une copie de leurs données à caractère personnel dans un format qu'ils peuvent utiliser ailleurs.
Le RGPD a d'abord popularisé ce droit, mais il est maintenant également reflété dans de nombreuses lois des États américains.
Pourquoi les utilisateurs font-ils cette demande ?
La portabilité des données consiste à donner aux utilisateurs de la flexibilité et du contrôle.
Certaines personnes peuvent faire cette demande pour conserver des archives personnelles, tandis que d'autres peuvent vouloir transférer plus facilement leurs informations à un concurrent ou à un nouveau service.
Comment les entreprises doivent-elles réagir ?
Les demandes de portabilité exigent des méthodes de transmission sécurisées et structurées qui permettent aux utilisateurs de contrôler leurs informations sans les exposer à des risques.
- Fournir les données dans un format couramment utilisé et lisible par une machine, tel que CSV.
- Les transmettre en toute sécurité, avec un cryptage approprié, et seulement après avoir vérifié l'identité du demandeur.
- Conservez une trace de ce qui a été partagé au cas où des questions se poseraient ultérieurement.
5. "J'ai une demande spéciale" (préciser le commentaire)
Pourcentage de toutes les demandes : 6.4% (Termly)
Les formulaires DSAR comportent souvent un champ de texte libre pour les commentaires.
Bien qu'il ne s'agisse pas d'une catégorie formelle de droits, cet espace permet aux utilisateurs de clarifier leur demande, de combiner plusieurs droits ou de soulever des questions particulières.
Pourquoi les utilisateurs font-ils cette demande ?
Ils peuvent souhaiter une recherche plus restreinte (par exemple, "montrez-moi simplement ce que vous avez collecté au cours de l'année écoulée"), ou ils peuvent signaler une préoccupation qui n'entre pas dans le cadre des droits existants.
Comment les entreprises doivent-elles réagir ?
Étant donné que les demandes de commentaires ne relèvent souvent pas de catégories juridiques strictes, la meilleure approche consiste à faire preuve de souplesse et à communiquer ouvertement.
- Lisez attentivement ces commentaires ; ils fournissent souvent un contexte qui permet de gagner du temps.
- En cas de doute, contactez le demandeur pour obtenir des éclaircissements avant de poursuivre.
- Même si le commentaire ne crée pas de nouvelle obligation légale, une réponse respectueuse contribue grandement à instaurer la confiance.
Qu'est-ce qu'un DSAR ?
Un DSAR est une demande formelle d'une personne de faire valoir ses droits en matière de protection de la vie privée. Bien que les droits exacts diffèrent en fonction de la loi, les DSAR permettent généralement aux personnes de.. :
- Accéder à leurs données personnelles et comprendre comment elles sont utilisées
- supprimer leurs informations s'ils ne souhaitent plus qu'une entreprise les conserve
- Corriger les données inexactes ou périmées
- Limiter ou refuser certains types de traitement, comme la publicité ciblée
- Recevoir une copie de ses données dans un format portable
En bref, les RMDA permettent aux individus de mieux contrôler leur empreinte numérique et obligent les entreprises à rendre compte de la manière dont elles traitent les informations personnelles.
Le paysage de la DSAR en pleine expansion
Ces dernières années ont mis en évidence une chose : l'activité du RAAD ne ralentit pas, elle s'accélère.
Entre les nouvelles lois sur la protection de la vie privée, la sensibilisation croissante des consommateurs et l'application plus stricte de la législation, les entreprises reçoivent plus de demandes que jamais. Voici ce que révèlent les chiffres :
Les volumes de DSAR augmentent.
Les demandes d'ACCP soumises par l'intermédiaire de Termly ont augmenté de 246 % entre 2021 et 2024, et ont presque doublé entre 2023 et 2024.
Les demandes de RGPD ont augmenté de 222 % au cours de la même période, ce qui témoigne d'une prise de conscience mondiale croissante des droits relatifs aux données.
Au premier trimestre 2025, les sites utilisant Termly ont déjà enregistré plus de requêtes qu'au cours des trimestres précédents, ce qui laisse présager une nouvelle année de croissance.
De nouvelles lois nationales stimulent l'activité.
Les réglementations du Colorado, du Connecticut, de l'Utah et de la Virginie ont introduit de nouvelles catégories de DSAR, allant du droit de corriger les données à de nouvelles options de refus pour les informations personnelles sensibles.
L'engagement des utilisateurs est plus élevé que jamais.
Selon Statista, 36 % des utilisateurs d'internet dans le monde ont exercé leurs droits au titre du RMDA en 2024, contre seulement 24 % en 2022.
