top of page
  • xdpo

Comment répondre à une demande d'exercice de droit d'accès RGPD?



Répondre a une demande d'exercice de droit n'est pas toujours évident. Après la lecture de cet article, vous pourrez gérer les demandes d'exercice de droits RGPD pour des personnes et notamment :


Toute personne dispose de plusieurs droits sur ses données personnelles conformément au RGPD :


👉 Le droit d'accès : Chaque personne peut demander à un organisme de lui communiquer les données qu'il détient sur elle. La personne peut demander d'en obtenir une copie dans un format compréhensible.


👉Le droit de rectification : Chaque personne peut demander la correction ou la complétion des informations qui la concerne.


👉Le droit à l'effacement : Chaque personne peut demander l'effacement de ses données lorsqu'elle ne souhaite plus bénéficier d'un service ou est gênée par une information sur internet. (Attention ce droit ne peut s'exercer que dans certaines situations).


👉Le droit à la portabilité des données : Chaque personne peut demander à récupérer ses données dans un format compréhensible pour son propre usage ou pour les transmettre à un tier.


👉Le droit d'opposition : Chaque personne peut demander a ce que ses données ne soient plus traitées. Ce droit n'est pas absolu et ne peut s'exercer que dans certaines situations.


👉Le droit à la limitation des traitements : Lorsqu'une personne fait jouer son droit de rectification ou d'opposition, vous disposez d'un délai pour répondre à ces demandes. Pendant ce délai, la personne peut demander a ce que les traitements de données cessent (attention, les données seront toujours conservées).


👉Les droits liés à la prise de décision automatisée : Lorsqu'une personne fait l'objet d'une décision automatisée, elle a le droit d'en être informé, de contester la décision et de demander le réexamen de la décision par un être humain.



Dès lors, pour répondre à une demande d'exercice de droit, il faut :



1️⃣ Vérifier que la personne à le droit de vous faire une demande d'exercice de droit


Par principe, seule la personne concernée peut faire une demande d'exercice de droit pour ses propres données. Vous n'avez pas à répondre aux demandes d'exercice de droit faites pour d'autres.

Deux exceptions :

- Le mandataire : une personne ou une société mandatée peut faire une demande d'exercice de droit à condition de présenter un mandat et de pouvoir présenter la preuve de l'identité du mandant et la sienne.

- Les mineurs et les majeurs incapables : Les demandes d'exercice de droits sont faites par les tuteurs.



2️⃣ Connaitre les cas ou vous pouvez refuser de répondre


Vous pouvez refuser de répondre à une demande d'exercice de droits dans 4 cas :

  • Si les données ont été effacées

  • Si la personne fait une demande pour le compte d'une autre sans être mandatée

  • Si la demande porte atteinte aux droits d'autrui

  • Si la demande est manifestement infondée ou excessive (demandes répétées et rapprochées par exemple).

Les demandes manifestement infondées ou excessives peuvent aussi donner lieu au paiement de frais raisonnables.

⚠️ Ces frais raisonnables ne doivent pas être une entrave aux droits des personnes.


Dans les cas où vous refuser de répondre à une demande d'exercice de droit, vous devez en informer la personne, motiver votre décision et l'informer des voies de recours auprès de la CNIL dont elle dispose.


3️⃣ Savoir quelles informations complémentaires demandées


Le RGPD permet si et seulement si, vous avez des doutes raisonnables sur l'identité de la personne concernée, de demander à joindre une preuve d'identité :

- Numéro client

- Numéro de facture

- Pièce d'identité etc.


4️⃣ Les modalités à respecter


Deux conditions sont a respecter lorsque vous répondez a une demande d'exercice de droit RGPD :

  • Les délais à respecter

Pour répondre à un exercice de droit des personnes vous disposez de délai déterminé: 1 mois à partir du moment où vous recevez la demande.

Toutefois, si la demande est complexe ou si vous recevez un nombre important de demande, ce délai peut être porté à 2 mois maximum. Vous devez informer la personne concernée que sa demande sera traité dans un délai plus long.


  • Tenir un registre des demandes d'exercice de droits

Pour respecter le principe d'accountability auquel vous êtes soumis en tant que responsable de traitement (pour en savoir plus, notre article de blog !), vous devez tenir un registre qui répertorie les demandes d'exercice de droit que vous avez reçu et répondu.

Ce registre doit contenir :

  • L'identité de la personne

  • Le type de personne (client, usagers, partenaires, salariés...)

  • La date de la demande

  • Le type de la demande (quels droits a été exercé)

  • Le responsable en interne qui a répondu à la demande

  • Si vous avez collecté une preuve d'identité et le type de preuve

  • Le statut de la demande (demande traitée, en cours de traitement, refusée)



En respectant ces règles simples, vous pouvez répondre à une demande d'exercice de droit en conformité avec le RGPD.


Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.


19 vues0 commentaire
bottom of page