Guide RGPD pour les équipes protection des données

Les droits des personnes concernées selon le RGPD expliqués . Ce que chaque équipe protection des données doit savoir (et opérationnaliser)

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations multi-entités à automatiser l'ensemble des 8 droits des personnes concernées prévus par le RGPD ainsi que les flux de travail liés aux demandes d'accès (DSAR).

Vous gérez des demandes de personnes concernées au sein de plusieurs entités et juridictions ? Vous n'êtes pas seul. 68 % des organisations affirment que les demandes d'accès (DSAR) constituent leur obligation RGPD la plus consommatrice de ressources. Ce guide décompose les 8 droits en termes simples , et vous montre comment les meilleures équipes protection des données les gèrent sans chaos.

Source : IAPP-EY Annual Privacy Governance Report, 2023

La confiance des équipes protection des données qui gèrent plus de 50 entités à travers l'Europe

Hébergé en Suisse ISO 27001 SOC 2 Type II Conforme au RGPD par conception
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Pourquoi les demandes d'accès (DSAR) deviennent ingérables à grande échelle

Pourquoi les droits des personnes concernées créent des casse-têtes opérationnels pour les organisations en croissance

Le délai de réponse de 30 jours commence à courir dès qu'une demande arrive. Réparti entre plusieurs entités, des flux de travail manuels et des systèmes déconnectés, ce délai devient un risque.

72 %

Augmentation des demandes d'accès (DSAR) sur les marchés européens depuis 2020 , d'après l'analyse des rapports annuels des autorités de protection des données

Le volume de demandes explose

Chaque client, collaborateur et fournisseur qui interagit avec votre organisation peut exercer ses droits à tout moment. La sensibilisation progresse plus vite que la plupart des équipes ne peuvent recruter , et chaque demande déclenche un délai juridiquement contraignant.

Résultat : un constructeur aéronautique a automatisé la recertification dans toutes ses filiales au cours de ses 6 premiers mois, libérant son DPD de la course aux demandes pour qu'il se concentre sur un travail stratégique de protection des données.

Constructeur aéronautique , 6 premiers mois après le déploiement

30 jours

Article 12, paragraphe 3, du RGPD , délai de réponse maximal avant l'aggravation du risque de sanction

Le compte à rebours est implacable entre les entités

Une seule demande d'accès (DSAR) au sein d'un groupe multi-entités peut nécessiter la coordination de plus de 5 équipes et de plus de 3 entités juridiques. Qui pilote la réponse ? Où se trouvent les données ? Quelle entité est le responsable du traitement ? Des boîtes de réception partagées et des tableurs ne peuvent pas répondre à ces questions rapidement.

4'000 à 6'000 €

Coût moyen estimé pour traiter manuellement une seule demande d'accès (DSAR) , recherches de Gartner sur les opérations de protection des données, estimation indicative

Les processus manuels deviennent un risque de conformité

78 % des organisations multi-entités gèrent encore leur registre des activités de traitement dans des tableurs. Lorsque cette même approche fragmentée est appliquée aux demandes d'accès (DSAR) , localiser les données, occulter les informations de tiers, vérifier les identités , un seul champ omis peut déclencher une plainte auprès d'une autorité de contrôle.

Résultat : AXA a atteint un taux de recertification du registre des traitements de 100 % grâce à une automatisation complète , posant les fondations de cartographie des données qui rendent le traitement des demandes d'accès rapide et défendable.

AXA , recertification entièrement automatisée

Les sanctions récentes confirment le risque : l'autorité suédoise a infligé une amende à une commune pour ne pas avoir répondu à des demandes d'accès dans le délai légal. La Garante italienne a prononcé de multiples sanctions pour des réponses incomplètes ou tardives aux demandes d'accès. Ce ne sont pas des cas isolés , c'est la nouvelle norme pour les équipes protection des données aux ressources limitées.

Sources : Autorité suédoise de protection de la vie privée (IMY) et Garante per la protezione dei dati personali italienne , décisions publiques de sanction, 2022-2024

200+

Heures économisées sur la gestion du registre des traitements

Medtec a réaffecté plus de 200 heures, auparavant consacrées à la préparation manuelle de la documentation du registre des traitements et ISO 27001, à un travail stratégique de protection des données dès sa première année

60 %

Coût inférieur par rapport aux plateformes traditionnelles

Sur la base de comparaisons de tarifs publiés avec OneTrust pour des organisations du marché intermédiaire gérant plus de 10 entités. Aucun frais d'extension par utilisateur ou par module.

