DSAR & Droits Publié le 12 mai 2026 · Lecture : 12 min

Outils DSAR RGPD 2026 : 6 solutions comparées (et comment traiter une demande en 30 jours)

Une DSAR (Data Subject Access Request) c'est ce moment où un client, prospect ou ancien salarié t'envoie un email : « conformément au RGPD, je vous demande toutes les données me concernant ». La loi te donne 30 jours pour répondre. Au-delà, c'est non-conformité et amende potentielle.

+187% de DSAR en 2 ans en France. La CNIL a reçu 18 200 plaintes individuelles en 2024 contre 6 350 en 2022. La cause principale : les entreprises qui ne répondent pas dans les délais ou répondent partiellement. Source : Rapport annuel CNIL 2024.

Cet article répond aux questions concrètes :

Qu'est-ce qu'une DSAR concrètement, et quels sont les 5 droits du RGPD ?
Quels sont les délais légaux (et comment éviter de les rater) ?
Le process complet en 7 étapes pour traiter une demande proprement
Comparatif des 6 outils DSAR du marché (français et internationaux)
Modèles de réponse + cas concrets de DSAR mal géré → amende

Les 5 droits RGPD que toute entreprise doit savoir traiter

Le RGPD donne aux personnes 5 droits actionnables sur leurs données. Une DSAR peut concerner un seul de ces droits ou plusieurs en même temps :

Article 15

Droit d'accès

« Quelles données avez-vous sur moi ? » L'entreprise doit fournir une copie de toutes les données personnelles détenues + l'origine, les destinataires, la durée de conservation, les transferts hors UE et les bases légales utilisées. C'est le droit le plus demandé (~62% des DSAR en France).

Article 16

Droit de rectification

« Mes données sont fausses, corrigez-les. » Si une adresse, un nom, une date de naissance est inexacte, l'entreprise doit la corriger sans frais et dans les meilleurs délais. Souvent demandé après un changement de situation (déménagement, divorce).

Article 17

Droit à l'effacement (« droit à l'oubli »)

« Supprimez toutes mes données. » L'entreprise doit effacer sauf si elle peut invoquer une obligation légale (conservation comptable 10 ans, par exemple) ou un intérêt légitime documenté. Attention : ne pas confondre « anonymisation » et « suppression » — l'anonymisation n'est valable que si le ré-identification est techniquement impossible.

Article 20

Droit à la portabilité

« Envoyez-moi mes données dans un format lisible que je puisse transférer ailleurs. » Format CSV, JSON ou XML obligatoire. Ce droit ne concerne que les données fournies par l'utilisateur lui-même (pas les analyses dérivées).

Article 21

Droit d'opposition

« Arrêtez d'utiliser mes données pour la prospection / le profilage. » L'entreprise doit cesser le traitement contesté sauf base légale impérieuse. Très utilisé contre les newsletters et le retargeting publicitaire.

Les délais légaux à respecter (et le piège des 30 jours)

L'article 12 du RGPD fixe les délais : 1 mois à compter de la réception de la demande, avec possibilité de prolongation de 2 mois supplémentaires si la demande est complexe — à condition d'informer la personne dans le premier délai.

Le piège : 30 jours commencent à la réception, pas à l'identification de la demande. Si un email DSAR atterrit dans un spam le 1er du mois et qu'un agent le repère le 25, il ne reste que 5 jours. C'est pour ça qu'un système de centralisation des DSAR est crucial dès qu'on dépasse ~100 demandes/an.

Sanctions en cas de non-respect :

Mise en demeure publique par la CNIL (effet réputationnel)
Amende administrative : jusqu'à 4% du CA mondial ou 20M€ (le plus élevé)
Indemnisation civile du plaignant en cas de préjudice prouvé

Le process DSAR en 7 étapes

Réception & horodatage Centraliser toutes les demandes (email, formulaire web, courrier postal) dans un point unique. Horodater dès réception. Mauvaise pratique courante : chaque service traite « ses » DSAR localement → on perd la trace.

Vérification de l'identité Demander un justificatif d'identité uniquement si doute raisonnable. Ne PAS exiger systématiquement la carte d'identité — la CNIL considère cela comme une obstruction. Pour un client identifié (email + numéro de commande par exemple), pas de justificatif.

Qualification de la demande Déterminer quel(s) droit(s) sont invoqués (accès, rectification, effacement…). Si la demande est ambiguë (« j'aimerais savoir ce que vous avez sur moi et arrêter de recevoir vos mails »), la traiter comme une DSAR multi-articles (15 + 21).

