← Voir tous les articles

  • 15 août 2025

Demandes d'accès aux données : Analyse de l'augmentation des demandes d'accès aux données et des principales catégories de demandes

Au-delà des chiffres : Le "pourquoi" de l'augmentation des demandes d'accès aux données par les personnes concernées

Les demandes d'accès des personnes concernées (DSAR), qui donnent aux individus le droit de demander aux organisations des copies de leurs données personnelles, ont connu une forte augmentation ces dernières années. Cette augmentation n'est pas simplement une anomalie statistique ; elle reflète une confluence de facteurs, allant d'une sensibilisation accrue du public à l'évolution du paysage réglementaire et même à de nouvelles influences technologiques. Il est essentiel pour les organisations qui s'efforcent de respecter scrupuleusement les règles de protection des données de comprendre le "pourquoi" de cette augmentation et de savoir quelles catégories de données sont le plus souvent demandées.

Les facteurs contextuels à l'origine de l'augmentation

Plusieurs facteurs clés contribuent à l'augmentation du volume et de la complexité des DSAR et des plaintes qui en découlent :

  1. Sensibilisation et activisme accrus en matière de protection des données :
    • L'héritage du GDPR : L'introduction du règlement général sur la protection des données (RGPD) en 2018 a fondamentalement transformé la confidentialité des données. Elle a non seulement accordé aux individus des droits plus solides, mais a aussi considérablement sensibilisé le public à ces droits par le biais d'une vaste couverture médiatique et de campagnes éducatives. Cet impact mondial a résonné au-delà de l'UE, influençant les lois sur la protection des données dans le monde entier.
    • Notifications de violation de données : La fréquence croissante et les obligations de notification des violations de données signifient que de plus en plus de personnes sont directement informées lorsque leurs données personnelles ont été compromises. Cela les incite souvent à exercer leurs droits en matière de DSAR pour comprendre quelles données étaient concernées et comment elles ont été traitées.
    • Activisme en matière de protection de la vie privée : Les groupes de défense des données et les cabinets d'avocats encouragent activement les individus à exercer leurs droits, en fournissant parfois des modèles ou des conseils pour la soumission de DSAR, ce qui contribue à normaliser ces demandes.
  2. Climat économique et conflits du travail :
    • Licenciements et changements dans la main-d'œuvre : En période d'incertitude économique ou lors de restructurations organisationnelles, telles que des licenciements massifs, les DSAR émanant de salariés et d'anciens salariés ont tendance à augmenter. Les employés utilisent souvent les RMDA dans le cadre de griefs ou de litiges, ou pour recueillir des informations pertinentes en vue d'une éventuelle action en justice. Il s'agit d'une tendance particulièrement répandue en Europe.
    • Les personnes mécontentes : Les clients ou les employés insatisfaits d'un service, d'un produit ou d'une situation sur le lieu de travail peuvent utiliser le RMORCD pour exercer des pressions, recueillir des informations ou simplement exprimer leur mécontentement.
  3. Prolifération des données et numérisation :
    • Écosystèmes de données complexes : Aujourd'hui, les organisations traitent de grandes quantités de données à caractère personnel dans de nombreux systèmes, qu'il s'agisse de bases de données de gestion de la relation client, de serveurs de messagerie, de stockage en nuage, de systèmes de ressources humaines ou de plateformes de médias sociaux utilisées dans le cadre de l'activité professionnelle. La localisation, l'extraction et l'examen de "toutes les données à caractère personnel" dans le cadre d'un rapport d'activité peuvent représenter une tâche immense, souvent manuelle.
    • Données non structurées : Les données non structurées (par exemple, les courriels, les journaux de conversation, les documents internes) constituent un défi de taille, car elles sont souvent volumineuses et difficiles à rechercher efficacement, ce qui accroît la complexité et le risque d'omissions.
  4. Facilitation technologique des demandes :
    • DSAR assistés par l'IA : Les particuliers utilisent de plus en plus des outils d'intelligence artificielle (IA) pour rédiger leurs DSAR. Bien que cela puisse donner lieu à des demandes complètes et bien rédigées, ces demandes générées par l'IA peuvent parfois mal interpréter les nuances juridiques ou être trop larges, ce qui ajoute à la charge des organisations de répondre avec précision et dans le respect des paramètres juridiques.
    • Des plateformes conviviales : Le développement de logiciels et de portails de gestion de la vie privée a facilité la soumission et le suivi des demandes.
  5. Contrôle et application de la réglementation :
    • Augmentation des mesures d'exécution : Les autorités chargées de la protection des données dans l'UE et au Royaume-Uni continuent d'enquêter activement et de sanctionner les organisations qui ne répondent pas aux DSAR de manière adéquate ou dans les délais prévus par la loi. Cet effort de mise en œuvre a un effet dissuasif sur le non-respect des règles et incite les particuliers à déposer des plaintes si leurs demandes sont mal traitées.
    • Coût de la non-conformité : Les amendes importantes (jusqu'à 4% du chiffre d'affaires annuel mondial ou des plafonds monétaires spécifiques dans le cadre du GDPR) pour mauvaise manipulation du DSAR incitent fortement les individus à faire remonter les problèmes aux autorités de contrôle s'ils estiment que leurs droits ont été violés.

