La manière dont votre entreprise répond à une demande de données en dit long sur le sérieux avec lequel vous traitez la confidentialité. Une réponse claire et bien formulée renforce la confiance, tandis qu'une réponse vague ou tardive peut frustrer les utilisateurs et augmenter les risques de non-conformité.
Alors que le nombre de demandes d'accès aux données personnelles continue d'augmenter dans le cadre des principales lois sur la protection des données telles que le RGPD le CCPA, une communication rapide et transparente n'est plus une option.
Dans cet article, je vous explique ce que sont les DSAR, je vous donne des exemples de bonnes et mauvaises réponses pour les types les plus courants, et je vous explique comment Termly vous aider à les gérer efficacement.
Qu'est-ce qu'un DSAR ?
Une demande d'accès aux données (DSAR) est une demande adressée à votre entreprise par une personne souhaitant accéder, modifier, supprimer ou transférer les données personnelles que vous détenez à son sujet.
Ces demandes permettent aux individus d'avoir davantage de contrôle sur leurs informations et obligent les entreprises à rendre des comptes sur la manière dont elles utilisent ces informations.
Les DSAR sont exigées par les principales lois sur la protection de la vie privée, telles que leRèglement général sur la protection des données (RGPD), la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) et d'autres lois étatiques émergentes aux États-Unis. Selon la loi, les utilisateurs peuvent avoir le droit de :
- Consultez les données que vous avez collectées à leur sujet.
- Demander des corrections ou des suppressions
- Refuser le partage de données ou la publicité ciblée
- Recevoir leurs données dans un format portable
Chaque demande mérite d'être traitée avec soin, non seulement pour respecter les délais légaux, mais aussi pour conserver la confiance des utilisateurs. À mesure que les utilisateurs prennent conscience de leurs droits en matière de confidentialité, les demandes DSAR augmentent rapidement dans toutes les régions.
Découvrez les dernières tendances et statistiques en matière de DSAR.
Bonnes et mauvaises réponses aux demandes d'accès aux données personnelles
Même lorsque les entreprises respectent les mêmes lois en matière de confidentialité, la qualité de leurs réponses peut varier considérablement. Certaines rendent le processus simple, respectueux et transparent, tandis que d'autres laissent les utilisateurs perplexes ou ignorés.
Ci-dessous, nous présentons des exemples de bonnes et mauvaises réponses aux DSAR pour les types de demandes les plus courants et expliquons ce qui distingue une réponse efficace d'une réponse risquée.
1. « Dites-moi quelles données vous détenez » (demande d'accès)
Il s'agit du type de DSAR le plus courant reçu par la plateforme Termly.
Ces demandes, également appelées demandes d'accès, invitent une entreprise à communiquer les informations personnelles qu'elle détient sur un utilisateur, la manière dont elles sont utilisées et les personnes avec lesquelles elles sont partagées.
Scénario réel
Vous travaillez pour une entreprise de commerce électronique qui vend des articles ménagers.
Un client vous envoie un e-mail pour vous demander :
« Pouvez-vous me dire quelles données vous détenez à mon sujet et comment elles sont utilisées ? »
Exemple de mauvaise réponse
« Toutes nos pratiques en matière de données sont expliquées dans notre politique de confidentialité. Vous pouvez la consulter ici : [lien]. »
Cette réponse rejette la demande au lieu d'y répondre.
Renvoyer un utilisateur vers une politique de confidentialité ne répond pas à une demande d'accès, car cela ne permet pas de confirmer quelles données sont réellement stockées, comment elles sont traitées ou si elles ont été partagées avec d'autres.
Cela donne également l'impression que votre entreprise ne dispose pas d'un processus fiable pour récupérer et présenter les données personnelles.
Exemple de bonne réponse
« Merci de nous avoir contactés au sujet de vos données. Nous avons localisé votre compte sous l'adresse e-mail [[email protected]]. Sur la base de votre activité, nous conservons actuellement votre nom, votre adresse e-mail, vos informations d'expédition et l'historique de vos commandes.
Nous collectons ces données afin de traiter vos achats, gérer votre compte et vous envoyer des informations relatives à l'expédition. Nous ne vendons ni ne partageons vos informations avec des tiers à des fins marketing.
