Accueil  ›  Guides  ›  Comment répondre aux exigences RGPDen matière de DSAR en 5 étapes simples

Comment s'y retrouver dans les exigences du RGPDen 5 étapes simples

Par : Natasha Piirainen Natasha Piirainen | Mis à jour le : 26 février 2026

Révisé par : Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM

Traiter les DSAR avec Termly
Comment RGPD

Dans le cadre du règlement général sur la protection des donnéesRGPD, les entreprises sont tenues de recevoir les demandes des particuliers et d'y répondre afin de donner suite à leurs droits en matière de protection de la vie privée, également appelées "demandes d'accès des personnes concernées" (DSAR).

Votre entreprise doit établir une procédure interne formelle sur la manière dont votre équipe traitera les DSAR des personnes concernées par RGPD en temps voulu et dans le respect de la loi.

Dans ce guide, je vous présente les exigences du RGPD en matière de DSAR et je vous explique les mesures que votre entreprise peut prendre pour simplifier et rationaliser votre processus de réponse.

Table des matières
  1. Définition du RGPD pour les demandes d'accès des personnes concernées (DSAR)
  2. Comment naviguer dans le RGPD et les DSAR : Étape par étape
  3. Utilisation de Termly pour les exigences du RGPD en matière de DSAR
  4. Résumé

Définition du RGPDpour les demandes d'accès des personnes concernées (DSAR)

En vertu de l'article 15 du RGPD, on parle de DSAR lorsqu'une personne protégée (alias la personne concernée) soumet une demande d'accès aux données personnelles qu'une entreprise a collectées à son sujet.

Ces demandes sont également appelées " demandes d'accès à l'information " ou " DAS".

Le "A" de "DSAR" signifie "Accès".

Toutefois, les personnes peuvent soumettre des rapports d'activité pour donner suite à n'importe lequel des droits à la vie privée qui leur sont conférés par le RGPD.

Ils peuvent soumettre leurs demandes par n'importe quel moyen, y compris par courriel, par téléphone ou par les médias sociaux.

Toutefois, si la personne concernée présente sa demande par voie électronique, les informations sont fournies, sauf demande contraire de la personne concernée, sous une forme électronique couramment utilisée.

Il est utile de fournir un formulaire DSAR correctement intitulé sur votre site web, qui filtrera la plupart des demandes de vos utilisateurs en un seul canal et rendra le processus plus efficace.

Toutefois, vous devez toujours vérifier la présence de RMDA dans les autres voies de communication, au cas où un consommateur enverrait sa demande ailleurs.

Quels droits le RGPD confère-t-il aux personnes concernées ?

Le RGPD décrit les droits de la personne concernée au chapitre 3, articles 12 à 23, qui comprennent ce qui suit :

Vous devez être prêt à répondre en temps utile aux demandes de renseignements concernant l'un ou l'autre de ces droits, en respectant toutes les règles et tous les principes énoncés dans le règlement.

Comment naviguer dans le RGPD et les DSAR : Étape par étape

Pour simplifier la gestion d'un DSAR émanant d'une personne concernée par RGPD , je recommande à votre entreprise de suivre ces cinq étapes simples.

Étape 1 : Exigences en matière de vérification

Après avoir reçu un DSAR d'une personne concernée par RGPD , la première étape consiste à accuser réception et à confirmer la réception de la demande à la personne qui l'a soumise et à s'assurer que vous pouvez vérifier son identité de manière adéquate.

La vérification de l'identité est nécessaire car, légalement, vous ne pouvez pas divulguer des informations sur une autre personne à une personne non autorisée.

Selon le considérant 64 du RGPD, vous pouvez décider de la manière de vérifier l'identité d'un utilisateur, mais vous devez utiliser toutes les "mesures raisonnables" dans le contexte des services en ligne et des identificateurs en ligne.

Toutefois, vous ne pouvez pas conserver des données à caractère personnel dans le seul but de vérifier les demandes des consommateurs à des fins de DSAR, et vous ne devez pas demander d'informations supplémentaires.

Vous devez trouver des moyens de vérifier leur identité à l'aide des données que vous avez déjà recueillies auprès d'eux et ne pas leur demander davantage de détails, en particulier des données personnelles sensibles.

Par exemple, si vous n'avez recueilli que le nom et l'adresse électronique d'une personne concernée, ne lui demandez pas une copie de son identifiant ou de son mot de passe dans le seul but de la légitimer.