3 mois

D'avance sur le calendrier ISO 27001

Medtec a finalisé sa préparation à l'audit ISO 27001 trois mois avant l'échéance prévue grâce aux dossiers de preuves intégrés de Priverion

Les 8 droits des personnes concernées prévus par le RGPD

Chaque droit des personnes concernées prévu par le RGPD . Ce qu'il signifie, quand il s'applique et comment l'opérationnaliser

Les articles 15 à 22 du RGPD accordent aux individus huit droits distincts sur leurs données personnelles. Chacun comporte des obligations, des exceptions et des complexités opérationnelles spécifiques , en particulier pour les organisations qui gèrent des demandes au sein de plusieurs entités.

Droit 1 sur 8

Droit d'accès

Article 15 du RGPD

Les personnes concernées peuvent demander confirmation que leurs données personnelles font ou non l'objet d'un traitement et, le cas échéant, accéder à ces données ainsi qu'à des informations complémentaires sur la manière dont elles sont traitées et les raisons de ce traitement. C'est de loin le droit le plus fréquemment exercé , et le plus exigeant sur le plan opérationnel pour les organisations multi-entités, où les données peuvent être réparties entre filiales, systèmes et juridictions.

Ce que vous devez fournir

  • Une copie des données personnelles faisant l'objet du traitement
  • Les finalités du traitement
  • Les catégories de données concernées
  • Les destinataires ou catégories de destinataires
  • Les durées de conservation ou les critères permettant de les déterminer
  • L'existence de leurs autres droits (effacement, rectification, etc.)

Exceptions et nuances importantes

  • Ne doit pas porter atteinte aux droits et libertés d'autrui (occulter les données de tiers)
  • La première copie est gratuite ; des frais raisonnables sont autorisés pour les copies supplémentaires
  • Possibilité de refuser ou de facturer les demandes manifestement infondées ou excessives
  • Délai de 30 jours, prolongeable de 2 mois pour les demandes complexes

La réalité opérationnelle pour les équipes multi-entités

Une seule demande d'accès peut concerner les systèmes RH, le CRM, les plateformes d'achat et les archives de plusieurs entités juridiques. Sans cartographie des données entre entités, les équipes passent des jours à localiser des données qui devraient prendre quelques minutes. La cartographie des données entre entités de Priverion offre une visibilité à l'échelle du groupe afin que votre équipe puisse identifier toutes les activités de traitement pertinentes et répondre dans le délai légal.

Droit 2 sur 8

Droit de rectification

Article 16 du RGPD

Les personnes concernées ont le droit d'obtenir la correction des données personnelles inexactes et, compte tenu des finalités du traitement, le complètement des données personnelles incomplètes. Bien que souvent plus simple que les demandes d'accès, la rectification entre plusieurs systèmes et entités peut entraîner des exigences de mise à jour en cascade.

Ce que vous devez faire

  • Corriger les données inexactes sans retard injustifié
  • Compléter les données incomplètes lorsque cela est pertinent au regard de la finalité du traitement
  • Notifier tous les destinataires ayant reçu les données (article 19)
  • Informer la personne concernée de ces destinataires si elle en fait la demande

Exceptions et nuances importantes

  • Aucune exemption générale , s'applique à toutes les activités de traitement
  • La notification aux destinataires peut être levée en cas d'effort disproportionné
  • Doit être mis en balance avec la liberté d'expression à des fins journalistiques
  • Le délai de réponse de 30 jours s'applique

La réalité opérationnelle pour les équipes multi-entités

Lorsqu'un client corrige son adresse, ce changement peut devoir se propager dans les systèmes de facturation, CRM et RH de trois filiales différentes. La gestion du registre des traitements avec recertification automatisée de Priverion garantit que votre inventaire de données reste à jour , afin que vous sachiez exactement quels systèmes détiennent les données à mettre à jour.

Droit 3 sur 8

Droit à l'effacement (droit à l'oubli)

Article 17 du RGPD

Les personnes concernées peuvent demander la suppression de leurs données personnelles lorsque celles-ci ne sont plus nécessaires à leur finalité initiale, lorsque le consentement est retiré ou lorsque le traitement est illicite. C'est le droit qui génère le plus de complexité , et le plus de mesures de répression , car il croise les obligations de conservation, les obligations légales de rétention et les intérêts légitimes au sein de chaque entité de votre groupe.

