Skip to content
Droits & Demandes calendar_today Mis à jour: 11 avril 2026 schedule 6 min de lecture

Comment Mettre en Place un Processus de Traitement des Demandes?

verified Dernière révision 11 avril 2026 · l'équipe juridique GDPRWise

Un guide étape par étape pour mettre en place un processus fiable de traitement des demandes des personnes concernées dans le cadre du RGPD. De la désignation d'un point de contact à la documentation de chaque étape.

summarize Points clés
  • check_circle Désignez un point de contact unique pour toutes les demandes des personnes concernées
  • check_circle Toute forme de demande compte - e-mail, téléphone, verbal ou réseaux sociaux
  • check_circle Enregistrez chaque demande immédiatement et programmez des rappels de délai
  • check_circle Documentez tout comme preuve pour l'autorité de contrôle

Pourquoi vous avez besoin d’un processus

La plupart des PME traitent leur première demande de personne concernée dans la panique. Quelqu’un envoie un e-mail demandant “quelles données avez-vous sur moi?” et personne ne sait qui doit répondre, quoi vérifier, ni quand expire le délai. C’est ainsi que les erreurs surviennent, et les erreurs mènent aux plaintes et aux amendes.

Un processus clair et écrit prévient cela. Il n’a pas besoin d’être compliqué. Neuf étapes, un registre partagé et quelques modèles suffisent.

Étape 1 : Désignez un point de contact

Choisissez une personne ou une adresse e-mail qui reçoit toutes les demandes des personnes concernées. Cela peut être privacy@votreentreprise.com, votre responsable administratif, ou vous-même si vous êtes une petite équipe.

La règle essentielle : les demandes ne doivent pas arriver dans une boîte de réception générale où elles risquent de se perdre. Chaque membre de votre organisation doit savoir où transmettre une demande dès qu’elle arrive.

Prévoyez un remplacement. Si la personne de contact est en vacances, quelqu’un d’autre doit vérifier les demandes entrantes.

Étape 2 : Reconnaître une demande

Une demande de personne concernée ne se présente pas sur un formulaire spécial. Elle peut arriver par n’importe quel canal :

  • E-mail - “Veuillez m’envoyer toutes les données que vous avez sur moi”
  • Téléphone - “Je veux que mon compte soit supprimé”
  • Réseaux sociaux - un message privé demandant d’arrêter le traitement des données
  • Lettre - une demande écrite formelle
  • Verbalement - lors d’une réunion ou à l’accueil

Toute variation de “quelles données avez-vous?”, “supprimez mes données”, “arrêtez de traiter mes informations” ou “corrigez mes coordonnées” constitue une demande formelle au titre du RGPD. Formez votre équipe à les reconnaître et à les transmettre immédiatement.

Étape 3 : Enregistrez immédiatement

Dès qu’une demande arrive, consignez-la dans votre registre des demandes. Notez :

  • Qui fait la demande (nom, coordonnées)
  • Quand vous l’avez reçue (c’est le point de départ du délai)
  • Par quel canal elle est arrivée
  • Quel type de demande c’est (accès, effacement, rectification, limitation, portabilité, opposition)
  • Délai (un mois à compter de la réception)
description

Modèle : Registre des Demandes

Suivez chaque demande dans un registre central : qui, quand, quel type, délai et résultat.

Voir le modèle arrow_forward

Étape 4 : Vérifiez l’identité

Avant d’agir sur une demande, vous devez confirmer que vous communiquez avec la bonne personne. Fournir des données à la mauvaise personne constitue une violation de données.

Appliquez une vérification proportionnée :

SituationMéthode de vérification
Client connu avec un compteDemandez confirmation via le compte ou l’e-mail connu
Employé ou contact connuConfirmation via l’adresse e-mail connue suffit
Personne inconnueDemandez une copie de pièce d’identité, photo et numéro national masqués

Ne demandez jamais plus d’identification que nécessaire. Exiger un passeport complet pour une désinscription à une newsletter est disproportionné.

description

Modèle : Vérification d'Identité

Une lettre type demandant au demandeur de confirmer son identité de manière proportionnée.

