← Voir tous les articles

  • 15 août 2025

Comprendre vos droits en matière de données : Qu'est-ce qu'un DSAR, pourquoi c'est important et comment déposer une demande d'accès à des données personnelles (DSAR) ?

Le DSAR est un outil puissant dans le cadre du GDPR qui vous permet de gagner en transparence et en contrôle sur vos données personnelles

Dans un monde de plus en plus numérique, où vos informations personnelles sont constamment collectées, traitées et stockées par d'innombrables organisations, il est primordial de comprendre vos droits en matière de protection de la vie privée. L'un des droits les plus importants dont vous disposez est le droit à la vie privée. Droit d'accès de la personne concernée, communément appelé DSAR (Demande d'accès de la personne concernée).

Cet article explique en détail ce qu'est une DSAR, pourquoi il est essentiel que vous la connaissiez, et fournit un guide étape par étape sur la manière de déposer efficacement une DSAR.

Qu'est-ce qu'une DSAR et pourquoi devriez-vous exercer ce droit ?

A DSAR (Data Subject Access Request - Demande d'accès de la personne concernée) est un droit fondamental qui vous est accordé par Article 15 du règlement général sur la protection des données (RGPD) de l'Union européenne. Elle permet à toute personne de demander à une organisation si elle détient des données à caractère personnel la concernant et, dans l'affirmative, de recevoir des informations complètes, y compris :

  1. Une copie de vos données personnelles que l'organisation détient.
  2. Informations détaillées sur le comment et le pourquoi le traitement de ces données (par exemple, les finalités du traitement).
  3. Détails sur les destinataires ou les catégories de destinataires à qui vos données ont été ou seront divulguées (en particulier dans des pays tiers ou des organisations internationales).
  4. Les la période envisagée pour le stockage des données à caractère personnelou, si cela n'est pas possible, les critères utilisés pour déterminer cette période.
  5. Les base juridique du traitement vos données (par exemple, consentement, contrat, obligation légale, intérêt légitime).
  6. L'existence de la droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel ou la limitation du traitement concernant la personne concernée, ou de s'opposer à un tel traitement.
  7. Les droit de déposer une plainte auprès d'une autorité de contrôle.
  8. Informations sur les source des donnéeslorsque les données à caractère personnel ne sont pas collectées directement auprès de vous.
  9. L'existence de la prise de décision automatisée, y compris le profilageLe traitement des données à caractère personnel peut être effectué à l'aide de la procédure d'appel d'offres, visée à l'article 22, paragraphes 1 et 4, du RGPD et, au moins dans ces cas, d'informations utiles sur la logique utilisée, ainsi que sur l'importance et les conséquences envisagées d'un tel traitement pour la personne concernée.

Pourquoi devriez-vous exercer votre droit à la DSAR ?

Vous n'avez pas besoin d'un avocat ou d'une justification complexe pour exercer ce droit. Si vos données sont collectées ou traitées par une organisation, vous avez le droit de savoir comment. L'exercice de votre droit au DSAR est crucial pour plusieurs raisons :

  • Transparence et contrôle : Il vous permet de connaître directement les données personnelles qu'une organisation détient à votre sujet, ce qui favorise la transparence et vous permet de vérifier leur exactitude.
  • Correction et suppression : Si vous trouvez des informations inexactes ou périmées, ou des données qui ne sont plus nécessaires, un DSAR est la première étape pour exercer vos droits de rectification ou d'effacement.
  • Comprendre le flux de données : Il vous aide à comprendre avec qui vos données sont partagées, ce qui est particulièrement important à l'ère des écosystèmes de données complexes impliquant des sous-traitants tiers.
  • Responsabilité : Elle tient les organisations responsables de leurs pratiques en matière de traitement des données, en veillant à ce qu'elles respectent les lois sur la protection des données.
  • Recours juridique : En cas de violation ou d'utilisation abusive des données, le fait de disposer d'un enregistrement de votre DSAR et de la réponse (ou de l'absence de réponse) de l'organisation peut s'avérer crucial pour un recours juridique ou le dépôt d'une plainte auprès d'une autorité de contrôle.