Quand l'effacement s'applique

  • Les données ne sont plus nécessaires à leur finalité initiale
  • Le consentement est retiré et aucune autre base juridique n'existe
  • La personne concernée s'oppose et aucun motif légitime impérieux ne prévaut
  • Les données ont été traitées de manière illicite
  • Une obligation légale impose l'effacement
  • Les données ont été collectées dans le cadre d'une offre de services à un enfant

Exceptions importantes

  • Exercice de la liberté d'expression et d'information
  • Respect d'une obligation légale exigeant le traitement
  • Motifs d'intérêt public en matière de santé publique
  • Archivage dans l'intérêt public, recherche scientifique ou historique
  • Constatation, exercice ou défense de droits en justice

La réalité opérationnelle pour les équipes multi-entités

Les demandes d'effacement sont le point où les programmes de protection des données fondés sur des tableurs échouent de façon catastrophique. Vous devez identifier chaque système détenant les données de la personne, déterminer si une exception s'applique par entité, exécuter la suppression et documenter l'ensemble du processus à des fins d'audit. La cartographie des données entre entités de Priverion, combinée aux évaluations des risques fournisseurs, vous offre une visibilité à la fois sur les systèmes internes et sur les sous-traitants tiers qui détiennent les données.

Droit 4 sur 8

Droit à la limitation du traitement

Article 18 du RGPD

Les personnes concernées peuvent demander que le traitement soit limité , c'est-à-dire essentiellement gelé en l'état , pendant la contestation de l'exactitude des données, pendant la détermination de la licéité du traitement, ou pendant que le responsable du traitement évalue si ses motifs légitimes prévalent sur ceux de la personne concernée. Les données sont conservées mais ne font pas l'objet d'un traitement actif.

Quand la limitation s'applique

  • La personne concernée conteste l'exactitude (limitation le temps de la vérification)
  • Le traitement est illicite mais la personne concernée préfère la limitation à l'effacement
  • Le responsable du traitement n'a plus besoin des données mais la personne concernée en a besoin pour des droits en justice
  • La personne concernée s'est opposée (limitation en attendant la vérification des motifs)

Ce que vous pouvez encore faire avec des données limitées

  • Conserver les données
  • Traiter avec le consentement de la personne concernée
  • Traiter pour des droits en justice
  • Traiter pour la protection des droits d'une autre personne
  • Traiter pour des motifs importants d'intérêt public

La réalité opérationnelle pour les équipes multi-entités

La limitation est délicate sur le plan opérationnel car vous devez marquer les données dans chaque système sans les supprimer , et vous assurer qu'aucune équipe d'une filiale ne les traite par inadvertance pendant la période de limitation. Les flux de gestion des incidents et la visibilité entre entités de Priverion vous aident à faire respecter les limitations de manière cohérente dans l'ensemble de votre groupe.

Droit 5 sur 8

Droit à la portabilité des données

Article 20 du RGPD

Les personnes concernées peuvent recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine , et les faire transmettre directement à un autre responsable du traitement lorsque cela est techniquement possible. Ce droit ne s'applique qu'aux données traitées par des moyens automatisés sur la base du consentement ou de l'exécution d'un contrat.

Ce que vous devez fournir

  • Les données personnelles que la personne vous a fournies (et non les données dérivées ou déduites)
  • Un format structuré, couramment utilisé et lisible par machine (CSV, JSON, XML)
  • Une transmission directe à un autre responsable du traitement lorsque cela est techniquement possible

Limitations importantes

  • Ne s'applique qu'aux données traitées sur la base du consentement ou d'un contrat
  • Ne s'applique qu'aux données traitées par des moyens automatisés
  • Ne couvre que les données fournies par la personne concernée (et non les analyses ou les profils)
  • Ne doit pas porter atteinte aux droits et libertés d'autrui

La réalité opérationnelle pour les équipes multi-entités

Les demandes de portabilité exigent d'extraire des données de dizaines de systèmes potentiels, de filtrer pour ne conserver que les données fournies par la personne (et non les données dérivées) et de les formater de manière cohérente. En cartographiant vos activités de traitement dans le registre des traitements de Priverion, vous savez exactement quels systèmes détiennent les données « fournies » , et vous pouvez générer des exports sans fouille archéologique manuelle.

