Demandes d'exercice de droits (DSAR) — Le guide complet du DPO

Une demande d'exercice de droits est une demande formelle d'une personne a un responsable de traitement, exercant son droit au titre de l'article 15 du RGPD d'obtenir la confirmation que ses donnees personnelles sont traitees et, le cas echeant, l'acces a ces donnees ainsi que des informations complementaires specifiques. Toute personne physique dont les donnees sont traitees peut soumettre une DSAR. Il n'y a pas d'exigences formelles — la demande peut etre faite verbalement, par e-mail, via un formulaire web ou meme par les reseaux sociaux. L'identite du demandeur doit etre verifiee, mais l'organisation ne peut pas imposer d'obstacles deraisonnables a la soumission d'une demande. Les DSAR ne se limitent pas aux clients. Les employes, anciens employes, candidats a l'emploi, visiteurs de sites web et meme les contacts professionnels peuvent en soumettre. Pour les organisations avec des operations RH importantes, les DSAR des employes sont souvent les plus complexes — impliquant des donnees reparties dans les systemes de paie, les archives d'e-mails, les evaluations de performance et plus encore.

Le delai standard pour repondre a une DSAR est d'un mois a compter de la reception de la demande — pas un mois a compter de la verification d'identite ou de l'accuse de reception, mais de la reception. Ce delai est calcule par mois calendaire : une demande recue le 15 mars est due le 15 avril. Des prolongations sont possibles au titre de l'article 12(3) du RGPD : si la demande est particulierement complexe ou si l'organisation recoit un grand nombre de demandes, le delai peut etre prolonge de deux mois supplementaires. Toutefois, le responsable de traitement doit informer la personne concernee de la prolongation dans le delai initial d'un mois, en precisant les raisons du retard. En pratique, la plupart des autorites de controle voient d'un mauvais oeil les prolongations utilisees de maniere systematique. Elles sont destinees aux cas veritablement complexes — pas comme un tampon par defaut. Si vous avez regulierement besoin de prolongations, c'est le signe que votre processus de traitement des DSAR doit etre ameliore. Pour les DPO externes gerant 15 clients avec une moyenne de 3 DSAR par client et par an, cela represente 45 echeances individuelles a suivre. Le suivi manuel avec des entrees de calendrier est source d'erreurs et ne passe pas a l'echelle. Un seul delai manque peut entrainer une plainte aupres de l'autorite de controle et des dommages de reputation tant pour le client que pour le DPO.

L'article 15 exige des responsables de traitement qu'ils fournissent les informations suivantes en reponse a une DSAR : les finalites du traitement, les categories de donnees personnelles concernees, les destinataires ou categories de destinataires, la duree de conservation envisagee ou les criteres pour la determiner, l'existence du droit a la rectification, a l'effacement ou a la limitation, le droit d'introduire une reclamation aupres d'une autorite de controle, la source des donnees (si elles n'ont pas ete collectees directement aupres de la personne concernee) et l'existence d'une prise de decision automatisee y compris le profilage. En plus de ces metadonnees, le responsable de traitement doit fournir une copie des donnees personnelles en cours de traitement. La premiere copie doit etre fournie gratuitement ; pour les copies supplementaires, des frais administratifs raisonnables peuvent etre factures. La reponse doit etre fournie dans un format electronique d'usage courant si la demande a ete faite par voie electronique. Elle doit etre concise, transparente et formulee dans un langage clair et simple — en particulier si la personne concernee est un enfant.

Toutes les DSAR ne doivent pas etre satisfaites dans leur integralite. L'article 12(5) permet aux responsables de traitement de refuser les demandes "manifestement infondees ou excessives" — par exemple, des demandes repetees de la meme personne sans qu'aucun nouveau traitement ne soit intervenu. La charge de la preuve que la demande est manifestement infondee incombe au responsable de traitement. Le privilege juridique et les secrets commerciaux peuvent egalement limiter ce qui doit etre divulgue. Si fournir une copie complete de toutes les donnees revelerait des algorithmes proprietaires, des strategies commerciales ou des informations sur d'autres personnes, le responsable de traitement peut expurger ou retenir ces informations specifiques — mais doit neanmoins repondre a la demande dans son ensemble. Les DSAR des employes sont particulierement complexes. Elles impliquent souvent des donnees detenues par plusieurs services (RH, IT, finance, direction) et peuvent inclure des communications internes concernant l'employe. Les autorites de controle attendent generalement des organisations qu'elles recherchent dans tous les systemes pertinents, y compris les e-mails, mais les discussions confidentielles de la direction sur les restructurations ou les actions disciplinaires peuvent etre exemptees sous certaines conditions. En cas de doute, documentez votre raisonnement pour toute limitation ou exemption appliquee. Les autorites de controle sont bien plus comprehensives lorsqu'un responsable de traitement peut montrer un processus de prise de decision reflechi et documente que face a des refus categoriques.