Skip to content
Droits & Demandes calendar_today Mis à jour: 7 avril 2026 schedule 5 min de lecture

Demande d'Accès Reçue - Que Faire ? Étape par Étape

verified Dernière révision 7 avril 2026 · l'équipe juridique GDPRWise

Un client ou un employé veut savoir quelles données personnelles vous détenez à son sujet. C'est une demande d'accès. Cet article explique étape par étape comment réagir correctement, de la vérification d'identité à la fourniture des données.

summarize Points clés
  • check_circle Vous avez un mois maximum pour répondre à une demande d'accès
  • check_circle Vérifiez toujours l'identité du demandeur avant de fournir des données
  • check_circle Vous devez fournir non seulement les données elles-mêmes mais aussi des informations sur la façon dont vous les traitez
  • check_circle La première demande est gratuite - vous ne pouvez facturer que pour les demandes excessives

Reconnaître une demande d’accès

Une demande d’accès (également connue sous le nom de DSAR - Data Subject Access Request) est la demande la plus courante que vous pouvez recevoir en tant qu’entrepreneur. Un client, un employé, un candidat ou un visiteur de votre site web vous demande de lui indiquer quelles données personnelles vous détenez à son sujet.

La demande n’a pas besoin d’être formelle. “Quelles données avez-vous sur moi ?” dans un e-mail est déjà une demande d’accès. Vous n’avez pas besoin d’un formulaire pour cela.

Étape 1 : Enregistrez la demande

Notez immédiatement :

  • Qui fait la demande
  • Quand vous l’avez reçue (le délai d’un mois commence maintenant)
  • Par quel canal elle est arrivée
  • Ce qui est exactement demandé
description

Modèle : Registre des demandes

Suivez chaque demande dans un registre : qui, quand, ce qui a été demandé et comment cela a été traité.

Voir le modèle arrow_forward

Étape 2 : Vérifiez l’identité

Avant de fournir des données, vous devez être certain de communiquer avec la bonne personne. Sinon, vous risquez une violation de données en fournissant des données à la mauvaise personne.

Comment vérifier ?

  • Si la personne a déjà un compte chez vous : faites-lui confirmer la demande via ce compte
  • Si vous connaissez la personne (par ex. un employé) : une confirmation via l’adresse e-mail connue suffit
  • Pour les personnes inconnues : demandez une copie d’une pièce d’identité. Demandez au demandeur de masquer le numéro national et la photo - vous n’en avez pas besoin

Ne prenez pas plus que nécessaire : le contrôle d’identité doit être proportionnel.

description

Modèle : Vérification d'identité

Une lettre standard demandant au demandeur de confirmer son identité.

Voir le modèle arrow_forward

Étape 3 : Rassemblez les données

Recherchez dans tous vos systèmes où des données personnelles du demandeur peuvent être stockées :

  • Système CRM - données clients, notes, historique de communication
  • Système de messagerie - correspondance avec la personne
  • Comptabilité - factures, données de paiement
  • Système RH - s’il s’agit d’un (ancien) employé
  • Site web - soumissions de formulaires, données de compte
  • Dossiers papier - contrats, correspondance

Soyez minutieux. Si vous oubliez des données par la suite, le demandeur peut déposer une plainte.

Étape 4 : Rédigez votre réponse

Votre réponse doit contenir les informations suivantes :

Les données elles-mêmes

Une copie de toutes les données personnelles que vous traitez sur la personne concernée.

Informations supplémentaires

  • Finalités du traitement - pourquoi vous traitez les données
  • Catégories de données - quels types de données vous détenez
  • Destinataires - avec qui vous avez partagé les données
  • Durée de conservation - combien de temps vous conservez les données
  • Droits - la personne concernée a droit à la rectification, à l’effacement, à la limitation et à l’opposition
  • Droit de plainte - la personne concernée peut déposer une plainte auprès de l’autorité de contrôle
  • Source - si vous n’avez pas obtenu les données auprès de la personne concernée elle-même, d’où elles proviennent
description

Modèle : Réponse à une demande d'accès

Une réponse prête à l’emploi contenant tous les éléments d’information obligatoires.

Voir le modèle arrow_forward

Étape 5 : Envoyez la réponse

  • Délai - dans un mois suivant la réception de la demande
  • Prolongation - pour les demandes complexes, vous pouvez prolonger de deux mois, mais informez le demandeur dans le premier mois
  • Format - si la demande a été faite électroniquement, fournissez les données dans un format électronique courant (PDF, Excel)
  • Coût - la première demande est gratuite. Pour les demandes répétées ou manifestement excessives, vous pouvez demander des frais raisonnables
  • Sécurité - envoyez les données par un canal sécurisé, pas en pièce jointe d’un e-mail non chiffré

Étape 6 : Documentez

Enregistrez comment vous avez traité la demande : quand reçue, quand répondu, quelles données fournies, quels systèmes examinés. C’est votre preuve si la personne concernée dépose une plainte ultérieurement.

Pièges courants

  • Répondre trop tard - un mois passe vite. Enregistrez la demande immédiatement et commencez le jour même
  • Oublier des données - examinez tous les systèmes, pas seulement votre CRM
  • Pas de contrôle d’identité - fournir des données à la mauvaise personne est une violation de données
  • Masquer trop d’informations - vous pouvez masquer les données de tiers, mais pas les propres données du demandeur
auto_awesome Soyez préparé aux demandes

GDPRWise génère des modèles de réponse et vous aide à tenir un registre de toutes les demandes reçues.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.