Comment déposer une DSAR : un guide étape par étape

Le dépôt d'une DSAR est généralement une procédure simple. Voici comment procéder :

  1. Identifier le contrôleur des données :
    • Déterminez quelle entreprise, entité publique ou organisation détient vos données. Il s'agit généralement de l'entité avec laquelle vous avez une relation directe (par exemple, votre banque, votre employeur, une plateforme de médias sociaux, un détaillant en ligne).
    • Consultez leur politique de confidentialité ou leurs conditions de service sur leur site web, qui contiennent souvent des coordonnées spécifiques pour les demandes de renseignements sur la protection des données ou les DSAR.
  2. Formulez votre demande :
    • Il n'est pas nécessaire d'utiliser un jargon juridique, mais d'indiquer clairement que vous faites une demande d'accès au sujet des données en vertu de l'article 15 du GDPR.
    • Exemple de libellé : "Je vous écris pour exercer mon droit d'accès en vertu de l'article 15 du règlement général sur la protection des données (RGPD). Veuillez me fournir une copie de toutes les données à caractère personnel que vous détenez à mon sujet. Je souhaiterais également recevoir des informations concernant les finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires auxquels mes données ont été ou seront divulguées, la durée envisagée de conservation des données à caractère personnel et la source des données à caractère personnel si elles n'ont pas été collectées directement auprès de moi."
    • Bien qu'il ne soit pas nécessaire de justifier votre demande, le fait de préciser les données qui vous intéressent (par exemple, "toutes mes données personnelles", "mes dossiers d'emploi de 2020 à 2023" ou "l'historique de mes transactions") peut aider l'organisation à traiter votre demande de manière plus efficace.
  3. Soumettre la demande :
    • Méthode : Vous pouvez généralement envoyer votre DSAR par courrier électronique, par courrier postal ou parfois par l'intermédiaire d'un portail dédié à la protection de la vie privée sur le site web de l'entreprise. Consultez la politique de confidentialité de l'organisation pour connaître la méthode qu'elle préfère.
    • Preuve : Conservez une copie de votre demande et de la preuve de son dépôt (par exemple, confirmation de l'envoi d'un courrier électronique, récépissé postal).
    • Demandes informelles : La plupart des autorités de contrôle de la protection des données acceptent les demandes informelles (par exemple, un simple courriel ou une lettre). Vous n'êtes pas tenu d'utiliser un formulaire spécifique, sauf si l'organisation en fournit un et insiste pour qu'il soit utilisé.
  4. Fournir une preuve d'identité (si demandée) :
    • Les organisations ont le droit de vérifier votre identité afin de vous protéger contre les demandes frauduleuses et d'empêcher la divulgation non autorisée de vos données à caractère personnel.
    • Ils ne doivent demander que les informations nécessaires pour confirmer votre identité. Il peut s'agir d'une copie d'une facture de services publics, d'une pièce d'identité expurgée ou de réponses à des questions de sécurité.
    • Soyez prudent lorsque vous fournissez des documents d'identité excessifs ou très sensibles, à moins que cela ne soit absolument nécessaire et sûr.
  5. Attendez la réponse :
    • Les organisations ont généralement un mois civil pour répondre à votre DSAR à compter de la date de réception.
    • Pour les demandes complexes ou nombreuses, ils peuvent prolonger ce délai d'un an. deux mois supplémentaires. Dans ce cas, il doit vous en informer dans le délai initial d'un mois et vous expliquer pourquoi la prolongation est nécessaire.
    • La réponse doit vous fournir gratuitement les données et informations demandées, bien qu'elle puisse exiger une redevance raisonnable pour les demandes manifestement infondées ou excessives, ou pour des copies supplémentaires.
  6. Suivi :
    • Si vous ne recevez pas de réponse dans le délai légal (un mois, ou trois mois si une prolongation a été notifiée), relancez l'entreprise par écrit. Mentionnez votre demande initiale et la date à laquelle elle a été envoyée.

