Loading…
Une demande d'accès d'une personne concernée (DSAR) est une demande, par une personne, de connaître les données à caractère personnel que vous détenez à son sujet. Chaque grand régime de protection de la vie privée (GDPR, UK GDPR, CCPA/CPRA, DPDPA, LGPD, PDPA, APPI) accorde aux personnes concernées une variante de ce droit. Le délai légal le plus court — celui de la Californie — est de 45 jours. Le plus long, avec prolongations — le GDPR — est de trois mois.
Construisez un seul pipeline qui satisfait le délai applicable le plus court. Cinq étapes : Réception → Vérification d'identité → Collecte des données → Examen et caviardage → Livraison et journalisation. Suivez chaque étape. Traitez la piste d'audit comme un artefact de premier plan, et non comme un effet secondaire.
La tentation est de construire des workflows par cadre : un pour le GDPR, un pour la CCPA. Ne le faites pas. Un pipeline unique avec des métadonnées tenant compte du cadre est :
Le schéma ci-dessus présente le flux complet. Les cinq sections suivantes détaillent chaque étape sur le plan opérationnel.
Proposez plusieurs canaux de réception — un formulaire web en libre-service, une adresse e-mail dédiée (généralement privacy@ ou dpo@), une adresse postale et (dans certaines juridictions) un numéro de téléphone. Le GDPR est neutre sur le plan technologique, mais les autorités de contrôle attendent une parité entre les canaux.
Chaque événement de réception devrait consigner, au minimum :
Attribuez un identifiant de dossier. Accusez réception sous 10 jours ouvrés (le délai de la CCPA) — appliqué à toutes les demandes par souci de cohérence.
L'Art. 12(6) du GDPR vous permet de demander des informations supplémentaires « nécessaires pour confirmer l'identité de la personne concernée », mais vous ne devez pas en demander plus que ce qui est proportionné. Le §1798.130(a)(2) de la CCPA exige des « mesures raisonnables » pour vérifier l'identité, la norme s'ajustant à la sensibilité.
Un modèle pragmatique à trois niveaux :
N'arrêtez le décompte pendant la vérification que dans la mesure raisonnable. La CCPA permet explicitement de suspendre le délai de réponse pendant la vérification (prolongation de 15 jours) ; le GDPR ne le permet pas, de sorte que sur-concevoir la vérification sous le GDPR constitue en soi un risque.
L'étape la plus difficile sur le plan opérationnel. Construisez un inventaire des systèmes recensant chaque système qui stocke ou fait transiter des données à caractère personnel, y compris :
Pour chaque système, disposez d'une procédure d'extraction documentée, indexée sur vos identifiants standard (user_id, email, phone). Utilisez le registre des activités de traitement de l'Article 30 du GDPR comme ossature — chaque entrée devrait correspondre à une routine d'extraction DSAR.
Une fois les données collectées, examinez-les pour :
Prévoyez un examinateur du caviardage distinct du collecteur de données lorsque c'est réalisable — la séparation des tâches réduit les erreurs.
Livrez via le même canal sécurisé que celui utilisé par la personne concernée, ou un autre canal de son choix. Chiffrez le paquet. Fournissez une réponse d'accompagnement expliquant le contenu, les catégories de données, les finalités du traitement, les destinataires, la durée de conservation, la source des données, les droits, et le droit d'introduire une réclamation auprès de l'autorité de contrôle.
Journalisez : la demande, les étapes de vérification, les systèmes interrogés, les caviardages appliqués (avec motifs), le canal de livraison et les horodatages. Ce journal est votre défense en cas d'audit ou de réclamation.
| Régime | Accusé de réception | Réponse sur le fond | Prolongation |
|---|---|---|---|
| GDPR / UK GDPR | Pas de délai spécifique — « sans retard injustifié » | 1 mois | +2 mois pour les demandes complexes/multiples |
| CCPA / CPRA | 10 jours ouvrés | 45 jours calendaires | +45 jours lorsque raisonnablement nécessaire |
| DPDPA (Inde) | Pas de délai spécifique | Tel que prescrit par les règles ; délai raisonnable par défaut | Non spécifié |
| LGPD (Brésil) | Pas de délai spécifique | 15 jours pour l'accès ; 30 jours pour la confirmation d'existence | Possible avec justification motivée |
| APPI (Japon) | Pas de délai spécifique | « Sans retard » — généralement 2 semaines | Prolongations raisonnables autorisées |
| PDPA (Singapour) | Pas de délai spécifique | Dès que raisonnablement possible, ≤30 jours | Notifier une nouvelle date estimée si plus long |
Alignez-vous par défaut sur le délai applicable le plus court. Si vous couvrez le GDPR + la CCPA, prévoyez 45 jours de bout en bout ; si seulement le GDPR, prévoyez la référence d'1 mois.
Vous pouvez refuser une demande, en tout ou partie, lorsque :
Documentez le fondement du refus. La personne concernée a le droit de savoir pourquoi et de saisir l'autorité de contrôle.
Un risque réel et croissant. Des acteurs malveillants utilisent les DSAR pour (a) extraire des données de concurrents, (b) submerger de petites équipes de protection de la vie privée, (c) sonder des faiblesses de sécurité. La norme « manifestement infondée ou excessive » de l'Article 12(5) du GDPR est volontairement étroite — vous pouvez facturer des frais raisonnables ou refuser, mais la documentation des motifs doit être rigoureuse.
Garde-fous opérationnels : limitez le débit de la réception anonyme par formulaire web ; exigez une vérification d'identité de Niveau 3 avant de divulguer des données sensibles ; plafonnez le volume de soumissions automatisées depuis une même IP/un même e-mail ; et signalez les schémas (par ex. des DSAR en série provenant de domaines e-mail de concurrents) pour un examen par la direction.
Sous le GDPR, généralement non — l'Article 12(5) rend les réponses gratuites sauf si les demandes sont manifestement infondées ou excessives. La CCPA interdit de même les frais pour les deux premières demandes sur une période de 12 mois. Le PDPA de Singapour autorise des frais raisonnables.
Techniquement oui si les sauvegardes sont raisonnablement récupérables, mais les autorités de contrôle admettent que les sauvegardes n'ont pas à être interrogées en direct si votre politique de conservation est documentée et que vous vous engagez à supprimer les données des sauvegardes lors de leur rotation. Documentez cette approche.
Même droit, mais souvent en plus grand volume et plus sensible (évaluations de performance, notes des managers, journaux de surveillance). Le BDSG allemand §26 impose une sensibilité particulière aux données des salariés. Disposez de routines d'extraction propres aux RH et faites appel à un conseil en droit du travail pour les DSAR liés à un contexte de litige.
Oui — et l'Article 22 du GDPR ajoute le droit à des informations utiles concernant la logique sous-jacente, l'importance et les conséquences envisagées de la prise de décision automatisée. Le règlement européen sur l'IA renforce cela pour l'IA à haut risque au titre de l'Article 26(11).
RegulatoryBridge livre un pipeline DSAR clé en main — formulaires de réception, flux de vérification, bibliothèque d'extracteurs système, examinateur de caviardage, chiffrement de livraison, journal d'audit — couvrant chaque régime de protection de la vie privée concerné.