GDPR

Demandes d'accès des personnes concernées (DSAR) sous le RGPD : guide complet

Apprenez à traiter les demandes d'accès des personnes concernées sous le RGPD étape par étape. Couvre les délais, la vérification d'identité, les exemptions, les erreurs courantes et comment mettre en place un processus DSAR pour votre entreprise SaaS.

GT

GRCTrail Team

GDPR Data Subject Access Requests Guide

Une demande d’accès des personnes concernées est l’une des manifestations les plus concrètes du RGPD dans vos opérations quotidiennes. Lorsqu’une personne envoie un email disant « je veux une copie de toutes les données que vous détenez sur moi », le chronomètre se met en marche — et vous disposez exactement d’un mois calendaire pour fournir une réponse complète et exacte.

Pour les entreprises SaaS, les DSAR sont particulièrement complexes car les données personnelles sont rarement stockées à un seul endroit. Elles sont réparties dans votre base de données applicative, votre CRM, votre système de tickets de support, votre plateforme d’email marketing, vos outils d’analyse et possiblement dans les boîtes email de vos employés. Collecter le tout dans le délai légal nécessite un processus bien défini.

Ce guide parcourt tout ce que les équipes SaaS doivent savoir sur le traitement des DSAR — du fondement juridique au processus étape par étape, en passant par les erreurs qui conduisent à des mesures d’exécution.

Qu’est-ce qu’une DSAR ?

Une Demande d’Accès des Personnes Concernées est l’exercice formel du droit d’accès prévu par l’article 15 du RGPD. Toute personne physique dont vous traitez les données personnelles — qu’il s’agisse d’un client, d’un utilisateur final, d’un visiteur de site web, d’un employé ou d’un candidat à l’emploi — peut demander :

  • La confirmation que vous traitez bien ses données personnelles
  • Une copie de ces données personnelles
  • Des informations complémentaires sur votre traitement : les finalités, les catégories de données, les destinataires, les durées de conservation, la source des données et si une prise de décision automatisée s’applique

Une DSAR n’a pas besoin d’utiliser un langage juridique spécifique. Un email disant « Pouvez-vous me dire quelles données vous avez sur moi ? » est recevable. Tout comme un message via votre chat de support, une demande verbale en réunion, ou même un message sur les réseaux sociaux. Il n’y a pas de format requis.

C’est pourquoi la formation de votre équipe est importante. Si un agent de support reçoit ce qui est en fait une DSAR sans la reconnaître comme telle, votre délai de réponse commence à courir sans que personne ne s’en aperçoive.

Quand une DSAR s’applique-t-elle à votre SaaS ?

Scénarios SaaS B2B

Si vous êtes une entreprise SaaS B2B, vous pourriez supposer que les DSAR sont principalement une préoccupation B2C. Ce n’est pas le cas. Considérez les données personnelles que votre plateforme traite :

  • Données des utilisateurs finaux : Si les employés de vos clients utilisent votre plateforme, leurs détails de compte, journaux d’activité et tout contenu qu’ils créent peuvent constituer des données personnelles.
  • Données de contact client : Noms, adresses email, numéros de téléphone et intitulés de poste des personnes avec lesquelles vous travaillez dans les organisations clientes.
  • Interactions de support : Historiques de tickets, transcriptions de chat et enregistrements d’appels contiennent souvent des données personnelles.
  • Données d’analyse : Si vous suivez le comportement des utilisateurs avec des identifiants (même pseudonymisés que vous pouvez ré-identifier), ce sont des données personnelles.
  • Données d’employés et de candidats : Vos propres dossiers RH et données de recrutement.

Responsable du traitement vs. sous-traitant

Vos obligations de réponse dépendent de votre rôle :

  • En tant que responsable du traitement (vous décidez pourquoi et comment les données sont traitées) : Vous traitez la DSAR directement et fournissez les données.
  • En tant que sous-traitant (vous traitez les données pour le compte de votre client) : Vous redirigez généralement la demande vers votre client (le responsable du traitement) et l’assistez dans son exécution. Votre Accord de Traitement de Données devrait préciser comment cela fonctionne.

En pratique, la plupart des entreprises SaaS sont responsables du traitement pour certaines données (leurs propres relations clients, données employés, données des visiteurs du site web) et sous-traitants pour d’autres données (les données que leurs clients stockent et traitent via la plateforme). Ce double rôle signifie que vous avez besoin de processus pour les deux scénarios.

Le processus de réponse DSAR : étape par étape

Étape 1 : Enregistrez la demande et lancez le chronomètre

Dès que vous recevez une DSAR, enregistrez-la avec un horodatage. Votre délai de réponse de 30 jours commence à partir du jour de réception — pas à partir du moment où vous l’assignez à quelqu’un ou vérifiez l’identité du demandeur.