Si vous le souhaitez, nous pouvons vous fournir une exportation complète de vos données personnelles dans un fichier téléchargeable. Veuillez confirmer cette adresse e-mail pour des raisons de sécurité avant que nous procédions.
Cette réponse est claire, directe et axée sur l'utilisateur.
Il accuse réception de la demande, précise quelles informations sont conservées et explique pourquoi elles sont collectées.
Il prend également les mesures de sécurité appropriées en demandant à l'utilisateur de confirmer son identité avant de partager des données supplémentaires.
À emporter
Une bonne réponse à une demande d'accès apporte clarté et assurance. Elle doit identifier les données que vous détenez, décrire leur utilisation et expliquer les étapes suivantes pour une transmission sécurisée ou un suivi.
2. "Supprimer mes données" (demande de suppression)
Le deuxième type de demande le plus fréquent que reçoit la plateforme DSAR Termlyest la demande de suppression.
Également connu sous le nom de droit à l'effacement ou droit à l'oubli, ce droit permet aux personnes de demander à une entreprise de supprimer définitivement leurs informations personnelles de ses systèmes.
Scénario réel
Vous travaillez pour une application de fitness par abonnement.
Un ancien abonné contacte votre équipe en disant :
« J'ai résilié mon compte il y a quelques mois. Veuillez supprimer toutes mes données de votre système. »
Exemple de mauvaise réponse
« Nous ne pouvons pas supprimer vos données car elles font partie des enregistrements de notre système. »
Cette réponse ne reconnaît pas les droits de l'utilisateur et ne fournit aucune explication ni aucune indication sur les étapes suivantes.
Même si certaines données doivent être conservées pour des raisons juridiques ou opérationnelles, le simple fait de refuser la demande sans explication va à l'encontre de l'esprit des lois sur la protection de la vie privée et frustre les utilisateurs.
Exemple de bonne réponse
« Nous avons bien reçu votre demande de suppression des données de votre compte. La plupart de vos informations personnelles, notamment votre nom, votre adresse e-mail et l'historique de vos entraînements, ont été définitivement supprimées de nos systèmes actifs.
Certaines données, telles que l'historique des paiements, doivent être conservées à des fins comptables et légales, mais elles sont stockées de manière sécurisée et ne sont utilisées à aucune autre fin.
Votre demande est désormais terminée, et vous recevrez un e-mail de confirmation une fois que toutes les données associées auront été supprimées du stockage de sauvegarde.
Cette réponse accuse réception de la demande, explique quelles données peuvent être supprimées et lesquelles ne le peuvent pas, et fournit une confirmation claire de l'achèvement de la procédure.
Il concilie les obligations légales et la transparence, garantissant ainsi à l'utilisateur que ses données ont été traitées de manière appropriée.
À emporter.
Une réponse ferme à une suppression doit être claire et respecter les engagements pris.
Si certaines données doivent être conservées pour des raisons de conformité, expliquez pourquoi et assurez à l'utilisateur qu'elles ne seront pas utilisées à d'autres fins.
Un refus vague ou une explication partielle peut amener les utilisateurs à douter de votre transparence et augmenter le risque de plaintes réglementaires.
3. « Ne vendez pas et ne partagez pas mes données » (demande de désinscription)
Les demandes de désinscription sont de plus en plus fréquentes à mesure que les lois sur la protection de la vie privée, telles que la CCPA, élargissent les droits des utilisateurs à limiter la manière dont leurs données sont partagées ou utilisées à des fins de publicité ciblée.
Ces demandes d'utilisateurs demandent généralement à une entreprise de cesser de vendre ou de partager des informations personnelles avec des tiers.
Scénario réel
Vous travaillez pour un détaillant en ligne qui fait appel à des partenaires publicitaires pour mener des campagnes ciblées.
Un client envoie un e-mail à votre équipe chargée de la confidentialité pour lui dire :
« Je souhaite refuser que mes données soient partagées ou vendues à des fins publicitaires. »
Exemple de mauvaise réponse
« Nous ne vendons pas de données personnelles. »
Bien que cela puisse être vrai au sens strict, cela passe à côté de l'intention plus large de la demande.
De nombreuses lois sur la protection de la vie privée définissent le terme « partage » comme incluant certains types de publicité ciblée ou de suivi comportemental inter-contextuel.
