Protection des données

Traitez votre demande d'informations de manière efficace et conforme au RGPD

94 % des consommateurs souhaitent contrôler leurs données personnelles Apprenez à faire des demandes d'informations conformément à...

Auteur
Dr. Kilian Schmidt
Date
Mis à jour le
4.5.2026
Traitez votre demande d'informations de manière efficace et conforme au RGPD
  • Le règlement général sur la protection des données (RGPD) donne aux consommateurs le droit de contrôler leurs données personnelles et fournit des mécanismes de protection complets.
  • Les demandes d'informations (DSAR) permettent aux individus d'accéder à leurs données, de les corriger ou de les supprimer, renforçant ainsi la confiance dans les entreprises.
  • Les entreprises doivent mettre en place un système structuré pour traiter efficacement les demandes de protection des données et respecter les délais légaux.
  • Le traitement professionnel des DSAR améliore la conformité et réduit le risque de violations de données et de sanctions.
  • Les outils d'automatisation des demandes d'informations, tels que Kertos, aident les entreprises à optimiser le processus et à économiser des ressources précieuses.

Demandes d'informations : 94 % des consommateurs souhaitent contrôler leurs propres données

Le règlement général sur la protection des données (GDPR) est une loi complète sur la protection des données qui est entrée en vigueur en 2018 et qui est la première du genre. Le RGPD s'est révélé être la référence en matière de lois modernes et complètes sur la protection des données. À ce jour, j'ai 137 pays sur 194 promulguer leurs propres lois de protection des données dans le monde entier pour suivre cet exemple.

Ces lois donnent aux individus la possibilité de prendre eux-mêmes le contrôle de leurs données. Ce contrôle va de pair avec les droits de protection des données, tels que le droit d'accéder, de corriger et de supprimer les données personnelles stockées par les organisations. Conformément aux lois et réglementations en matière de protection des données, les entreprises doivent respecter les droits des individus sous peine d'amendes.

Au fil du temps, les utilisateurs sont devenus de plus en plus conscients de leur vie privée sur Internet, comme le montrent les résultats d'un rapport : 94 % des consommateurs veulent contrôler les données qu'ils transmettent aux entreprises et savoir comment ces données sont utilisées. Compte tenu de l'évolution des attentes sociales et des exigences réglementaires, il est grand temps que les entreprises accordent la priorité à la protection des données et respectent les droits individuels.

Explication des demandes d'informations et de ce que cela signifie dans le cadre du RGPD

Le règlement général sur la protection des données et les lois ultérieures garantissent aux consommateurs certains droits en matière de données. Même si la terminologie et les exigences spécifiques des différentes lois peuvent varier, les principes de base et les droits en matière de protection des données dans la pratique sont largement conformes à ceux du RGPD.

Les droits en matière de protection des données en vertu du RGPD sont les suivants :

  1. Le droit d'être informé de la collecte et de l'utilisation des données personnelles.
  2. Le droit d'accéder aux données personnelles et de les traiter.
  3. Le droit de corriger des données personnelles incorrectes ou incomplètes.
  4. Le droit de supprimer ou d'être oublié.
  5. Le droit de restreindre le traitement des données personnelles.
  6. Le droit à la portabilité des données.
  7. Le droit de s'opposer au traitement des données personnelles.
  8. Le droit de s'opposer à la prise de décision et au profilage automatisés.

Que se passe-t-il avant une demande d'informations ?

Une personne utilisant un site Web répond à la politique de confidentialité en cliquant sur « J'accepte ». Le consentement donné par la personne permet aux entreprises de collecter et de traiter les données conformément aux conditions spécifiées. Les entreprises doivent être conscientes que les données collectées auprès des utilisateurs ne leur appartiennent pas réellement. À l'origine, les personnes concernées en sont propriétaires et peuvent faire valoir leurs droits en matière de protection des données pour déterminer comment les entreprises peuvent les utiliser.

Pour exercer leurs droits en matière de protection des données, les utilisateurs doivent soit cliquer sur une bannière de protection des données, soit soumettre une demande au responsable du traitement via un Demande d'accès de la personne concernée Set (DSAR). Le DSAR, également connu sous le nom de DSR, permet aux individus de savoir quelles données une entreprise (ou un responsable du traitement) possède à leur sujet et comment ces données sont utilisées. Bien que la DSAR n'inclue que le terme « accès », elle couvre tous les autres droits, de la suppression à la modification, etc.

Que se passe-t-il après une demande d'informations ?

Après avoir soumis une demande d'informations, les entreprises qui disposent de données sur la personne concernée doivent traiter ses demandes et renvoyer les informations demandées ou prendre des mesures pour répondre à la demande. Il est également important de souligner que les individus n'ont pas besoin d'une raison précise pour faire une demande de DSR. Les seules questions qu'un responsable du traitement peut se poser sont de vérifier l'identité et de trouver les informations souhaitées.