L'ensemble de ces changements indique que les rapports d'activité ne sont pas seulement de plus en plus nombreux, mais aussi de plus en plus complexes et lourds de conséquences.
Pour les entreprises, le défi n'est pas seulement de répondre aux demandes, mais de le faire rapidement, de manière cohérente et en renforçant la confiance des utilisateurs.
Pourquoi les entreprises doivent-elles être préparées ?
L'augmentation des activités de DSAR n'est pas qu'une simple tendance. Elle crée de véritables défis opérationnels, financiers et de réputation pour les entreprises.
Les organisations qui ne disposent pas d'un processus clair risquent de prendre du retard dans plusieurs domaines clés.
Tension opérationnelle
Le nombre moyen de DSAR par site web utilisant Termly est passé de 19,4 en 2021 à 61,0 en 2024. Cela signifie que même les petites et moyennes entreprises reçoivent plusieurs demandes par mois.
Chaque demande peut impliquer une vérification de l'identité, des recherches de données sur plusieurs plateformes et un examen minutieux de ce qui peut être légalement partagé ou supprimé.
Pour les entreprises qui utilisent plusieurs outils ou qui stockent des données clients à différents endroits, la charge de travail peut s'accumuler rapidement.
Augmentation des plaintes
Les utilisateurs s'expriment de plus en plus sur la manière dont leurs données sont traitées, et ils n'hésitent pas à s'opposer à une entreprise qui tarde à répondre ou qui communique de manière peu claire.
Même si une entreprise finit par répondre à une demande, un processus maladroit peut toujours entraîner la frustration des utilisateurs et des commentaires négatifs.
Selon EY Law, 51 % des entreprises ont déclaré avoir reçu des plaintes concernant la manière dont elles traitaient les rapports d'activité.
Non seulement ces plaintes drainent des ressources, mais elles peuvent également éroder la confiance des clients et, si elles ne sont pas résolues, elles risquent d'être portées devant les autorités de régulation.
Risque réglementaire
Les régulateurs y prêtent attention. L'Information Commissioner's Office du Royaume-Uni, par exemple, a constaté une augmentation de 15 % des plaintes liées au DSAR entre 2023 et 2024.
En vertu du RGPD, le fait de ne pas répondre correctement à un DSAR est considéré comme une violation des droits de la personne concernée, et ces violations tombent dans le niveau de sanction le plus élevé.
Cela signifie que les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial d'une entreprise, le montant le plus élevé étant retenu.
Se préparer aux DSAR ne consiste pas à cocher une case de conformité ; il s'agit de mettre en place des processus durables qui réduisent les risques et renforcent les relations avec les utilisateurs.
Les entreprises qui investissent aujourd'hui dans la préparation à la DSAR seront mieux équipées pour gérer la complexité croissante des demandes dans les années à venir.
Comment Termly vous aide à gérer les DSARs
Comprendre les types de demandes que vous recevrez n'est que la moitié de la bataille. Le véritable défi consiste à les traiter de manière efficace, cohérente et conforme aux lois qui s'appliquent à votre entreprise.
C'est là que la solution DSAR de Termlyentre en jeu.
Avec Termly, vous pouvez :
- Créez un formulaire DSAR en quelques minutes : Configurez un formulaire intégrable ou utilisez un lien Termly, permettant aux utilisateurs de soumettre leurs demandes facilement.
- Rendez-le accessible partout : Ajoutez le formulaire directement à votre site web ou à votre application, pour que les utilisateurs sachent toujours comment vous joindre.
- Recevoir des notifications automatiques : Recevez des alertes par courrier électronique dès que quelqu'un soumet un rapport d'activité, afin que rien ne passe inaperçu.
- Répondre aux exigences de la CCPA/CPRA : Utilisez des liens prédéfinis tels que "Ne pas vendre ou partager mes informations personnelles" et "Limiter l'utilisation de mes informations personnelles sensibles" directement à partir de votre tableau de bord Termly .
- Une solution unique pour se conformer aux lois internationales : Que vous soyez couvert par le RGPD, le CCPA/CPRA, le VCDPA, l'UCPA ou d'autres cadres, Termly vous aide à rester en phase avec les exigences mondiales du DSAR.
Notre solution DSAR est conçue pour les petites et moyennes entreprises qui n'ont ni le temps ni les ressources nécessaires pour développer des flux de travail de conformité à partir de zéro.
Au lieu de se précipiter lorsque les demandes arrivent, Termly aide à fournir un processus rationalisé qui permet de gagner du temps, de réduire les risques et de montrer aux utilisateurs que vous prenez leur vie privée au sérieux.
En savoir plus sur l'auteur
Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