Rejeter purement et simplement la demande témoigne d'un manque de compréhension et pourrait entraîner des plaintes de la part des utilisateurs ou un examen juridique.
Exemple de bonne réponse
« Nous avons bien reçu votre demande de désactivation du partage de données à des fins publicitaires. Vos préférences ont été mises à jour et vos informations ne seront plus partagées avec nos partenaires publicitaires ou analytiques.
Vous pouvez consulter ou modifier ces paramètres à tout moment en cliquant sur le lien « Ne pas vendre ni partager mes informations personnelles » situé en bas de page de notre site Web. Veuillez noter que vous continuerez à voir des publicités générales qui ne sont pas basées sur vos données personnelles.
Cette réponse confirme que la demande a été reçue, explique les mesures prises et fournit à l'utilisateur un moyen simple de consulter ou de mettre à jour ses préférences ultérieurement.
Il évite le jargon juridique tout en conservant précision et transparence.
À emporter
Une réponse de désactivation efficace confirme que les préférences de l'utilisateur ont été appliquées et précise quels types d'utilisation des données continueront.
Même si votre entreprise ne « vend » pas de données au sens traditionnel du terme, le fait de répondre directement aux préoccupations des utilisateurs montre que vous respectez leurs choix en matière de confidentialité et que vous comprenez l'intention qui sous-tend les lois sur la protection des données.
4. "Envoyez-moi mes données" (demande de portabilité)
Également appelée « demande de portabilité des données », cette DSAR permet aux utilisateurs de recevoir une copie de leurs données personnelles dans un format facilement transférable vers un autre service.
L'objectif est de donner aux individus plus de contrôle et de flexibilité sur leurs données, en particulier lorsqu'ils changent de fournisseur.
Scénario réel
Vous travaillez pour un outil de gestion de projet basé sur le cloud.
Un client nous contacte en disant :
« Je transfère mes projets vers une autre plateforme. Pouvez-vous m'envoyer une copie de toutes mes données ? »
Exemple de mauvaise réponse
« Nous ne proposons pas d'exportation de données pour les utilisateurs pour le moment. »
Cette réponse ne tient pas compte des droits de l'utilisateur et ne propose aucune alternative.
Refuser une demande de portabilité des données sans explication ni suivi peut être considéré comme non conforme à des lois telles que le RGPD le CCPA, et cela donne aux utilisateurs le sentiment d'être impuissants face à leurs informations.
Exemple de bonne réponse
« Nous avons vérifié votre identité et préparé une copie de vos données personnelles, y compris les détails de votre compte, les informations relatives à vos projets et les fichiers téléchargés.
Vous pouvez télécharger ces informations en toute sécurité à l'aide du lien crypté ci-dessous. Le lien restera actif pendant sept jours et le fichier est fourni dans un format lisible par machine (.CSV).
Veuillez nous faire savoir si vous avez besoin d'aide pour importer vos données vers une autre plateforme.
Cette réponse témoigne de la transparence, de la sécurité et du soutien apporté aux utilisateurs.
Il confirme la vérification, précise les données incluses et les fournit dans un format portable et accessible. Il offre également une aide si l'utilisateur a des questions supplémentaires, démontrant ainsi une approche de la conformité axée sur le service.
À emporter
Une réponse forte en matière de portabilité permet aux utilisateurs d'accéder clairement à leurs données dans un format sécurisé, structuré et utilisable. Il ne suffit pas de dire simplement que vous ne pouvez pas les fournir.
Les entreprises doivent mettre en place un processus permettant de transmettre les informations en toute sécurité et dans les délais impartis.
Cela permet non seulement de respecter les obligations légales, mais aussi de renforcer la confiance dans les pratiques de votre entreprise en matière de données.
5. « J'ai une demande particulière » (demande basée sur un commentaire)
De nombreux formulaires DSAR comprennent un champ de commentaires ouvert qui permet aux utilisateurs de fournir des informations supplémentaires ou de regrouper plusieurs droits à la vie privée dans une seule demande.
Ces « demandes spéciales » ne rentrent pas toujours parfaitement dans une seule catégorie juridique, mais elles méritent tout de même d'être examinées avec soin et de recevoir une réponse réfléchie.
Scénario réel
Vous travaillez pour une société de logiciels qui propose à la fois des comptes gratuits et payants.