Les demandes d'informations ne sont pas une nouveauté et sont utilisées par les gouvernements comme par les entreprises depuis des années. Les réglementations modernes en matière de protection des données ont permis aux demandeurs d'informations de se renseigner plus facilement. Un Sondage EY L'année 2023 montre à quel point les demandes d'informations augmentent rapidement : 60 % des responsables de la protection des données et de la conformité des sociétés de services financiers ont observé une augmentation des DSAR en 2022, et 49 % s'attendent à une nouvelle augmentation en 2023.

Comment répondez-vous de manière professionnelle aux demandes relatives à la protection des données ?

Mettre en place la mise en œuvre d'un système de réception et de traitement des demandes

Il existe de nombreuses manières pour une personne concernée de soumettre une demande d'accès. Cela inclut un numéro gratuit, un e-mail, le remplissage d'un formulaire Web ou la prise de contact en personne. Dans une enquête iApp, 70 % des personnes interrogées ont déclaré utiliser le courrier électronique, le téléphone ou un portail en ligne pour traiter les DSAR.

Les personnes concernées ne doivent pas uniquement utiliser des termes généralement acceptés tels que « DSAR », « demande de droits » ou « droit de la consommation ». Profitant de la marge de manœuvre dont ils disposent lorsqu'ils soumettent des DSAR, ils pourraient utiliser l'un des termes suivants à la place :

  • J'aimerais savoir quelles informations vous détenez à mon sujet.
  • Je veux qu'ils arrêtent de vendre mes données
  • Je souhaite corriger des données incorrectes.

Les entreprises doivent mettre en place un système structuré de traitement des demandes. Au minimum, ils devraient disposer des méthodes requises par la loi pour permettre aux personnes concernées de formuler leurs demandes et être prêts à traiter les demandes provenant de différentes sources. Les entreprises doivent également systématiser les demandes pour éviter qu'elles ne passent inaperçues ou ne soient pas traitées.

Vérification de l'identité de la personne concernée

Il est important de vérifier l'identité du demandeur afin de procéder à la demande d'accès de la personne concernée. Les méthodes reconnues par l'industrie incluent l'interrogation du courrier électronique lui-même, la connexion au système à l'aide d'une paire e-mail et d'un mot de passe, la réponse à la question de sécurité enregistrée, la présentation d'une pièce d'identité avec photo ou même l'utilisation de systèmes de vérification d'identité tiers.

Selon l'IAPP, le courrier électronique et la pièce d'identité avec photo sont les méthodes les plus courantes pour vérifier l'identité d'une personne concernée. Conformément au principe de minimisation des données prévu par le RGPD, les entreprises ne doivent pas demander d'informations supplémentaires au-delà de ce qui est principalement requis pour la vérification d'identité.

Les entreprises devraient également prendre les mesures appropriées pour protéger ces informations contre les fuites ou l'accès par des personnes non autorisées. Si les entreprises ne peuvent pas vérifier que la personne à l'origine de la demande est la même, elles peuvent choisir de ne pas y donner suite. Il est préférable de refuser une demande plutôt que de partager des données avec la mauvaise personne et de provoquer par inadvertance une violation de données.

Trouvez des informations sur le demandeur d'informations

Les informations personnelles sur les individus se trouvent à de nombreux endroits au sein d'une organisation, notamment dans le CRM, les bases de données, les serveurs de fichiers, les outils d'automatisation du marketing, le cloud, les applications, les e-mails, les documents imprimés et les formulaires, etc.

Pour répondre à un DSAR, il faut effectuer une recherche dans le système pour trouver d'abord toutes les informations concernant le demandeur, puis compiler toutes les informations pour les procédures ultérieures. Une entreprise qui fait appel à un processeur tiers pour stocker ou traiter des données devrait en principe également inclure ce processeur dans le processus de recherche.

La personne concernée peut soit demander quelque chose de spécifique, comme l'historique des achats, soit une demande générale, telle que toutes les informations. Il est toujours judicieux de demander des informations supplémentaires à la personne concernée. Une recherche ciblée basée sur des demandes peut réduire la portée de la collecte de données et accélérer le processus. L'entreprise doit s'assurer que les données demandées sont complètes. Tout ce qui n'est pas divulgué pourrait porter atteinte aux droits de la personne concernée.

Respectez les délais

Le délai d'achèvement du DSAR varie selon la jurisprudence. Les entreprises doivent s'assurer de répondre aux demandes dans les délais prévus par la législation applicable en matière de protection des données. Le non-respect du délai peut être considéré comme une désobéissance à la loi et faire l'objet de mesures coercitives.

En vertu du règlement général sur la protection des données, les entreprises doivent répondre à un DSAR dans le mois civil suivant la réception de la demande. À titre de comparaison, la CCPA/CPRA exige que les demandes soient traitées dans un délai de quarante-cinq jours civils, avec un délai pouvant aller jusqu'à quatre-vingt-dix jours, si l'entreprise rencontre des difficultés pour répondre à la demande et fournit au demandeur une explication des raisons.

