Skip to content
Droits & Demandes calendar_today Mis à jour: 6 avril 2026 schedule 8 min de lecture

Droits des Personnes Concernees sous le RGPD : Le Guide Complet pour les Entrepreneurs

Le RGPD accorde 8 droits aux individus sur leurs donnees personnelles. En tant qu'entrepreneur, vous devez traiter ces demandes correctement, dans un delai d'un mois, gratuitement et de maniere documentee. Ce guide explique chaque droit et ce que vous devez faire.

summarize Points clés
  • check_circle Les personnes concernees ont 8 droits sous le RGPD ; vous devez repondre a chaque demande dans un delai d'un mois
  • check_circle Vous ne pouvez pas facturer la premiere demande, sauf si elle est manifestement infondee ou excessive
  • check_circle Verifiez toujours l'identite du demandeur avant de fournir ou de supprimer des donnees
  • check_circle Tenez un registre de toutes les demandes recues et de la maniere dont vous les avez traitees
  • check_circle GDPRWise genere automatiquement des modeles de reponse pour chaque type de demande

Les 8 droits en bref

Le RGPD (Reglement General sur la Protection des Donnees) accorde a chaque personne dont vous traitez les donnees - clients, employes, visiteurs de votre site web - un ensemble de droits. En tant qu’entrepreneur, vous etes tenu de prendre chaque demande au serieux et de la traiter correctement.

Voici les 8 droits :

  1. Droit a l’information - savoir quelles donnees vous traitez et pourquoi
  2. Droit d’acces - recevoir une copie de leurs donnees
  3. Droit de rectification - faire corriger des donnees inexactes
  4. Droit a l’effacement - faire supprimer des donnees (“droit a l’oubli”)
  5. Droit a la limitation - suspendre temporairement le traitement
  6. Droit a la portabilite - recevoir les donnees dans un format lisible
  7. Droit d’opposition - s’opposer a certains traitements
  8. Droit relatif a la prise de decision automatisee - ne pas etre soumis a des decisions purement automatisees

Avant de commencer : les regles de base

Quel que soit le droit invoque, les memes regles de base s’appliquent toujours :

Delai : vous disposez d’un maximum d’un mois pour repondre. Pour les demandes complexes, vous pouvez prolonger une fois de deux mois, mais vous devez informer le demandeur dans le premier mois du retard et de sa raison.

Couts : la premiere demande est toujours gratuite. Vous ne pouvez demander des frais raisonnables que si la demande est manifestement infondee ou excessive (pensez a quelqu’un qui soumet la meme demande chaque semaine).

Verification d’identite : verifiez toujours l’identite du demandeur avant de fournir ou de modifier des donnees. Demandez une copie d’une piece d’identite, mais masquez le numero national et la photo - vous n’avez pas besoin de ces informations.

Enregistrement : tenez un registre de toutes les demandes recues, la date, le type de droit et la maniere dont vous les avez traitees. L’autorite de controle peut demander ce registre.

1. Droit a l’information

Ce que cela signifie : les personnes ont le droit de savoir quelles donnees vous traitez, pourquoi, combien de temps vous les conservez, avec qui vous les partagez et quels droits elles ont. Ce droit est “proactif” - vous devez fournir activement ces informations, pas seulement quand quelqu’un le demande.

Comment l’organiser :

  • Publiez une politique de confidentialite claire sur votre site web
  • Informez les clients lors de la collecte de donnees (formulaires d’inscription, contrats)
  • Mentionnez toujours : la finalite, la base juridique, la duree de conservation et les droits de la personne concernee

Erreur courante : une politique de confidentialite que personne ne comprend. Ecrivez dans un langage comprehensible, pas en jargon juridique.

2. Droit d’acces

Ce que cela signifie : quelqu’un peut vous demander une copie de toutes les donnees personnelles que vous traitez a son sujet. C’est la demande la plus courante, connue sous le nom de DSAR (Data Subject Access Request).

Comment reagir :

  1. Verifiez l’identite du demandeur
  2. Rassemblez toutes les donnees que vous avez sur cette personne, dans tous les systemes (CRM, e-mail, comptabilite, RH)
  3. Envoyez un apercu avec : quelles donnees, dans quel but, de qui recues, avec qui partagees, combien de temps conservees
  4. Fournissez ceci dans un format comprehensible (par ex. PDF)

Delai : dans un mois.

Attention : vous ne devez pas inclure les donnees d’autres personnes. Si un dossier contient egalement des donnees de tiers, masquez-les.

3. Droit de rectification

Ce que cela signifie : si des donnees personnelles sont inexactes ou incompletes, la personne concernee peut demander leur correction ou leur complement.

Comment reagir :

  1. Verifiez si les donnees sont effectivement inexactes
  2. Corrigez-les dans tous vos systemes
  3. Avez-vous partage les donnees avec des tiers (par ex. un sous-traitant) ? Informez-les egalement de la modification
  4. Confirmez la correction par ecrit au demandeur

Conseil pratique : de nombreux systemes permettent aux clients de modifier eux-memes leurs donnees (pensez a une page de compte). C’est la voie la plus simple.