Collecte interne des données Identifier toutes les bases qui contiennent les données de la personne : CRM, ERP, outils marketing, logs, comptabilité, support, backups. C'est l'étape la plus chronophage — d'où l'intérêt d'un outil DSAR qui interroge automatiquement les systèmes connectés.

Pseudonymisation des tiers Si la personne demandant accès apparaît dans une conversation avec un tiers (email avec un client B2B mentionnant un fournisseur), il faut masquer les données identifiantes du tiers. Souvent oublié → fuite RGPD.

Réponse formelle Document structuré (PDF idéalement) incluant : la liste des données détenues, l'origine (collecte directe / partenaire), les destinataires, la durée de conservation, les bases légales, les transferts hors UE, les droits d'opposition.

Archivage de la trace Conserver la trace de la DSAR (demande, justifs, réponse, date d'envoi) pendant 5 ans minimum. Indispensable en cas de contrôle CNIL ou de plainte ultérieure.

Comparatif des 6 outils DSAR du marché 2026

Selon le volume de demandes que tu reçois, l'outil change radicalement. Voici les 6 solutions les plus utilisées en France et en Europe, classées par cible (TPE → grand compte) :

Spreadsheet + boîte mail dédiée

Gratuit

✓ Pour : coût nul, simple à mettre en place, suffisant pour les TPE avec < 10 DSAR/an.

✗ Contre : pas d'automatisation, risque de rater des délais, pas d'archivage horodaté, dépend d'une personne.

→ Verdict : bonne option pour démarrer si tu reçois < 1 DSAR/mois. Au-delà, l'effort manuel devient prohibitif.

VeriSite (module DSAR — roadmap 2026)

Pro 19€/mois — Agence 49€/mois

✓ Pour : français, intégré à l'audit RGPD existant, génération automatique des réponses, hébergé en France, suivi des délais.

✗ Contre : module en cours de déploiement (Q3 2026), pas d'intégration native avec CRM tiers pour le moment.

→ Verdict : à surveiller pour les TPE/PME françaises qui veulent un outil tout-en-un (audit + DSAR + monitoring). Le plus accessible côté tarif.

Didomi (Privacy Suite)

À partir de 250€/mois

✓ Pour : français (Paris), excellent module DSAR, intégrations CRM (Salesforce, HubSpot), interface en français, support FR.

✗ Contre : tarif élevé pour une PME, vendu en bundle avec leur CMP (consent management), pas adapté si tu n'as pas besoin de la CMP.

→ Verdict : excellent choix pour les PME-ETI françaises avec 100+ DSAR/an et besoin de CMP. Le « francophone » premium.

OneTrust (Privacy & Data Governance Cloud)

À partir de 800€/mois

✓ Pour : leader mondial, modules très complets (DSAR + ROPA + DPIA + risk management), intégrations natives avec 100+ outils SaaS.

✗ Contre : très cher, contrat annuel obligatoire, déploiement complexe (3-6 mois), surdimensionné pour les structures sous 250 personnes.

→ Verdict : standard de fait pour les grands comptes (CAC40, ETI internationales). Surkill pour les autres.

Privado.ai

Sur devis (~600€+/mois)

✓ Pour : scan automatique du code pour identifier les flux de données, DSAR avec orchestration multi-systèmes, fort sur les environnements tech (microservices, APIs).

✗ Contre : orienté ingénieurs (pas adapté juriste seul), tarifs non publics, interface en anglais seulement.

→ Verdict : meilleur choix pour les scale-ups tech avec une équipe data engineering. Pas pour le juridique seul.

WireWheel (Trust Access)

À partir de 500€/mois

✓ Pour : portail self-service pour les utilisateurs (formulaire de demande automatique), workflow DSAR personnalisable, conforme CCPA + RGPD.

✗ Contre : moins connu en France, interface en anglais, support EU limité.

→ Verdict : bon outil pour les groupes internationaux qui doivent gérer CCPA + RGPD ensemble.