Catégories les plus fréquemment demandées dans les plaintes déposées auprès du DSAR

Bien que les points de données spécifiques varient en fonction du contexte de l'organisation (par exemple, les soins de santé, la finance, l'emploi), les DSAR demandent généralement l'accès à "toutes les données à caractère personnel" détenues par une organisation. Toutefois, les plaintes sont souvent motivées par des défaillances liées à :

  1. Exhaustivité des données fournies :
    • Informations manquantes : Les personnes se plaignent fréquemment que les organisations n'ont pas fourni toutes les données à caractère personnel qu'elles détiennent, soupçonnant souvent que certains documents ou points de données (par exemple, des courriels spécifiques, des notes internes, des évaluations de performance) ont été délibérément omis.
    • Des données qui transcendent les silos : En raison de la fragmentation du stockage des données entre les différents services (RH, informatique, marketing, juridique) et les sous-traitants, les organisations ont souvent du mal à consolider toutes les données pertinentes, ce qui conduit à des réponses incomplètes.
  2. Délai de réponse :
    • Délais non respectés : En vertu du GDPR, les organisations disposent généralement d'un mois pour répondre à un DSAR, prolongeable de deux mois pour les demandes complexes ou nombreuses, à condition que la personne concernée en soit informée. Un nombre important de plaintes découle du fait que les organisations ne respectent pas ces délais sans communication ou justification adéquate.
  3. Clarté et intelligibilité des données :
    • Formats inintelligibles : Les réponses au rapport d'activité fournies dans des formats complexes, techniques ou non structurés, difficiles à comprendre pour l'individu moyen, peuvent donner lieu à des plaintes. Le GDPR exige que les données soient fournies sous une forme concise, transparente, intelligible et facilement accessible.
    • Rédaction excessive : Si les organisations ont des raisons légitimes d'expurger des données personnelles de tiers, des informations commerciales confidentielles ou des communications privilégiées, des expurgations excessives ou mal justifiées peuvent donner lieu à des plaintes. Les personnes peuvent avoir l'impression que l'organisation cache intentionnellement des informations.
  4. Questions relatives à la vérification de l'identité :
    • Vérification excessivement lourde : Les organisations qui demandent des preuves d'identité excessives ou disproportionnées peuvent frustrer les personnes concernées et donner lieu à des plaintes, surtout si les données demandées ne sont pas très sensibles.
    • Vérification insuffisante : Inversement, l'absence de vérification adéquate de l'identité du demandeur peut entraîner des violations de données si des données à caractère personnel sont communiquées à la mauvaise personne.
  5. Refus de donner suite à la demande :
    • Refus injustifiés : Les organisations peuvent refuser des demandes manifestement infondées ou excessives, mais elles doivent être en mesure de le démontrer. Une plainte est déposée lorsqu'une personne estime que sa demande était légitime mais qu'elle a été refusée sans justification suffisante.
  6. Types de données spécifiques fréquemment demandés : Bien qu'un rapport d'activité cherche généralement à obtenir toutes les données à caractère personnel, certaines catégories sont fréquemment au centre des plaintes, souvent parce qu'elles sont difficiles à gérer pour les organisations ou parce qu'elles sont très sensibles :
    • Données relatives à l'emploi : Examens des performances, dossiers disciplinaires, communications internes (courriels, messages de chat) liées à l'emploi, informations salariales et dossiers RH.
    • Données sur les interactions avec les clients : Enregistrements d'appels, notes du service clientèle, correspondance par courrier électronique, historique des achats et données d'utilisation du site web ou de l'application.
    • Données financières : Informations bancaires, historique des paiements et scores de crédit.
    • Données personnelles sensibles : les dossiers médicaux (le cas échéant), les données biométriques ou les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale.
    • Données présumées/profilées : Informations dérivées de l'analyse du comportement ou des caractéristiques d'un individu (par exemple, profils marketing, évaluation des risques).

Conclusion

L'augmentation du nombre de plaintes déposées auprès du DSAR souligne un changement fondamental dans la relation entre les individus et les organisations qui traitent leurs données. La sensibilisation accrue du public, combinée à un cadre réglementaire solide et à la complexité des environnements de données modernes, signifie que les organisations doivent investir dans des processus rationalisés, des ressources adéquates et une formation complète du personnel pour gérer efficacement les DSAR. Des mesures proactives, une communication claire et une approche transparente du traitement des données ne sont plus seulement une bonne pratique ; elles sont essentielles pour atténuer les risques juridiques, éviter des amendes substantielles et maintenir la confiance du public dans un monde de plus en plus soucieux de ses données.

  • Nous pouvons vous aider à vous mettre en conformité avec le FADP !

Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité

Contactez-nous

Qu'en pensez-vous ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Perspectives connexes

  • Articles connexes
Le rôle central du DPD dans le traitement du DSAR : Guide sur la conformité de l'accès aux données
Un DPD fort est un atout stratégique qui protège votre organisation contre les amendes et renforce la confiance.
Le rôle indispensable d'un représentant de l'UE : Pourquoi les entreprises non européennes ont besoin de ce service pour se conformer au GDPR
Votre entreprise extracommunautaire est-elle engagée sur le marché européen ? Il est essentiel de comprendre le GDPR, et pour
Comprendre vos droits en matière de données : Qu'est-ce qu'un DSAR, pourquoi c'est important et comment déposer une demande d'accès à des données personnelles (DSAR) ?
Le DSAR est un outil puissant dans le cadre du GDPR qui vous permet de gagner en transparence et en efficacité.