Enregistrez :

  • La date et l’heure de réception
  • Le canal par lequel elle a été reçue
  • L’identité du demandeur (telle que déclarée)
  • La portée spécifique de la demande (si précisée)
  • Le responsable assigné

Étape 2 : Vérifiez l’identité du demandeur

Vous avez le devoir de confirmer que la personne qui fait la demande est bien celle qu’elle prétend être. Répondre à une DSAR frauduleuse en divulguant les données d’une autre personne constituerait en soi une violation de données.

La vérification doit être proportionnée. Si quelqu’un fait une demande via son compte authentifié sur votre plateforme, c’est généralement suffisant. Si la demande arrive par email, vous pouvez demander une vérification supplémentaire — mais ne rendez pas le processus si contraignant qu’il décourage effectivement les personnes d’exercer leurs droits.

Méthodes de vérification raisonnables :

  • Correspondance de la demande avec un compte existant
  • Demander au requérant de confirmer des détails que lui seul connaîtrait
  • Demander une copie d’une pièce d’identité officielle (uniquement dans les cas à haut risque)

Le chronomètre continue pendant la vérification. Si vous avez besoin d’informations supplémentaires pour vérifier l’identité, vous devez les demander rapidement.

Étape 3 : Déterminez la portée

Certaines DSAR sont larges (« toutes les données que vous détenez sur moi »), et d’autres sont spécifiques (« les données que vous avez collectées via votre plateforme d’analyse »). Dans les deux cas, vous devez identifier chaque système où les données personnelles du demandeur pourraient exister.

Pour une entreprise SaaS typique, cela inclut :

  • Votre base de données applicative (profils utilisateurs, données d’activité, contenu généré par l’utilisateur)
  • Votre CRM (fiches de contact, historique des transactions, notes)
  • Votre système de support (tickets, transcriptions de chat)
  • Votre plateforme d’email marketing (données d’abonnés, historique d’engagement)
  • Vos outils d’analyse (données comportementales, journaux d’événements)
  • Votre système RH (si le demandeur est un employé)
  • Les comptes email (toute correspondance mentionnant le demandeur)
  • Les dossiers physiques (le cas échéant)

Étape 4 : Collectez les données

Rassemblez les données personnelles de tous les systèmes identifiés. C’est généralement l’étape la plus chronophage, surtout si vos données sont cloisonnées dans plusieurs plateformes sans capacité de recherche unifiée.

Pour chaque système, extrayez :

  • Les données personnelles elles-mêmes
  • Les catégories de données (ex. : données d’identité, données de contact, données comportementales)
  • Les finalités du traitement
  • Tout destinataire avec lequel les données ont été partagées
  • La durée de conservation ou les critères pour la déterminer
  • La source des données si elles n’ont pas été collectées directement auprès de la personne

Étape 5 : Vérifiez les exemptions et les données de tiers

Avant de transmettre les données collectées, vérifiez :

  • Les données personnelles de tiers : Si vos dossiers contiennent des données personnelles sur d’autres personnes (ex. : un ticket de support qui mentionne une autre personne par son nom), vous devrez peut-être caviardez ces informations pour protéger les droits du tiers.
  • Les secrets commerciaux ou la propriété intellectuelle : Vous pouvez retenir des données si la divulgation porterait atteinte aux droits et libertés d’autrui, y compris les secrets commerciaux — mais cette exemption est interprétée de manière restrictive.
  • Le secret professionnel juridique : Les communications couvertes par le secret professionnel de l’avocat peuvent être retenues.
  • Les demandes répétitives : Si la même personne fait des demandes identiques de manière répétée, vous pouvez être en mesure de refuser ou de facturer des frais raisonnables — mais uniquement si les demandes sont « manifestement infondées ou excessives ».

Étape 6 : Préparez et transmettez la réponse

Compilez les données dans un format structuré, couramment utilisé et lisible par machine. Le PDF est largement utilisé, mais le CSV ou le JSON peuvent être plus appropriés pour les données techniques. La réponse doit inclure :

  • La confirmation que vous traitez leurs données personnelles (ou que vous ne les traitez pas)
  • Une copie des données personnelles
  • Les informations complémentaires requises par l’article 15(1) : finalités, catégories, destinataires, durées de conservation, informations sur les droits, source des données et détails sur la prise de décision automatisée

Transmettez la réponse par un canal sécurisé. Un email avec une pièce jointe chiffrée est courant. Un portail de téléchargement sécurisé est préférable.

Étape 7 : Documentez tout

Enregistrez l’ensemble du processus : ce qui a été demandé, quelles étapes vous avez suivies, quelles données vous avez collectées, ce que (le cas échéant) vous avez caviardé et pourquoi, comment vous avez transmis la réponse et la date de livraison.

Cette documentation a un double objectif. Premièrement, elle démontre la conformité au principe de responsabilité en cas d’audit. Deuxièmement, elle vous aide à identifier des améliorations de processus — si une DSAR a pris 25 jours parce que la collecte de données d’un système était lente, vous savez où concentrer vos efforts.

Délais et exemptions

La règle des 30 jours

Vous devez répondre à une DSAR dans un délai d’un mois calendaire à compter de la réception. C’est une date limite stricte, pas un objectif.