4. Droit a l’effacement (“droit a l’oubli”)

Ce que cela signifie : les personnes peuvent demander la suppression de leurs donnees personnelles. Ce n’est pas un droit absolu - il existe des exceptions.

Quand vous devez supprimer :

  • Les donnees ne sont plus necessaires pour la finalite initiale
  • La personne concernee retire son consentement (et il n’y a pas d’autre base juridique)
  • La personne concernee s’oppose a juste titre
  • Les donnees ont ete traitees illegalement

Quand vous pouvez refuser :

  • Les donnees sont necessaires pour une obligation legale (par ex. obligation de conservation fiscale de 7 ans)
  • Pour l’exercice du droit a la liberte d’expression
  • Pour la constatation ou l’exercice de droits en justice

Comment reagir :

  1. Verifiez l’identite
  2. Evaluez si une exception s’applique
  3. Supprimez les donnees de tous les systemes, y compris les sauvegardes (dans la mesure du raisonnable)
  4. Informez les eventuels destinataires des donnees
  5. Confirmez la suppression ou expliquez pourquoi vous refusez

5. Droit a la limitation du traitement

Ce que cela signifie : la personne concernee peut demander de suspendre temporairement le traitement. C’est une sorte de “bouton pause” - vous conservez les donnees mais ne pouvez plus les utiliser activement.

Quand ce droit s’applique :

  • L’exactitude des donnees est contestee (pendant la verification)
  • Le traitement est illicite, mais la personne concernee ne souhaite pas la suppression
  • Vous n’avez plus besoin des donnees, mais la personne concernee en a besoin (pour un proces)
  • La personne concernee s’est opposee et vous evaluez si vos motifs l’emportent

En pratique : marquez les donnees comme “limitees” dans votre systeme. Vous ne pouvez les traiter qu’avec le consentement de la personne concernee, ou pour des droits en justice.

6. Droit a la portabilite des donnees

Ce que cela signifie : la personne concernee peut demander les donnees qu’elle a elle-meme fournies dans un format structure, couramment utilise et lisible par machine, et de transferer ces donnees a une autre organisation.

Quand ce droit s’applique :

  • Le traitement est base sur le consentement ou un contrat
  • Le traitement est automatise (pas sur papier)

Format : utilisez un format courant comme CSV, JSON ou XML. Pas de PDF - ce n’est pas lisible par machine.

Attention : ce droit ne s’applique qu’aux donnees que la personne concernee a elle-meme fournies. Les donnees derivees (analyses, scores, profils) ne sont pas couvertes.

7. Droit d’opposition

Ce que cela signifie : la personne concernee peut s’opposer au traitement de donnees, notamment lorsque vous traitez sur la base d’un interet legitime ou pour du marketing direct.

Pour le marketing direct : l’opposition est toujours valide. Vous devez immediatement cesser le traitement des donnees a des fins marketing. Aucune discussion possible.

Pour l’interet legitime : vous devez evaluer si vos interets l’emportent sur les droits de la personne concernee. Si ce n’est pas le cas, vous devez arreter le traitement.

Comment reagir :

  1. S’agit-il de marketing direct ? Arretez immediatement
  2. S’agit-il d’un interet legitime ? Faites une evaluation et documentez-la
  3. Informez la personne concernee de votre decision

8. Droit relatif a la prise de decision automatisee et au profilage

Ce que cela signifie : les personnes ont le droit de ne pas etre soumises a une decision fondee exclusivement sur un traitement automatise (y compris le profilage) si cette decision les affecte de maniere significative.

Quand c’est pertinent :

  • Vous utilisez un algorithme pour rejeter automatiquement des demandes de credit
  • Vous pratiquez une discrimination tarifaire automatique basee sur des profils
  • Vous selectionnez automatiquement des candidats sans evaluation humaine

Pour la plupart des PME : ce droit est rarement pertinent. Si vous ne prenez pas de decisions entierement automatisees qui affectent significativement les personnes, vous n’avez pas beaucoup a vous en soucier.

Si c’est pertinent : assurez-vous qu’il y a toujours une possibilite d’intervention humaine, et informez les personnes concernees qu’elles ont ce droit.

Modeles de reponse

Nous avons cree des modeles d’e-mails prets a l’emploi pour les demandes les plus courantes. Copiez-les, adaptez vos coordonnees d’entreprise et envoyez.

Que devez-vous faire maintenant ?

Une checklist pour mettre vos obligations en ordre :

  • Assurez-vous que votre politique de confidentialite est a jour et mentionne tous les droits
  • Mettez en place une procedure pour recevoir et traiter les demandes
  • Designez un responsable du traitement des demandes
  • Utilisez nos modeles de reponse comme base pour vos propres reponses
  • Mettez en place un registre des demandes recues
  • Formez vos employes - ils doivent savoir comment reconnaitre une demande et la transmettre
  • Testez votre procedure : en combien de temps pouvez-vous extraire toutes les donnees d’une personne de tous vos systemes ?
auto_awesome Savez-vous quelles donnees vous traitez ?

GDPRWise scanne votre site web et identifie quelles donnees personnelles vous collectez, avec qui vous les partagez et quels droits ont vos visiteurs.

GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.