Droit 6 sur 8

Droit d'opposition

Article 21 du RGPD

Les personnes concernées peuvent s'opposer à un traitement fondé sur les intérêts légitimes ou l'intérêt public , y compris au profilage fondé sur ces motifs. Pour la prospection directe, le droit d'opposition est absolu : le traitement doit cesser immédiatement à la demande, sans qu'aucune mise en balance ne soit requise.

Quand l'opposition s'applique

  • Traitement fondé sur les intérêts légitimes (article 6, paragraphe 1, point f))
  • Traitement fondé sur l'intérêt public (article 6, paragraphe 1, point e))
  • Profilage fondé sur les motifs ci-dessus
  • Prospection directe (droit absolu , sans exception)

Obligations de réponse du responsable du traitement

  • Doit cesser le traitement sauf à démontrer des motifs légitimes impérieux
  • Les motifs impérieux doivent prévaloir sur les intérêts, droits et libertés de la personne concernée
  • Pour la prospection directe : cesser immédiatement, sans mise en balance
  • Doit informer les personnes concernées de leur droit d'opposition dès la première communication

La réalité opérationnelle pour les équipes multi-entités

Les oppositions exigent une évaluation au cas par cas de l'intérêt légitime , sauf en cas de prospection directe. Au sein d'un groupe comptant plusieurs équipes marketing et systèmes CRM, il est essentiel de veiller à ce qu'une opposition se propage à chaque entité susceptible de contacter la personne. Les tableaux de bord à l'échelle du groupe de Priverion vous offrent la supervision nécessaire pour vérifier que les oppositions sont respectées partout.

Droit 7 sur 8

Droits relatifs à la décision automatisée et au profilage

Article 22 du RGPD

Les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé , y compris le profilage , produisant des effets juridiques ou des effets similaires significatifs à leur égard. Ce droit gagne en importance à mesure que les organisations déploient des systèmes d'IA et d'apprentissage automatique qui influent sur le recrutement, le crédit, l'assurance et l'éligibilité aux services.

Quand ce droit s'applique

  • La décision est fondée exclusivement sur un traitement automatisé (sans intervention humaine significative)
  • La décision produit des effets juridiques (refus de contrat, suppression de prestation)
  • La décision produit des effets similaires significatifs (notation de crédit, présélection d'emploi)

Exceptions où les décisions automatisées sont permises

  • Nécessaire à la conclusion ou à l'exécution d'un contrat
  • Autorisée par le droit de l'UE ou d'un État membre avec des garanties appropriées
  • Fondée sur le consentement explicite
  • Dans tous les cas d'exception : mise en place de garanties appropriées, y compris l'intervention humaine

La réalité opérationnelle pour les équipes multi-entités

Avec le règlement européen sur l'IA qui ajoute de nouvelles obligations à celles de l'article 22 du RGPD, les organisations qui déploient des systèmes d'IA ont besoin d'une documentation claire des décisions automatisées dans chaque entité. Le registre d'IA de Priverion, destiné à la préparation à la conformité au règlement européen sur l'IA, vous aide à inventorier les systèmes d'IA, à documenter le niveau de supervision humaine et à démontrer la conformité à l'intersection du RGPD et de la réglementation sur l'IA.

Droit 8 sur 8

Droit d'être informé

Articles 13 et 14 du RGPD

Avant ou au moment de la collecte des données, les individus doivent être informés de l'identité de celui qui traite leurs données, des raisons, de la base juridique, de la durée et des droits dont ils disposent. C'est le droit fondamental qui rend possibles tous les autres , si les personnes ignorent que vous traitez leurs données, elles ne peuvent pas exercer leurs droits sur celles-ci.

Informations à fournir (données collectées directement)

  • Identité et coordonnées du responsable du traitement (et du DPD)
  • Finalités et base juridique du traitement
  • Intérêts légitimes poursuivis (le cas échéant)
  • Destinataires ou catégories de destinataires
  • Détails des transferts internationaux et des garanties
  • Durées de conservation et critères
  • Tous les droits applicables des personnes concernées

Exigences supplémentaires pour les données collectées indirectement

  • Catégories de données personnelles obtenues
  • Source des données
  • À fournir dans un délai raisonnable (1 mois maximum)
  • Ou dès la première communication avec la personne
  • Ou lorsque les données sont communiquées pour la première fois à un autre destinataire

La réalité opérationnelle pour les équipes multi-entités

Chaque entité de votre groupe dispose probablement de sa propre déclaration de confidentialité , mais les informations doivent être exactes et cohérentes avec vos activités de traitement réelles. Lorsque votre registre des traitements n'est plus à jour, vos déclarations de confidentialité deviennent automatiquement erronées. La recertification automatisée du registre des traitements de Priverion garantit que l'inventaire des traitements qui alimente vos obligations de transparence reste exact dans chaque filiale.