Voir le modèle arrow_forward

Étape 5 : Évaluez la demande

Déterminez quel droit est invoqué et si vous pouvez y donner suite :

  • Quel droit? Accès, effacement, rectification, limitation, portabilité ou opposition?
  • Pouvez-vous y répondre intégralement? Dans la plupart des cas, oui.
  • Existe-t-il des motifs de refus (partiel)? Obligations légales de conservation, droits d’autrui, demandes manifestement abusives?
  • Réponse partielle? Vous devrez peut-être effacer certaines données tout en conservant d’autres données que vous êtes légalement tenu de garder.

Si vous devez refuser, vous devez expliquer pourquoi et informer le demandeur de son droit de déposer une plainte auprès de l’autorité de contrôle.

Étape 6 : Programmez des rappels de délai

Vous disposez d’un mois à compter de la date de réception. Pas à compter de la vérification, pas à compter du moment où vous avez commencé à travailler sur la demande - à compter de la réception.

Programmez deux rappels :

  • À deux semaines - vérifiez l’avancement. L’identité est-elle vérifiée? Avez-vous commencé à collecter les données?
  • À trois semaines - la réponse devrait être presque prête. Si ce n’est pas le cas, envisagez une prolongation.

Si la demande est complexe, vous pouvez prolonger le délai de deux mois. Mais vous devez informer le demandeur de cette prolongation dans le premier mois, en expliquant pourquoi.

Étape 7 : Répondez

Répondez toujours par écrit, même si la demande est arrivée par téléphone. Votre réponse doit clairement expliquer :

  • Ce que vous avez fait - quelles données vous avez fournies, corrigées ou supprimées
  • Pourquoi - la base juridique de vos actions (ou votre motif de refus)
  • Leurs droits - le droit de déposer une plainte auprès de l’autorité de contrôle

Utilisez des modèles de réponse pour vous assurer de couvrir tous les éléments obligatoires :

description

Modèle : Confirmation de Demande d'Accès

Un modèle de réponse prêt à l’emploi pour les demandes d’accès contenant tous les éléments d’information obligatoires.

Voir le modèle arrow_forward

Pour les autres types de demandes, utilisez le modèle correspondant : confirmation de suppression, refus de suppression ou confirmation de rectification. Chaque modèle garantit que vous incluez les informations légalement requises.

Étape 8 : Documentez tout

Votre dossier pour chaque demande doit contenir :

  • La demande originale (ou un résumé si elle était verbale)
  • Les documents de vérification d’identité
  • Vos notes internes sur les systèmes consultés
  • La réponse que vous avez envoyée
  • Les dates de chaque étape

C’est votre preuve si la personne concernée dépose une plainte auprès de l’autorité de contrôle. Sans documentation, c’est votre parole contre la sienne.

Étape 9 : Établissez un circuit d’escalade

Toutes les demandes ne sont pas simples. Définissez à l’avance :

  • Qui décide des refus? La personne de contact ne doit pas refuser seule des demandes.
  • Quand consulter un avocat? Pour les questions complexes de conservation légale, les droits concurrents ou les litiges potentiels.
  • Quand contacter votre DPO? Si vous avez un Délégué à la Protection des Données, il doit être impliqué dans les cas non routiniers.
  • Que faire si vous n’êtes pas sûr du type de demande? En cas de doute, traitez-la comme une demande valide et demandez conseil.

Mettez ce circuit d’escalade par écrit. Quand une demande difficile arrive à 16h un vendredi, vous ne voulez pas résoudre cela sous pression.

Le processus complet

Votre processus tient sur une page :

  1. La demande arrive - transmettre au point de contact
  2. Enregistrer dans le registre des demandes
  3. Vérifier l’identité
  4. Évaluer la demande
  5. Collecter les données ou prendre action
  6. Préparer la réponse avec un modèle
  7. Envoyer la réponse dans un délai d’un mois
  8. Tout documenter
  9. Clore le dossier dans le registre

Imprimez-le, partagez-le avec votre équipe et parcourez-le une fois. La première vraie demande se déroulera sans accroc.

auto_awesome Soyez prêt pour les demandes

GDPRWise vous aide à mettre en place votre processus de traitement des demandes et génère les modèles nécessaires pour répondre correctement.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.