DSAR RGPD : Comment Répondre en 30 Jours (Procédure 7 Étapes + Modèles 2026)
En bref : Une DSAR (Data Subject Access Request) doit être traitée en 30 jours maximum. Sanction en cas de retard : jusqu'à 4 % du CA mondial ou 20 M€. Procédure : (1) accuser réception sous 48h, (2) authentifier le demandeur, (3) extraire les données de tous tes systèmes, (4) anonymiser les données tierces, (5) rédiger la réponse structurée (8 mentions obligatoires), (6) envoyer par canal sécurisé, (7) archiver pendant 3 ans. Modèles de réponse pour articles 15, 17 et 20 inclus.
Tu viens de recevoir un email du type : « Conformément au RGPD, je vous demande de me transmettre toutes les données me concernant détenues par votre société ». Pas de panique : ce guide te donne la procédure exacte en 7 étapes pour répondre dans les délais sans rien rater. Avec des modèles de réponse prêts à copier-coller.
Cet article couvre concrètement :
- Les 48 premières heures critiques après réception d'une DSAR
- Les 5 droits RGPD que les demandeurs peuvent invoquer (art. 15 à 21)
- Le compte à rebours 30 jours (et quand prolonger à 3 mois)
- La procédure complète en 7 étapes (avec outils et délais par étape)
- 3 modèles de réponse prêts à utiliser (accès, effacement, portabilité)
- Les 7 erreurs qui font tomber l'amende
- 4 cas pratiques difficiles (ancien salarié, effacement bloqué, demande massive...)
Les 48 premières heures : ce qui se joue
Une DSAR peut arriver par n'importe quel canal : email à contact@ ou aux RH, formulaire site web, courrier postal, message LinkedIn, demande via avocat. La CNIL ne fait pas de distinction : toute demande mentionnant "données personnelles" + un des verbes "accès / suppression / opposition / portabilité / rectification" déclenche le délai légal de 30 jours.
Piège classique : ignorer une demande "informelle" (style « quels infos avez-vous sur moi ? »). La CNIL considère qu'une demande non formulée juridiquement reste valide. Ne pas y répondre = manquement caractérisé.
Action immédiate dès réception :
- Centralise : la demande va dans un registre dédié (tableur, outil, peu importe — mais centralisé)
- Identifie le droit invoqué : voir tableau ci-dessous
- Estime la complexité : si tu as 10 systèmes à interroger, planifie maintenant
- Envoie l'accusé de réception sous 48h (modèle plus bas)
Les 5 droits RGPD que peuvent invoquer les demandeurs
| Droit | Article RGPD | Ce que ça oblige |
|---|---|---|
| Droit d'accès | Art. 15 | Fournir une copie de toutes les données + métadonnées (origines, destinataires, durées) |
| Rectification | Art. 16 | Corriger les données inexactes signalées |
| Effacement (droit à l'oubli) | Art. 17 | Supprimer les données (avec exceptions légales) |
| Limitation | Art. 18 | Geler temporairement le traitement |
| Portabilité | Art. 20 | Fournir les données en format structuré (CSV, JSON) |
| Opposition | Art. 21 | Arrêter le traitement marketing/prospection sans condition |
Une seule demande peut combiner plusieurs droits (« donnez-moi mes données puis supprimez-les » = art. 15 + art. 17).
Le compte à rebours : 30 jours (parfois prolongeable à 3 mois)
L'article 12.3 RGPD impose un délai de réponse d'1 mois à partir de la réception. Prolongeable de 2 mois supplémentaires (jusqu'à 3 mois au total) uniquement si :
- La demande est particulièrement complexe (volume très important)
- Pluralité de demandes simultanées à traiter
- Recherches techniques approfondies nécessaires
Best practice : viser J+15 pour ta réponse, avec une marge pour imprévus (collègue absent, données introuvables, dossier complexe). Si tu vises J+30 pile, tout retard te met automatiquement en infraction.
Justifications qui ne sont PAS valables pour prolonger : sous-effectif, vacances de l'équipe RGPD, fermeture annuelle, congés du dirigeant.
Procédure complète en 7 étapes
1Accuser réception sous 48 h
Pourquoi : ça matérialise la prise en charge, déclenche officiellement le délai, rassure le demandeur, et c'est attendu par la CNIL en cas de contrôle.
Outil : email simple (Outlook, Gmail). Pour traçabilité maximale : email signé + horodaté.
Délai : 48 h max (idéalement le jour même).
Modèle :
Objet : Accusé de réception de votre demande RGPD du [date]
Bonjour [Nom],
Nous accusons réception de votre demande au titre du RGPD du [date], reçue par [canal]. Nous nous engageons à vous fournir une réponse complète au plus tard le [date + 30 jours].
Afin de pouvoir traiter votre demande, nous vous remercions de bien vouloir confirmer votre identité [si nécessaire — voir étape 2]. Nous reviendrons vers vous si nous avons besoin d'éléments complémentaires.
Cordialement, [Nom] — Référent RGPD, [Société]
2Authentifier le demandeur
Risque inverse : répondre à un imposteur = fuite massive de données. Cas Equifax 2017, où des demandes d'accès ont permis l'exfiltration via usurpation d'identité.
Risque opposé : demander trop de justificatifs = "obstacle abusif" (art. 12.2) → sanction CNIL.
Le sweet spot :
- Email vérifié depuis l'adresse connue dans ton CRM → suffisant pour la plupart des cas
- Connexion à son compte utilisateur → bonne preuve
- Copie pièce d'identité → demander uniquement pour dossiers sensibles (santé, finance, RH)
La CNIL recommande de ne PAS demander systématiquement la CNI. Tu dois être capable de justifier pourquoi tu la demandes pour ce dossier précis.
3Identifier toutes les données concernées
Outil : ton ROPA (registre des activités de traitement) liste déjà tous les systèmes qui contiennent des données perso. Si tu ne l'as pas, c'est le moment de le construire.
Points typiques à vérifier pour une PME :
- CRM (HubSpot, Brevo, Mailchimp, Salesforce)
- ERP / comptabilité (Pennylane, Sellsy, QuickBooks)
- Site web (database utilisateurs, panier abandonné)
- Boîte mail (Outlook, Gmail) — recherche par nom et email
- Documents partagés (Drive, Sharepoint, Notion, Dropbox)
- Logs serveur, analytics (Plausible, GA4)
- Backups (souvent oubliés mais à inclure)
- Sous-traitants : Stripe, Slack interne, paiement, livraison...
4Extraire les données depuis chaque système
Pour chaque source identifiée :
- CRM : la plupart ont un bouton "Export RGPD" ou "GDPR Data Export" dans le profil contact
- Sous-traitants : utilise leurs portails (Stripe Dashboard, HubSpot, Mailchimp ont tous une fonction d'export)
- Emails : recherche par adresse + nom dans toute la boîte, exporter la sélection en .mbox ou .pdf
- Documents : recherche par nom dans le système de fichiers
- Backups : compter les copies anciennes (souvent 6-12 mois de rétention)
Compile tout dans un dossier dédié au demandeur.
5Anonymiser les données tierces
Piège majeur : les emails et conversations contiennent souvent des données de tiers (collègues, autres clients mentionnés, fournisseurs). Tu ne peux PAS les divulguer au demandeur — ça créerait une violation pour ces tiers.
Process :
- Caviarder les noms et emails de tiers dans les emails extraits
- Anonymiser les références à d'autres personnes dans les notes CRM
- Outils gratuits : Adobe Acrobat (caviardage), Microsoft Presidio (anonymisation automatique open source)
C'est l'étape la plus chronophage. Compte 30 min pour un dossier client moyen, 2-4 h pour un dossier salarié.
6Rédiger la réponse structurée
L'article 15.1 RGPD impose 8 mentions obligatoires dans la réponse :
- Catégories de données traitées
- Origines (collecte directe / indirecte / sous-traitants)
- Destinataires (sous-traitants nommés)
- Durées de conservation par finalité
- Transferts hors UE (avec base légale)
- Existence d'une prise de décision automatisée (art. 22)
- Droits applicables et procédures pour les exercer
- Droit de saisir la CNIL
Un modèle complet est donné plus bas dans cet article.
7Envoyer + tracer
Canal d'envoi sécurisé :
- Email chiffré avec PJ (ProtonMail ou simple Outlook + ZIP avec mot de passe)
- Pour fichiers volumineux : Tresorit, WeTransfer Pro, ou portail interne
- Recommandé AR pour gros dossiers RH ou contentieux
Archivage : conserver la trace (demande initiale, AR, réponse, accusés de lecture) pendant 3 ans (durée légale de conservation des preuves de conformité RGPD).
Ton site est-il prêt pour recevoir une DSAR ?
Avant de recevoir ta première DSAR, vérifie que ton site a les fondamentaux : politique de confidentialité à jour, contact DPO visible, bandeau cookies conforme, registre des traitements. VeriSite scanne tout en 30 secondes.
Lancer un scan gratuit →3 modèles de réponse prêts à copier-coller
Modèle 1 — Droit d'accès (Article 15)
Objet : Réponse à votre demande d'accès RGPD du [date]
Bonjour [Nom],
Suite à votre demande du [date] au titre de l'article 15 du RGPD, nous vous transmettons en pièces jointes la copie des données personnelles vous concernant détenues par [Société].
1. Catégories de données : identité (nom, prénom, date de naissance), contact (email, téléphone, adresse postale), historique commercial (commandes, factures), préférences marketing (consentements newsletter), logs de connexion (date, IP).
2. Origine des données : collectées directement auprès de vous lors de votre inscription le [date] via [formulaire / canal].
3. Destinataires (sous-traitants) : Stripe (paiement), Brevo (envoi d'emails), AWS Europe (hébergement), [DPO externalisé].
4. Durée de conservation : 3 ans après votre dernière interaction commerciale, sauf obligation légale comptable (10 ans pour les factures).
5. Transferts hors UE : aucun / certaines données transitent vers [pays] sur la base [clauses contractuelles types / décision d'adéquation / DPF].
6. Prise de décision automatisée : aucune / oui pour [usage], avec droit à intervention humaine sur demande.
7. Vos droits : vous pouvez exercer à tout moment les droits de rectification (art. 16), effacement (art. 17), portabilité (art. 20) et opposition (art. 21) en contactant [email DPO].
8. Recours : vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr/fr/plaintes).
Cordialement, [Nom — DPO ou référent RGPD]
Modèle 2 — Droit à l'effacement (Article 17)
Objet : Confirmation de suppression de vos données RGPD
Bonjour [Nom],
Suite à votre demande d'effacement du [date] au titre de l'article 17 du RGPD, nous confirmons la suppression effective de l'intégralité des données personnelles vous concernant dans nos systèmes actifs au [date].
Systèmes nettoyés : CRM, ERP, mailing, logs site, backups (purge complète sous 30 jours selon notre cycle).
Sous-traitants notifiés : [liste des sous-traitants tiers contactés pour répercuter la suppression].
Exceptions de conservation : conformément à l'article 17.3, nous conservons [si applicable] : factures (10 ans, Code de commerce art. L123-22), bulletins de paie (5 ans, Code du travail art. L3243-4). Ces données sont isolées et inaccessibles hors obligation légale.
Recours CNIL : si vous estimez que vos droits ne sont pas pleinement respectés, vous pouvez saisir la CNIL.
Cordialement, [Nom — Référent RGPD]
Modèle 3 — Droit à la portabilité (Article 20)
Objet : Export structuré de vos données (portabilité RGPD)
Bonjour [Nom],
Suite à votre demande de portabilité au titre de l'article 20 du RGPD, vous trouverez ci-joint vos données dans un format structuré, couramment utilisé et lisible par machine.
Format : fichier CSV / JSON / XML (préciser).
Contenu : uniquement les données que vous nous avez fournies directement ou qui ont été générées par votre activité sur nos services. Conformément à l'article 20, sont exclues les données déduites/analysées par nos systèmes.
Transfert direct : si vous souhaitez que ces données soient envoyées directement à un autre fournisseur, indiquez-nous le destinataire et nous procéderons techniquement à ce transfert (sous réserve de faisabilité).
Cordialement, [Nom — Référent RGPD]
Les 7 erreurs qui font tomber l'amende CNIL
1Ignorer la demande en espérant qu'elle disparaisse
L'erreur la plus fréquente. Absence de réponse = manquement caractérisé. Décathlon (2024), 8 000 €.
2Ne pas accuser réception
Le délai court dès la réception, pas dès ton AR. Mais un AR rapide protège contre les contestations sur la date de réception.
3Demander trop de justificatifs d'identité
Demander systématiquement la CNI = obstacle abusif (art. 12.2). À réserver aux dossiers sensibles. Sanction possible : 5 000 à 50 000 €.
4Oublier les sous-traitants
Tu restes responsable du traitement même pour les données chez Stripe, Mailchimp, AWS. Tu dois les inclure ou justifier de leur exclusion.
5Divulguer des données de tiers
Caviarder les noms et emails de tiers dans les conversations transmises. Sinon, double violation : pour le demandeur (incomplet) ET pour les tiers (fuite).
6Dépasser le délai sans prolongation justifiée
Si tu dépasses 30 jours, tu dois avoir notifié la prolongation AVANT échéance. Notification a posteriori = invalide. Carrefour Banque (2023), 800 000 €.
7Répondre par bribes au lieu d'une réponse structurée
Plusieurs emails partiels = mauvaise pratique. La CNIL veut une réponse unique et structurée avec les 8 mentions obligatoires.
4 cas pratiques difficiles
Cas A — Ancien salarié qui demande 10 ans après
Les bulletins de paie doivent être conservés 5 ans (Code du travail), le dossier social 5 ans après le départ. Si la demande dépasse ces durées, tu peux légalement avoir purgé. Réponse : confirmer la purge + fournir les données restantes (s'il y en a en comptabilité 10 ans).
Cas B — Demande d'effacement bloquée par obligations fiscales
Le client demande la suppression. Mais tes factures doivent être conservées 10 ans (Code de commerce L123-22). Réponse : refus partiel motivé. Tu supprimes les données marketing/CRM mais conserves les factures isolées, accessibles uniquement en cas de contrôle fiscal.
Cas C — Demande "massive" d'un militant ou activist
Une personne envoie 50 demandes / mois pour épuiser tes ressources. L'article 12.5 permet de refuser les demandes "manifestement infondées ou excessives". Tu dois prouver le caractère abusif : historique, fréquence, contenu identique, etc. Réponse type : refus motivé + facultativement frais (rare en pratique en France).
Cas D — Données présentes chez un sous-traitant
Le demandeur veut savoir ce que tu as chez Stripe / Mailchimp / Hubspot. Tu restes responsable du traitement. Tu dois soit : (1) extraire toi-même via leurs portails, soit (2) demander au sous-traitant de le faire et inclure dans ta réponse. Tu ne peux PAS renvoyer le demandeur directement vers eux.
FAQ : DSAR en pratique
Une DSAR est-elle payante ?
Non, toujours gratuite en première instance. Seule exception : les demandes manifestement abusives ou répétitives peuvent donner lieu à des "frais raisonnables" (art. 12.5). En pratique, aucune entreprise française ne facture pour éviter le risque réputationnel.
Peut-on refuser une DSAR ?
Oui, mais dans des cas précis : (1) la demande est manifestement infondée ou excessive (répétitive, malveillante), (2) une exception légale s'applique (secret professionnel, sécurité nationale, données concernant un tiers protégé). Le refus doit être motivé par écrit et informer du droit de saisir la CNIL.
Combien de temps en pratique ?
Légal : 30 jours, prolongeable à 3 mois si complexe. En pratique chez les entreprises organisées : 5 à 10 jours ouvrés. Le bon timing : viser J+15 pour avoir de la marge en cas d'imprévu.
Faut-il un DPO pour gérer les DSAR ?
Pas obligatoire (sauf organismes publics, traitements à grande échelle de données sensibles, surveillance systématique). Mais un référent RGPD identifié est indispensable dès 10+ DSAR/an. DPO externalisé : 200-500 €/mois pour une PME.
Comment gérer 50+ DSAR par an ?
Au-delà de 30 DSAR/an, un outil dédié devient quasi-obligatoire. Options : VeriSite, Didomi, OneTrust selon ton volume. Au minimum : un portail DSAR sur /exercer-mes-droits avec un tableau de suivi centralisé.
Et si la personne ne fournit pas son identité ?
Tu peux légitimement demander des éléments si tu as un doute raisonnable (art. 12.6). Sans réponse de sa part, tu peux refuser de traiter. Mais documente tout : la CNIL veut voir que ton doute était objectif, pas un prétexte pour ne pas répondre.
Faut-il répondre aux DSAR de ses propres salariés ?
Oui, sans aucune réserve. Les salariés ont les mêmes droits que les clients. C'est même statistiquement le canal le plus fréquent de plaintes CNIL : ancien employé qui découvre que ses données traînent dans des emails ou logs RH.
Plan d'action pour ta première DSAR
Si tu reçois une DSAR cette semaine, voici ton plan en 5 actions :
- Sous 24 h : envoyer l'AR au demandeur + créer un dossier interne
- Sous 48 h : identifier le droit invoqué + estimer le volume
- Sous 7 jours : extraire les données de chaque source + anonymiser les tiers
- Sous 15 jours : rédiger et envoyer la réponse structurée
- Sous 30 jours : archiver toutes les traces dans un dossier dédié (à conserver 3 ans)
Audite ton site avant la prochaine DSAR
Sans politique de confidentialité à jour, sans registre des traitements, sans contact DPO visible, traiter une DSAR devient un casse-tête. VeriSite scanne tout ça en 30 secondes et te dit exactement ce qui manque. Gratuit, sans inscription.
Lancer un scan gratuit →