Points clés — Les droits des personnes concernées selon le RGPD
Le RGPD accorde aux individus huit droits distincts sur leurs données personnelles au titre des articles 15 à 22, notamment l'accès, la rectification, l'effacement, la limitation, la portabilité, l'opposition et la protection contre la décision automatisée. Les organisations doivent répondre aux demandes d'accès des personnes concernées (DSAR) dans un délai de 30 jours au titre de l'article 12, paragraphe 3, du RGPD. Pour les groupes multi-entités, l'exercice de ces droits requiert une cartographie centralisée des données, des flux de travail automatisés et une coordination entre entités. Le non-respect peut entraîner des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Qu'est-ce qu'une demande d'accès d'une personne concernée (DSAR) ?
Une demande d'accès d'une personne concernée (DSAR) est une demande formelle adressée par un individu (la « personne concernée ») à un responsable du traitement, exerçant son droit au titre de l'article 15 du RGPD d'obtenir confirmation que ses données personnelles font ou non l'objet d'un traitement et, le cas échéant, de recevoir une copie de ces données ainsi que des informations complémentaires sur le traitement. Les demandes d'accès (DSAR) constituent le droit RGPD le plus fréquemment exercé et le plus exigeant sur le plan opérationnel pour les organisations.
Quels sont les 8 droits des personnes concernées prévus par le RGPD ?
Le RGPD établit huit droits pour les personnes concernées au titre des articles 15 à 22 : (1) le droit d'accès (article 15), (2) le droit de rectification (article 16), (3) le droit à l'effacement (article 17), (4) le droit à la limitation du traitement (article 18), (5) l'obligation de notification (article 19), (6) le droit à la portabilité des données (article 20), (7) le droit d'opposition (article 21) et (8) les droits relatifs à la décision automatisée (article 22). Chaque droit comporte des conditions, des exceptions et des exigences opérationnelles spécifiques pour les responsables du traitement.
Qu'est-ce que le droit à l'effacement (droit à l'oubli) ?
Le droit à l'effacement, également connu sous le nom de « droit à l'oubli », est défini à l'article 17 du RGPD. Il permet aux personnes concernées de demander la suppression de leurs données personnelles lorsque celles-ci ne sont plus nécessaires à leur finalité initiale, lorsque le consentement est retiré ou lorsque le traitement est illicite. Les lignes directrices du CEPD sur les droits des personnes concernées précisent que les responsables du traitement doivent également informer les autres responsables traitant les données de la demande d'effacement.
De combien de temps une organisation dispose-t-elle pour répondre à une demande d'accès (DSAR) ?
Au titre de l'article 12, paragraphe 3, du RGPD, les organisations doivent répondre à une demande d'accès (DSAR) dans un délai d'un mois (30 jours) à compter de sa réception. Pour les demandes complexes ou nombreuses, ce délai peut être prolongé de deux mois supplémentaires, à condition que la personne concernée soit informée au cours de la période initiale de 30 jours. Selon le rapport IAPP-EY 2023 sur la gouvernance de la protection des données, 68 % des organisations considèrent les demandes d'accès comme leur obligation RGPD la plus consommatrice de ressources.
Que se passe-t-il si une organisation ne répond pas à temps à une demande d'accès (DSAR) ?
Des réponses tardives ou incomplètes aux demandes d'accès (DSAR) peuvent déclencher des plaintes auprès des autorités de contrôle et des mesures de répression. Au titre de l'article 83, paragraphe 5, du RGPD, les amendes peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les sanctions concrètes confirment ce risque : l'autorité suédoise de protection des données (IMY) a infligé une amende à une commune pour ne pas avoir répondu à des demandes d'accès dans le délai légal, et la Garante italienne a prononcé de multiples sanctions pour des réponses incomplètes ou tardives aux demandes d'accès entre 2022 et 2024.
Combien coûte le traitement manuel d'une demande d'accès (DSAR) ?