Les entreprises vérifient généralement l'identité des personnes concernées par RGPD qui soumettent un rapport d'activité :

  • Poser des questions basées sur les données dont vous disposez déjà à leur sujet ;
  • Utilisation d'une méthode de validation préalablement confirmée, telle qu'une adresse électronique ;
  • Déterminer les dernières façons dont l'utilisateur a interagi avec votre site, votre produit ou votre service.

Une fois que vous savez que la personne concernée est bien celle qu'elle prétend être, vous pouvez passer à l'étape suivante.

Étape 2 : Informations à inclure dans la réponse

Ensuite, votre entreprise doit mettre en place une procédure permettant de localiser et de recueillir en toute sécurité les données relatives aux consommateurs lorsqu'elle répond à une DSAR.

Veillez à répondre à tous les aspects de sa demande ; par exemple, il peut vouloir accéder à ses données et corriger une erreur d'orthographe dans son nom de famille.

Pour simplifier cette étape, envisagez de procéder à un audit des données afin de localiser toutes les données à caractère personnel que votre entreprise collecte et stocke.

Tenez compte de ces lignes directrices pour des raisons juridiques et pour prévenir d'éventuelles violations de données :

  • Limiter les personnes qui répondent aux rapports d'activité et qui ont accès aux données à caractère personnel ;
  • Sachez où sont stockées toutes les données à caractère personnel, à la fois numériquement et physiquement ;
  • Veillez à localiser et à inclure toutes les données demandées par l'utilisateur ;
  • Ne conservez pas les données personnelles plus longtemps que nécessaire ;
  • Mais gardez une trace de vos réponses au DSAR en cas d'audit ultérieur.

Dans certains cas, il peut également être nécessaire de censurer certaines parties des informations que vous vous apprêtez à divulguer lorsque vous répondez à une demande.

Par exemple, vous pouvez le faire pour protéger les données d'une autre personne qui n'est pas le demandeur. Vous ne pouvez divulguer des données à caractère personnel concernant une autre personne que si vous avez obtenu son consentement.

Étape 3 : Calendrier de réponse

En vertu du RGPD, vous disposez d'un mois pour répondre à un DSAR, délai qui peut être prolongé de deux mois supplémentaires dans les cas suivants :

  • La demande est complexe et vous avez besoin de temps pour l'examiner ;
  • Vous recevez de nombreuses demandes et vos ressources sont limitées ;
  • La demande n'est pas claire et vous avez besoin de plus d'informations.

Le RGPD décrit ce délai spécifique de réponse aux rapports d'activité dans l'article 12, section 3.

Veillez à ce que les personnes de votre équipe chargées de répondre aux rapports d'évaluation soient conscientes de ces contraintes de temps.

Il est également important de ne pas attendre le dernier jour pour fournir la réponse. Vous devez répondre le plus tôt possible dans le délai d'un mois.

Comme indiqué ci-dessus, il est primordial d'envoyer une réponse confirmant que vous avez reçu la demande de la personne concernée et que vous travaillez sur votre réponse ; cela vous permet de répondre aux exigences du RGPD et de rassurer le consommateur.

Étape 4 : Refuser de répondre

Le RGPD vous autorise à refuser de répondre à un DSAR dans certaines circonstances et devrait établir une procédure pour déterminer quand une demande entre dans ces limites.

Par exemple, si la demande est déraisonnable, excessive, manifestement infondée ou si elle porte atteinte au droit à la vie privée d'une autre personne, vous pouvez la refuser.

Vous devez informer rapidement le demandeur de votre choix, et il vous incombe de prouver que la demande était infondée si une autorité de contrôle vous interroge ou si la personne concernée entame une procédure devant un tribunal national à votre encontre.

Les personnes concernées peuvent alors faire appel de votre décision sur la base de leur DSAR. Veillez donc à mettre en place une procédure similaire qui soit tout aussi simple pour les consommateurs.

Étape 5 : Conservez un journal de vos réponses

Enfin, veillez à conserver un registre de toutes vos réponses au DSAR, au cas où une autorité de contrôle vous contrôlerait ou, comme nous l'avons déjà mentionné, au cas où la personne concernée porterait l'affaire devant un tribunal.

Néanmoins, vous ne devez pas conserver ce journal pendant une période indéfinie. Une période de 12 à 24 mois peut être considérée comme raisonnable.

Veillez à stocker ces informations dans un environnement sécurisé afin qu'elles soient à l'abri des violations de données et des accès non autorisés.

Utilisation de Termly pour les exigences du RGPDen matière de DSAR

Si votre entreprise doit se conformer au RGPD, la plateforme de gestion du consentement deTermly vous fournit gratuitement un formulaire DSAR intégrable que vous pouvez ajouter directement à votre site web.

Le formulaire DSAR permet à vos utilisateurs de saisir des informations essentielles pour rationaliser votre processus de réponse :

  • Quelle est la loi sur la protection de la vie privée qui s'applique à eux ;
  • Le(s) droit(s) qu'ils souhaitent faire valoir ;
  • L'adresse électronique qu'ils utilisent généralement pour contacter votre site web.

Le formulaire encourage les utilisateurs à vous fournir suffisamment d'informations pour que vous puissiez vérifier leur identité conformément au RGPD et répondre dans le délai d'un mois.

Résumé

Répondre aux DSAR fait partie du parcours des entreprises dans le cadre du RGPD, mais il est beaucoup plus facile de s'y retrouver dans les exigences si votre entreprise met en œuvre un processus interne formel de DSAR.

Assurez-vous que votre équipe sait comment vérifier l'identité des personnes concernées qui soumettent des DSAR sans enfreindre les règles et principes du règlement, et comment répondre aux DSAR dans le délai d'un mois.

Facilitez la tâche de votre entreprise et des consommateurs en mettant à leur disposition un formulaire DSAR accessible sur votre site web.

Natasha Piirainen
En savoir plus sur l'auteur

Écrit par Natasha Piirainen

Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.

En savoir plus sur l'auteur
Teodor Stanciu, CIPP/E, CIPM

Révisé par Teodor Stanciu, CIPP/E, CIPM Coordinateur juridique et DPD

dsar-sidebar

Termly Aide à l'élaboration des rapports d'évaluation de la qualité des services (DSAR)

Termly peut faciliter la réponse aux DSAR pour votre entreprise.
Essayez gratuitement !

Articles connexes

  1. Consentement aux cookies pour les start-ups et les entreprises spécialisées dans l'IA-01
    consentement aux cookies les startups et entreprises spécialisées dans l'IA
    Articles

    20 février 2026
    Natasha Piirainen
  2. Les 8 services tiers les plus courants sur les sites Web et leurs risques pour la confidentialité 01
    Les 8 services tiers les plus courants sur les sites Web et leurs risques en matière de confidentialité
    Articles

    20 février 2026
    Hanna De La Garza
  3. Guide des lois et réglementations relatives à la protection des données pour 2026-01
    Guide des lois et réglementations relatives à la confidentialité des données pour 2026
    Articles

    27 janvier 2026
    Natasha Piirainen
  4. 9-Types-de-données-les-plus-fréquemment-collectées-01
    Les 9 types de données les plus couramment collectées et ce que vous devez savoir à leur sujet
    Articles

    16 décembre 2025
    Natasha Piirainen
  5. Les-7-violations-les-plus-courantes-de-la-confidentialité-des-données-01
    Les 7 violations les plus courantes en matière de confidentialité des données et comment les éviter
    Articles

    15 décembre 2025
    Natasha Piirainen
  6. RGPD
    RGPD 10 RGPD les plus courantes RGPD et la vérité qui se cache derrière elles
    Articles

    10 décembre 2025
    Natasha Piirainen
  7. Réponses positives et négatives au DSAR-01
    Bonnes et mauvaises réponses aux demandes d'accès aux données : à quoi ressemblent-elles ?
    Articles

    9 décembre 2025
    Hanna De La Garza
  8. Politique-de-confidentialité-pour-une-entreprise-SaaS-01
    Politique de confidentialité pour une entreprise SaaS : comment en créer une
    Articles

    4 décembre 2025
    Hanna De La Garza
  9. Termly
    Termly vs PolicyMaker : Comparaison des caractéristiques et des avantages
    Comparaisons

    26 novembre 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM

Explorer d'autres ressources

Entrez l'URL de votre site web

Afin de vous aider à créer une solution conforme au RGPD et à la loi sur les cookies, nous devons d'abord rechercher des cookies sur votre site web.