Que se passe-t-il s'ils ne répondent pas ou répondent de manière insatisfaisante ?

Si une organisation ne répond pas à votre DSAR, refuse votre demande sans justification valable ou fournit une réponse incomplète ou insatisfaisante, vous avez le droit de porter votre plainte à un niveau supérieur.

  1. Plainte interne (première étape recommandée) :

    • Avant de vous adresser à une autorité de régulation, envisagez de déposer une plainte officielle directement auprès du délégué à la protection des données (DPD) ou de l'équipe chargée de la protection de la vie privée de l'organisation. Expliquez clairement pourquoi vous n'êtes pas satisfait de leur réponse. Cela permet souvent de résoudre les problèmes plus rapidement.

  2. Déposez une plainte auprès de votre autorité nationale de protection des données (autorité de surveillance) :

    • Si la plainte interne ne résout pas le problème, vous pouvez déposer une plainte officielle auprès de l'autorité de protection des données (APD) du pays où l'organisation est basée, ou du pays où vous résidez (si vous êtes dans l'UE/EEE et que l'organisation traite vos données dans ce pays).
    • Chaque pays de l'UE dispose d'une autorité de contrôle désignée chargée de faire appliquer le GDPR. De même, le Royaume-Uni et la Suisse disposent de leurs propres organismes de protection des données.
    • La plupart des plaintes peuvent être déposées via des formulaires en ligne ou par courrier électronique sur le site officiel de la DPA.

    Considérations importantes :

    • Retards : Sachez que les autorités de contrôle ont souvent un arriéré de plaintes et qu'il faut parfois plusieurs semaines, voire plusieurs mois (par exemple, souvent plus de 16 semaines, parfois plus longtemps) pour recevoir une réponse ou une décision réglementaire.
    • Preuves à l'appui : Fournissez tous les documents pertinents lors du dépôt de votre plainte, y compris votre DSAR original, toute correspondance avec l'organisation et sa réponse (ou l'absence de réponse).

Ressources clés (autorités officielles chargées de la protection des données)

Pour trouver l'autorité de protection des données compétente dans votre région, veuillez consulter les sources officielles suivantes :

  • European Data Protection Board (EDPB) - Liste des membres (pour toutes les autorités de protection des données de l'UE/EEE) :
  • France (CNIL - Commission Nationale de l'Informatique et des Libertés) :
  • Royaume-Uni (ICO - Information Commissioner's Office) :
    • ico.org.uk
    • Remarque : l'ICO opère dans le cadre du GDPR britannique, qui est un cadre distinct mais très similaire à celui du GDPR de l'UE.
  • Suisse (PFPDT - Préposé fédéral à la protection des données et à la transparence) :
    • edoeb.admin.ch
    • Remarque : la Suisse dispose de sa propre loi sur la protection des données (nFADP), qui est alignée sur le GDPR mais en est distincte.

En suivant ces étapes et en comprenant vos droits, vous pouvez prendre le contrôle de vos données personnelles à l'ère numérique.

  • Nous pouvons vous aider à vous mettre en conformité avec le FADP !

Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité

Contactez-nous

Qu'en pensez-vous ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Perspectives connexes

  • Articles connexes
Le rôle central du DPD dans le traitement du DSAR : Guide sur la conformité de l'accès aux données
Un DPD fort est un atout stratégique qui protège votre organisation contre les amendes et renforce la confiance.
Le rôle indispensable d'un représentant de l'UE : Pourquoi les entreprises non européennes ont besoin de ce service pour se conformer au GDPR
Votre entreprise extracommunautaire est-elle engagée sur le marché européen ? Il est essentiel de comprendre le GDPR, et pour
Plaintes GDPR DSAR : Augmentation des arriérés et allongement des délais d'attente
Le défi de la DSAR : comment l'augmentation de la demande crée des retards pour les régulateurs et les demandeurs