En connaissance des concurrents

Ce qui change lorsque vous passez de OneTrust à Priverion

Les plateformes d'entreprise n'ont pas été conçues pour les équipes protection des données du marché intermédiaire. Vous finissez par payer pour une complexité que vous n'utiliserez jamais , tout en bricolant les éléments qui comptent vraiment pour la conformité à l'échelle du groupe.

L'expérience OneTrust

Tarification par module et par utilisateur

Les coûts grimpent chaque fois que vous ajoutez une filiale, un utilisateur ou un flux de travail. Les discussions budgétaires deviennent des exercices de négociation.

Infrastructure hébergée aux États-Unis

Dans un monde post-Schrems II, l'hébergement aux États-Unis crée une exposition juridique permanente pour les transferts de données transfrontaliers. Votre outil de protection des données ne devrait pas être lui-même un risque de transfert.

Conçu pour les acheteurs du Fortune 500

Plus de 200 fonctionnalités, c'est 180 que vous ne toucherez jamais. La formation prend des mois. Votre équipe passe plus de temps à apprendre l'outil qu'à faire de la protection des données.

Consentement aux cookies, ESG et lignes d'alerte éthique inclus

Vous subventionnez des modules conçus pour d'autres acheteurs. La prolifération de la plateforme ralentit tout.

Mise en œuvre s'étalant sur plusieurs mois

Des calendriers d'intégration d'entreprise qui supposent que vous disposez d'une équipe de mise en œuvre de 10 personnes. La plupart des équipes protection des données du marché intermédiaire comptent 1 à 3 personnes.

L'expérience Priverion

Tarification prévisible selon le nombre d'entités

Basée sur le nombre d'entités et la taille de l'organisation , et non par utilisateur ou par module. Ajoutez des membres d'équipe sans renégocier vos contrats.

Conçu en Suisse, hébergé en Suisse

Résidence des données européenne garantie. Tout le traitement des données s'effectue au sein de l'infrastructure suisse , la juridiction la plus protectrice des données en dehors de l'UE. Votre outil de conformité est lui-même conforme.

Spécialement conçu pour la protection des données à l'échelle du groupe

Chaque fonctionnalité existe pour résoudre la gestion de la protection des données multi-entités. Cartographie des données entre entités, recertification automatisée du registre des traitements, tableaux de bord à l'échelle du groupe , dès le premier jour.

Une plateforme de protection des données tout-en-un, sans superflu

Registre des traitements, AIPD/TIA, risque fournisseurs, gestion des incidents, traitement des demandes de personnes concernées, registre d'IA , intégrés dans une seule plateforme. Nous ne couvrons pas l'ESG, les lignes d'alerte éthique ni le consentement aux cookies, car cela ne relève pas de la gestion d'un programme de protection des données.

Opérationnel en quelques semaines, pas en quelques mois

Un constructeur aéronautique a obtenu une réduction de 60 % du temps consacré à l'administration de la conformité au cours de ses 6 premiers mois. Une expérience utilisateur plus simple signifie que votre équipe est immédiatement productive , sans attendre la fin d'un cours de certification.

Étude de cas d'un constructeur aéronautique, 6 premiers mois après la mise en œuvre

Vous évaluez déjà d'autres solutions ? Découvrez comment la transition se déroule en pratique.

Réservez une démonstration de 30 min

Cessez de gérer la protection des données dans des tableurs

Découvrez à quoi ressemble une gestion de la protection des données à l'échelle du groupe lorsqu'elle fonctionne vraiment

En 30 minutes, nous vous montrons comment des organisations comme un constructeur aéronautique ont automatisé la recertification du registre des traitements dans chaque filiale , et réduit de 60 % le temps consacré à l'administration de la conformité au cours de leurs six premiers mois. Pas de diapositives. Pas d'argumentaire commercial. Juste la plateforme, vos questions et des réponses honnêtes.

Des semaines, pas des mois

Délai moyen de mise en service

Pas de tarification par utilisateur

Des coûts prévisibles qui évoluent avec le nombre d'entités

100 % hébergé en Suisse

Résidence des données européenne garantie

Réservez une démonstration de 30 minutes