Si la demande est complexe ou si vous avez reçu un volume élevé de demandes de la même personne, vous pouvez prolonger le délai de deux mois supplémentaires — mais vous devez notifier le demandeur dans le premier mois, expliquer la raison du retard et l’informer de son droit de déposer une plainte auprès d’une autorité de contrôle.

Quand vous pouvez refuser

Le RGPD vous permet de refuser ou de facturer des frais pour les DSAR qui sont « manifestement infondées ou excessives ». Le seuil est élevé :

  • Manifestement infondées : Le demandeur n’a aucune intention d’exercer son droit d’accès — par exemple, il déclare explicitement faire la demande pour causer des perturbations.
  • Excessives : Le demandeur fait la même demande de manière répétée sans intervalle raisonnable entre les demandes. Note : une deuxième demande après que vous ayez acquis de nouvelles données sur la personne n’est pas excessive.

La charge de la preuve pour démontrer qu’une demande est infondée ou excessive vous incombe. En cas de doute, satisfaites la demande.

Pas de frais pour la première copie

La première copie de leurs données doit être fournie gratuitement. Vous pouvez facturer des « frais raisonnables basés sur les coûts administratifs » pour les copies supplémentaires ou pour les demandes manifestement excessives.

Erreurs DSAR menant à des mesures d’exécution

Dépassement du délai. L’erreur la plus courante et la plus évitable. Si votre processus interne n’est pas défini avant l’arrivée de la première DSAR, vous perdrez des jours à déterminer qui la traite, où trouver les données et comment répondre. À ce moment-là, vous avez déjà consommé la moitié de votre délai.

Collecte de données incomplète. Les autorités de contrôle ont infligé des amendes lorsque des organisations ont fourni une partie des données du demandeur mais ont omis des données stockées dans des systèmes secondaires — bases de données anciennes, archives email ou plateformes tierces. Une réponse DSAR qui omet des données n’est pas conforme.

Pas de vérification d’identité. Transmettre des données personnelles à quelqu’un qui n’a pas été correctement vérifié constitue une violation de données. Mais une vérification trop agressive — exiger des documents notariés pour une simple demande — peut être considérée comme une obstruction au droit d’accès.

Fournir les données sans les informations complémentaires. L’article 15 exige plus qu’un simple export de données brutes. Vous devez également expliquer les finalités du traitement, les catégories de données, les destinataires, les durées de conservation et les droits du demandeur. De nombreuses organisations fournissent les données brutes mais oublient le contexte.

Pas de piste d’audit. Si vous ne pouvez pas démontrer comment vous avez traité une DSAR — quand vous l’avez reçue, quelles étapes vous avez suivies, quand vous avez répondu — vous avez échoué au test de responsabilité, que votre réponse ait été substantiellement correcte ou non. Notre guide sur les amendes et sanctions du RGPD couvre ce qui est en jeu.

Comment GRCTrail automatise les DSAR

Traiter les DSAR manuellement fonctionne quand vous en recevez une ou deux par an. Cela s’effondre rapidement à grande échelle — ou même à volume modéré si vos données sont réparties dans plusieurs systèmes.

GRCTrail fournit un workflow DSAR structuré :

Réception et suivi. Recevez les demandes via un portail dédié ou enregistrez-les manuellement. Chaque demande est horodatée avec un calcul automatique des délais et un suivi de l’avancement.

Collecte automatisée des données. Connectez vos sources de données et GRCTrail extrait les données personnelles pertinentes de tous les systèmes, réduisant les heures passées en collecte manuelle.

Révision et caviardage. Révisez les données collectées dans une interface unique. Signalez les éléments à caviardez avec une justification documentée.

Livraison de la réponse. Générez des réponses structurées et transmettez-les par des canaux sécurisés. Chaque étape est enregistrée pour la responsabilité.

Alertes de délais. Recevez des notifications à l’approche des échéances. Ne manquez jamais un délai de 30 jours parce qu’une demande est restée dans la boîte de réception de quelqu’un.

Traitez les DSAR en minutes, pas en jours →

Guides connexes

Commencez avec GRCTrail →

#rgpd #dsar #droits-des-personnes-concernées #saas #conformité #demandes-accès

Articles connexes

GDPR

Checklist de conformité RGPD pour les entreprises SaaS

Une checklist de conformité RGPD étape par étape conçue pour les équipes SaaS. Couvre la documentation, les droits des personnes concernées, la gestion des sous-traitants et le suivi continu pour ne rien laisser passer.

GDPR

Notification de violation de données RGPD : calendrier et étapes

Comment gérer les notifications de violation de données sous le RGPD. Couvre le délai de 72 heures, quand notifier l'autorité de contrôle vs. les personnes concernées, la planification de la réponse aux violations et les exigences de documentation.

GDPR

Conservation des données RGPD : politiques, calendriers et bonnes pratiques

Comment définir des durées de conservation des données conformes au RGPD, construire un calendrier de conservation et mettre en oeuvre la suppression automatisée. Conseils pratiques avec un modèle de conservation spécifique au SaaS.

Retour à tous les articles