Un utilisateur soumet un formulaire DSAR avec le commentaire suivant :
« Veuillez m'envoyer toutes les données que vous avez collectées au sujet de mon compte au cours des six derniers mois et supprimer mes coordonnées si je ne suis plus actif. »
Exemple de mauvaise réponse
« Nous traitons uniquement les demandes DSAR standard telles que l'accès ou la suppression. Veuillez soumettre l'une de ces demandes à la place. »
Cette réponse ignore les détails du commentaire de l'utilisateur et l'oblige à faire un travail supplémentaire pour s'adapter au système de l'entreprise.
Même si la demande ne correspond pas parfaitement à un droit spécifique en matière de confidentialité, la rejeter témoigne d'un manque de flexibilité et d'attention envers le client.
Exemple de bonne réponse
« Merci d'avoir clarifié votre demande. Vous avez demandé à consulter toutes les données collectées au cours des six derniers mois et à supprimer vos coordonnées si votre compte est inactif.
Nous sommes actuellement en train de compiler les données relatives à cette période et nous vous communiquerons un résumé dès que cela sera fait. Si nous confirmons que votre compte est inactif, nous supprimerons vos coordonnées et vous en informerons une fois le processus terminé.
Veuillez nous indiquer si vous souhaitez consulter d'anciens enregistrements ou limiter la suppression à certains types de données.
Cette réponse reconnaît la nature unique de la demande, démontre une écoute active et établit des attentes claires.
Cela montre que l'entreprise est disposée à collaborer avec l'utilisateur plutôt que de s'en remettre à des catégories rigides.
À emporter
Lorsque les utilisateurs soumettent des demandes spéciales ou basées sur des commentaires, la flexibilité et la communication sont essentielles.
Même si une demande ne relève pas d'un droit spécifique, prendre le temps de la comprendre et d'y répondre de manière réfléchie témoigne de votre responsabilité et renforce la confiance des utilisateurs.
Comment Termly vous Termly gérer les DSAR
Le traitement manuel des DSAR peut rapidement devenir fastidieux, en particulier lorsque les demandes augmentent et que les lois sur la confidentialité continuent d'évoluer. C'est là qu'intervient la solution DSAR Termly. DSAR de Termly entre en jeu.
Avec Termly, vous pouvez créer et gérer les demandes de données en un seul endroit, garantissant ainsi que chaque soumission est traitée de manière efficace, sécurisée et conforme aux normes mondiales en matière de confidentialité.
- Configurez un formulaire DSAR en quelques minutes : configurez un formulaire hébergé ou intégrable qui permet aux utilisateurs de demander facilement l'accès à leurs données.
- Rendez-le accessible partout : ajoutez le formulaire à votre site Web ou à votre application afin que les utilisateurs sachent toujours comment vous contacter.
- Recevez des notifications automatiques : recevez des alertes instantanées par e-mail lorsqu'une nouvelle demande est soumise, ce qui aide votre équipe à réagir rapidement et à rester organisée.
- Respectez les exigences mondiales en matière de confidentialité : la solution DSAR Termlyprend en charge les principaux cadres réglementaires tels que le RGPD, le CCPA/CPRA, le VCDPA et bien d'autres, aidant ainsi votre entreprise à se conformer aux obligations en matière de confidentialité à travers le monde.
En utilisant les outils Termly, les entreprises peuvent simplifier l'admission, automatiser la communication et conserver un enregistrement clair de chaque demande, le tout sans avoir à créer un système à partir de zéro.
Répondre aux DSAR ne consiste pas seulement à respecter la loi, mais aussi à montrer à vos utilisateurs que leurs droits en matière de données sont importants.
Chaque réponse est une occasion de renforcer la transparence et la confiance. Que vous traitiez une simple demande d'accès ou une demande complexe de suppression, la bonne approche fait toute la différence.
En savoir plus sur l'auteur
Écrit par Hanna De La Garza
Hanna est rédactrice de contenu chez Termly, où elle crée des ressources attrayantes sur la confidentialité des données, la gestion des consentements, les mises à jour réglementaires et plus encore. Elle s'attache à rendre des sujets complexes accessibles aux chefs d'entreprise et contribue à la fois aux nouvelles initiatives de contenu et aux mises à jour des documents existants afin d'en assurer l'exactitude et la clarté.
En savoir plus sur l'auteur
Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial
