Skip to content
Droits & Demandes calendar_today Mis à jour: 6 avril 2026 schedule 8 min de lecture

Droits des Personnes Concernées sous le RGPD : Le Guide Complet pour les Entrepreneurs

verified Dernière révision 6 avril 2026 · l'équipe juridique GDPRWise

Le RGPD accorde 8 droits aux individus sur leurs données personnelles. En tant qu'entrepreneur, vous devez traiter ces demandes correctement, dans un délai d'un mois, gratuitement et de manière documentée. Ce guide explique chaque droit et ce que vous devez faire.

summarize Points clés
  • check_circle Les personnes concernées ont 8 droits sous le RGPD ; vous devez répondre à chaque demande dans un délai d'un mois
  • check_circle Vous ne pouvez pas facturer la première demande, sauf si elle est manifestement infondée ou excessive
  • check_circle Vérifiez toujours l'identité du demandeur avant de fournir ou de supprimer des données
  • check_circle Tenez un registre de toutes les demandes reçues et de la manière dont vous les avez traitées
  • check_circle GDPRWise génère automatiquement des modèles de réponse pour chaque type de demande

Les 8 droits en bref

Le RGPD (Règlement Général sur la Protection des Données) accorde à chaque personne dont vous traitez les données - clients, employés, visiteurs de votre site web - un ensemble de droits. En tant qu’entrepreneur, vous êtes tenu de prendre chaque demande au sérieux et de la traiter correctement.

Voici les 8 droits :

  1. Droit à l’information - savoir quelles données vous traitez et pourquoi
  2. Droit d’accès - recevoir une copie de leurs données
  3. Droit de rectification - faire corriger des données inexactes
  4. Droit à l’effacement - faire supprimer des données (“droit à l’oubli”)
  5. Droit à la limitation - suspendre temporairement le traitement
  6. Droit à la portabilité - recevoir les données dans un format lisible
  7. Droit d’opposition - s’opposer à certains traitements
  8. Droit relatif à la prise de décision automatisée - ne pas être soumis à des décisions purement automatisées

Avant de commencer : les règles de base

Quel que soit le droit invoqué, les mêmes règles de base s’appliquent toujours :

Délai : vous disposez d’un maximum d’un mois pour répondre. Pour les demandes complexes, vous pouvez prolonger une fois de deux mois, mais vous devez informer le demandeur dans le premier mois du retard et de sa raison.

Coûts : la première demande est toujours gratuite. Vous ne pouvez demander des frais raisonnables que si la demande est manifestement infondée ou excessive (pensez à quelqu’un qui soumet la même demande chaque semaine).

Vérification d’identité : vérifiez toujours l’identité du demandeur avant de fournir ou de modifier des données. Demandez une copie d’une pièce d’identité, mais masquez le numéro national et la photo - vous n’avez pas besoin de ces informations.

Enregistrement : tenez un registre de toutes les demandes reçues, la date, le type de droit et la manière dont vous les avez traitées. L’autorité de contrôle peut demander ce registre.

1. Droit à l’information

Ce que cela signifie : les personnes ont le droit de savoir quelles données vous traitez, pourquoi, combien de temps vous les conservez, avec qui vous les partagez et quels droits elles ont. Ce droit est “proactif” - vous devez fournir activement ces informations, pas seulement quand quelqu’un le demande.

Comment l’organiser :

  • Publiez une politique de confidentialité claire sur votre site web
  • Informez les clients lors de la collecte de données (formulaires d’inscription, contrats)
  • Mentionnez toujours : la finalité, la base juridique, la durée de conservation et les droits de la personne concernée

Erreur courante : une politique de confidentialité que personne ne comprend. Écrivez dans un langage compréhensible, pas en jargon juridique.

2. Droit d’accès

Ce que cela signifie : quelqu’un peut vous demander une copie de toutes les données personnelles que vous traitez à son sujet. C’est la demande la plus courante, connue sous le nom de DSAR (Data Subject Access Request).

Comment réagir :

  1. Vérifiez l’identité du demandeur
  2. Rassemblez toutes les données que vous avez sur cette personne, dans tous les systèmes (CRM, e-mail, comptabilité, RH)
  3. Envoyez un aperçu avec : quelles données, dans quel but, de qui reçues, avec qui partagées, combien de temps conservées
  4. Fournissez ceci dans un format compréhensible (par ex. PDF)

Délai : dans un mois.

Attention : vous ne devez pas inclure les données d’autres personnes. Si un dossier contient également des données de tiers, masquez-les.

3. Droit de rectification

Ce que cela signifie : si des données personnelles sont inexactes ou incomplètes, la personne concernée peut demander leur correction ou leur complément.

Comment réagir :

  1. Vérifiez si les données sont effectivement inexactes
  2. Corrigez-les dans tous vos systèmes
  3. Avez-vous partagé les données avec des tiers (par ex. un sous-traitant) ? Informez-les également de la modification
  4. Confirmez la correction par écrit au demandeur

Conseil pratique : de nombreux systèmes permettent aux clients de modifier eux-mêmes leurs données (pensez à une page de compte). C’est la voie la plus simple.

4. Droit à l’effacement (“droit à l’oubli”)

Ce que cela signifie : les personnes peuvent demander la suppression de leurs données personnelles. Ce n’est pas un droit absolu - il existe des exceptions.

Quand vous devez supprimer :

  • Les données ne sont plus nécessaires pour la finalité initiale
  • La personne concernée retire son consentement (et il n’y a pas d’autre base juridique)
  • La personne concernée s’oppose à juste titre
  • Les données ont été traitées illégalement

Quand vous pouvez refuser :

  • Les données sont nécessaires pour une obligation légale (par ex. obligation de conservation fiscale de 7 ans)
  • Pour l’exercice du droit à la liberté d’expression
  • Pour la constatation ou l’exercice de droits en justice

Comment réagir :

  1. Vérifiez l’identité
  2. Évaluez si une exception s’applique
  3. Supprimez les données de tous les systèmes, y compris les sauvegardes (dans la mesure du raisonnable)
  4. Informez les éventuels destinataires des données
  5. Confirmez la suppression ou expliquez pourquoi vous refusez

5. Droit à la limitation du traitement

Ce que cela signifie : la personne concernée peut demander de suspendre temporairement le traitement. C’est une sorte de “bouton pause” - vous conservez les données mais ne pouvez plus les utiliser activement.

Quand ce droit s’applique :

  • L’exactitude des données est contestée (pendant la vérification)
  • Le traitement est illicite, mais la personne concernée ne souhaite pas la suppression
  • Vous n’avez plus besoin des données, mais la personne concernée en a besoin (pour un procès)
  • La personne concernée s’est opposée et vous évaluez si vos motifs l’emportent

En pratique : marquez les données comme “limitées” dans votre système. Vous ne pouvez les traiter qu’avec le consentement de la personne concernée, ou pour des droits en justice.

6. Droit à la portabilité des données

Ce que cela signifie : la personne concernée peut demander les données qu’elle a elle-même fournies dans un format structuré, couramment utilisé et lisible par machine, et de transférer ces données à une autre organisation.

Quand ce droit s’applique :

  • Le traitement est basé sur le consentement ou un contrat
  • Le traitement est automatisé (pas sur papier)

Format : utilisez un format courant comme CSV, JSON ou XML. Pas de PDF - ce n’est pas lisible par machine.

Attention : ce droit ne s’applique qu’aux données que la personne concernée a elle-même fournies. Les données dérivées (analyses, scores, profils) ne sont pas couvertes.

7. Droit d’opposition

Ce que cela signifie : la personne concernée peut s’opposer au traitement de données, notamment lorsque vous traitez sur la base d’un intérêt légitime ou pour du marketing direct.

Pour le marketing direct : l’opposition est toujours valide. Vous devez immédiatement cesser le traitement des données à des fins marketing. Aucune discussion possible.

Pour l’intérêt légitime : vous devez évaluer si vos intérêts l’emportent sur les droits de la personne concernée. Si ce n’est pas le cas, vous devez arrêter le traitement.

Comment réagir :

  1. S’agit-il de marketing direct ? Arrêtez immédiatement
  2. S’agit-il d’un intérêt légitime ? Faites une évaluation et documentez-la
  3. Informez la personne concernée de votre décision

8. Droit relatif à la prise de décision automatisée et au profilage

Ce que cela signifie : les personnes ont le droit de ne pas être soumises à une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) si cette décision les affecte de manière significative.

Quand c’est pertinent :

  • Vous utilisez un algorithme pour rejeter automatiquement des demandes de crédit
  • Vous pratiquez une discrimination tarifaire automatique basée sur des profils
  • Vous sélectionnez automatiquement des candidats sans évaluation humaine

Pour la plupart des PME : ce droit est rarement pertinent. Si vous ne prenez pas de décisions entièrement automatisées qui affectent significativement les personnes, vous n’avez pas beaucoup à vous en soucier.

Si c’est pertinent : assurez-vous qu’il y a toujours une possibilité d’intervention humaine, et informez les personnes concernées qu’elles ont ce droit.

Modèles de réponse

Nous avons créé des modèles d’e-mails prêts à l’emploi pour les demandes les plus courantes. Copiez-les, adaptez vos coordonnées d’entreprise et envoyez.

Que devez-vous faire maintenant ?

Une checklist pour mettre vos obligations en ordre :

  • Assurez-vous que votre politique de confidentialité est à jour et mentionne tous les droits
  • Mettez en place une procédure pour recevoir et traiter les demandes
  • Désignez un responsable du traitement des demandes
  • Utilisez nos modèles de réponse comme base pour vos propres réponses
  • Mettez en place un registre des demandes reçues
  • Formez vos employés - ils doivent savoir comment reconnaître une demande et la transmettre
  • Testez votre procédure : en combien de temps pouvez-vous extraire toutes les données d’une personne de tous vos systèmes ?
auto_awesome Savez-vous quelles donnees vous traitez ?

GDPRWise scanne votre site web et identifie quelles donnees personnelles vous collectez, avec qui vous les partagez et quels droits ont vos visiteurs.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.