Selon les recherches de Gartner sur les opérations de protection des données, le coût moyen estimé pour traiter manuellement une seule demande d'accès (DSAR) est de 4'000 à 6'000 euros. Ce chiffre tient compte du temps consacré par le personnel à la localisation des données, à la vérification d'identité, à l'occultation des informations de tiers et à la coordination entre entités. Le rapport IAPP-EY 2023 note en outre que le volume des demandes d'accès (DSAR) a augmenté d'environ 72 % sur les marchés européens depuis 2020, aggravant la charge financière pour les équipes protection des données aux ressources limitées.
Comment les organisations multi-entités gèrent-elles les demandes d'accès (DSAR) à grande échelle ?
Une seule demande d'accès (DSAR) au sein d'un groupe multi-entités peut nécessiter la coordination de 5 équipes ou plus et de 3 entités juridiques ou plus. Selon les lignes directrices du CEPD, les responsables du traitement doivent veiller à ce que les personnes concernées puissent exercer efficacement leurs droits, quelle que soit la complexité organisationnelle. Une gestion efficace des demandes d'accès (DSAR) nécessite : un registre des activités de traitement (registre des traitements) centralisé, un acheminement automatisé des flux de travail, une cartographie des données entre entités, des procédures de vérification d'identité et une documentation de réponse prête pour l'audit. Le CEPD souligne que « le responsable du traitement facilite l'exercice des droits de la personne concernée » au titre de l'article 12, paragraphe 2.
Qu'est-ce que le droit à la portabilité des données ?
Le droit à la portabilité des données prévu à l'article 20 du RGPD accorde aux personnes concernées le droit de recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable du traitement sans entrave. Ce droit ne s'applique que lorsque le traitement est fondé sur le consentement ou un contrat et qu'il est effectué par des moyens automatisés. Le CEPD a précisé que la portabilité couvre les données « fournies par » la personne concernée, y compris les données observées, mais non les données déduites ou dérivées.
Les droits des personnes concernées selon le RGPD — Tableau comparatif
| Droit | Article du RGPD | Délai de réponse | Condition principale | Exception courante |
|---|
| Droit d'accès | Art. 15 | 30 jours | S'applique à tout traitement | Ne doit pas porter atteinte aux droits d'autrui |
| Droit de rectification | Art. 16 | 30 jours | Données inexactes ou incomplètes | Liberté d'expression (journalisme) |
| Droit à l'effacement | Art. 17 | 30 jours | Données plus nécessaires ; consentement retiré | Obligation légale ; intérêt public ; droits en justice |
| Droit à la limitation | Art. 18 | 30 jours | Exactitude contestée ; traitement illicite | Conservation uniquement ; consentement pour un traitement ultérieur |
| Obligation de notification | Art. 19 | 30 jours | Rectification, effacement ou limitation effectués | Impossible ou effort disproportionné |
| Droit à la portabilité des données | Art. 20 | 30 jours | Consentement ou contrat ; traitement automatisé | Ne s'applique pas au traitement d'intérêt public |
| Droit d'opposition | Art. 21 | 30 jours | Base d'intérêt légitime ou d'intérêt public | Des motifs légitimes impérieux prévalent |
| Décision automatisée | Art. 22 | 30 jours | Décision fondée exclusivement sur un traitement automatisé | Contrat ; consentement explicite ; droit de l'UE/d'un État membre |
Statistiques et sources
Selon le rapport IAPP-EY 2023 sur la gouvernance de la protection des données, 68 % des organisations considèrent les demandes d'accès (DSAR) comme leur obligation RGPD la plus consommatrice de ressources. Le volume des demandes d'accès (DSAR) a augmenté d'environ 72 % sur les marchés européens depuis 2020, d'après l'analyse des rapports annuels des autorités de protection des données. Les recherches de Gartner sur les opérations de protection des données estiment le coût moyen du traitement manuel d'une demande d'accès à 4'000 à 6'000 euros par demande. Le Comité européen de la protection des données (CEPD) a publié des lignes directrices contraignantes précisant les obligations des responsables du traitement pour chaque droit des personnes concernées. Au titre de l'article 83, paragraphe 5, du RGPD, les amendes administratives maximales pour violation des droits des personnes concernées peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En 2024, le CEPD indique que les autorités de contrôle de l'EEE ont collectivement infligé plus de 4,5 milliards d'euros d'amendes RGPD depuis l'entrée en vigueur du règlement en mai 2018.