Nommez les informations pertinentes et enregistrez les communications

Une fois toutes les données collectées, les données regroupées doivent être partagées avec la personne concernée dans un format commun et facilement accessible, tel qu'un document ou une feuille de calcul, qui répond aux exigences de la demande. Par ailleurs, le règlement général sur la protection des données favorise le partage des données par le biais de l'accès à distance. Cela inclut la mise en place d'un système en ligne sécurisé qui permet aux utilisateurs de se connecter et de gérer leurs données directement et en temps réel.

Les réponses doivent être complétées par une section rappelant aux personnes concernées leurs droits en matière de protection des données et leur capacité à déposer une plainte auprès des autorités de contrôle. La communication avec la personne concernée, à la fois lorsque la demande est reçue et lorsqu'elle est traitée, doit être documentée avec une note indiquant la date, la nature de la demande et les mesures prises pour y donner suite. Une piste d'audit bien documentée est un élément clé de la conformité au RGPD.

Mettre en place une équipe de gestion de la DSAR

Pour répondre à un DSAR, il faut traiter des demandes provenant de sources multiples. Il est fort probable que les demandes de renseignements passent entre les mailles du filet si la réponse n'est pas systématisée. Pour éviter les problèmes juridiques qui en résultent, il est idéal de mettre en place une équipe de direction dédiée à la DSAR. Cette équipe peut suivre et hiérarchiser le traitement des demandes, coordonner la collecte et la compilation des données avec les services concernés et s'assurer du respect des délais.

Selon l'IAPP 70 % des entreprises comptent moins de six employés travaillant sur la DSAR ; 20 % ont une personne qui s'occupe de la DSAR et 50 % ont 2 à 5 personnes chargées de la gestion de la DSAR. Environ 88 % des entreprises en Europe disposent de services internes de protection des données pour la gestion de la DSAR, mais ils répartissent souvent le travail entre d'autres départements, tels que les ressources humaines, juridiques, informatiques et de conformité, afin de garantir un traitement efficace.

Il est également judicieux d'économiser sur les investissements dans les ressources internes et de faire appel à des tiers pour accélérer les processus de conformité. Kertos.io est connu sur le marché pour ses solutions efficaces et rentables pour le respect des réglementations en matière de protection des données. En traitant les demandes d'accès des personnes concernées à Kertos Externalisez, vous pouvez optimiser les demandes de suppression et d'informations en automatisant l'ensemble du processus, de la réception et de la vérification à la suppression et à la confirmation.

Le guide du fondateur à propos de NIS2 : Préparez votre entreprise maintenant

Protégez votre start-up : découvrez comment NIS2 peut avoir un impact sur votre activité et ce que vous devez prendre en compte dès maintenant. Lisez le livre blanc gratuit dès maintenant !

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
Traitez votre demande d'informations de manière efficace et conforme au RGPD
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

PDG et cofondateur de Kertos GmbH

Le Dr Kilian Schmidt a développé très tôt un vif intérêt pour les processus juridiques. Après des études de droit, il a commencé sa carrière en tant que conseiller juridique principal et responsable de la protection des données au sein du groupe Home24. Après avoir travaillé chez Freshfields Bruckhaus Deringer, il a rejoint TIER Mobility, où, en tant que directeur juridique, il a participé de manière significative à l'expansion du département juridique et des politiques publiques. L'entreprise est passée d'une à 65 villes et de 50 à 800 employés. Motivé par les avancées technologiques limitées dans le secteur juridique et inspiré par son travail de consultant chez Gorillas Technologies, il a cofondé Kertos pour développer la prochaine génération de technologies européennes de protection des données.

À propos de Kertos

Kertos est l'épine dorsale moderne des activités de protection des données et de conformité des entreprises en pleine expansion. Nous permettons à nos clients de mettre en œuvre des processus intégrés de protection des données et de sécurité des informations conformément au RGPD, à la norme ISO 27001, à la TISAX®, à la SOC2 et à de nombreuses autres normes rapidement et à moindre coût grâce à l'automatisation.

Prêts pour un allègement concernant le DSGVO ?

Demandez un devisDécouvrez la plateforme
CTA Image

ARTICLE

Autres articles

IA et conformité manuelle : le retour sur investissement de l'automatisation
Conformité
All
IA et conformité manuelle : le retour sur investissement de l'automatisation

Maximiser l'efficacité et réduire les risques : pourquoi l'automatisation de la conformité basée sur l'IA est la clé de l'avenir

Jetzt reinhören
L'informatique parallèle et son importance dans les environnements B2B modernes
Sécurité de l'information
All
L'informatique parallèle et son importance dans les environnements B2B modernes

Shadow IT est similaire à l'histoire des chevaux de Troie et des menaces internes dans un environnement B2B. Tout comme les actions involontaires des gardiens ouvrent la porte aux intrus, les employés peuvent ouvrir sans le savoir une porte aux cybercriminels.

Jetzt reinhören
Quel est le rôle des audits internes dans la mise en conformité ?
Sécurité de l'information
All
Quel est le rôle des audits internes dans la mise en conformité ?

Pour se conformer à la norme ISO 27001, les entreprises doivent se soumettre à deux types d'audits : des audits internes et externes. L'audit interne constitue la base de décisions bien fondées.

Jetzt reinhören

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check