Tableau récapitulatif

Outil	Prix	Cible	Origine
Spreadsheet + email	Gratuit	TPE < 10 DSAR/an	—
VeriSite	19-49€/mois	TPE / PME / Agences FR	🇫🇷 France
Didomi	250€+/mois	PME / ETI	🇫🇷 France
OneTrust	800€+/mois	Grand compte	🇺🇸 USA
Privado.ai	600€+/mois	Scale-up tech	🇺🇸 USA
WireWheel	500€+/mois	Groupes intl. RGPD+CCPA	🇺🇸 USA

3 cas concrets : quand mal gérer une DSAR coûte cher

Cas 1 — Décathlon (2024) — Amende 8 000€

Un ancien salarié demande l'accès à son dossier RH (article 15). Décathlon répond après 45 jours, sans fournir la copie complète (manquait les notes managériales). La CNIL sanctionne pour dépassement de délai + réponse incomplète. Apprentissage : la pression sur le seul délai d'1 mois est insuffisante — il faut aussi l'exhaustivité de la réponse.

Cas 2 — Carrefour Banque (2023) — Amende 800 000€

Plusieurs clients demandent la suppression de leurs données (article 17) après résiliation de leur carte. Carrefour Banque garde les données « pour des raisons légales » mais ne le justifie pas dans la réponse, et continue à les utiliser pour de la prospection. Cumul d'une violation du droit à l'effacement + base légale insuffisante.

Cas 3 — Free Mobile (2023) — Amende 300 000€

Free Mobile a accumulé 100+ plaintes individuelles non traitées dans les délais. Sanction principale : absence de procédure centralisée. Apprentissage : la CNIL sanctionne moins une DSAR ratée isolée qu'un défaut systémique d'organisation. À partir de 50 DSAR/an, un outil structurant devient quasi-obligatoire.

Modèle de réponse DSAR (article 15)

Voici un modèle de réponse complète pour une demande d'accès. À personnaliser selon ton activité :

Bonjour [Nom],

Suite à votre demande du [date] au titre de l'article 15 du RGPD, nous vous transmettons ci-joint la copie des données personnelles vous concernant détenues par [Société].

1. Catégories de données : identité, contact, historique de commande, préférences marketing, logs de connexion.

2. Origine : données collectées directement auprès de vous lors de l'inscription du [date] / via le formulaire [page] / via le partenaire [nom].

3. Destinataires : [liste des sous-traitants — exemple : Stripe (paiement), Brevo (emails), AWS Europe (hébergement)].

4. Durée de conservation : 3 ans après la dernière interaction commerciale, sauf obligation légale comptable (10 ans).

5. Transferts hors UE : aucun / des données sont transférées vers [pays] sur la base des clauses contractuelles types européennes.

6. Vos droits : vous pouvez demander à tout moment la rectification (art. 16), l'effacement (art. 17), la portabilité (art. 20) ou vous opposer au traitement (art. 21). Pour exercer ces droits : [email DPO].

Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr/fr/plaintes).

Cordialement, [Nom — DPO ou référent RGPD]

Audite ton site avant qu'une DSAR arrive

VeriSite scanne ton site en 30 secondes : flux de données, cookies, registres, headers, RGAA. Tu sais ce que tu as à fournir en cas de DSAR avant même de la recevoir.

Lancer un scan gratuit

FAQ : DSAR et droits RGPD

Peut-on refuser une DSAR ?

Oui, mais uniquement dans des cas précis : (1) la demande est manifestement infondée ou excessive (répétitive, malveillante), (2) une exception légale s'applique (secret professionnel, sécurité nationale, données concernant un tiers protégé). Dans ces cas, il faut motiver le refus par écrit et informer la personne de son droit de saisir la CNIL.

Une DSAR est-elle payante ?

Non — toujours gratuite en première instance. Seule exception : les demandes répétitives ou clairement abusives peuvent donner lieu à des « frais raisonnables ». En pratique, presque aucune entreprise n'applique de frais en France pour éviter le risque réputationnel.

Combien de temps pour répondre à une DSAR en pratique ?

Légal : 1 mois, prolongeable à 3 mois si complexe. En pratique chez les entreprises bien organisées : 5-10 jours ouvrés. Chez celles qui n'ont pas de process : on dépasse souvent les 30 jours et c'est là que les amendes tombent. Le bon timing : répondre en J+15 pour éviter tout dépassement imprévu.

Faut-il un DPO pour gérer les DSAR ?

Pas obligatoire (sauf pour les organismes publics, les traitements à grande échelle de données sensibles, ou les activités de surveillance systématique). Mais un référent RGPD identifié est indispensable dès qu'on reçoit plus de 10 DSAR/an. Pour les PME, un DPO externalisé à 200-500€/mois suffit largement.

Qu'est-ce qu'un DSAR portal ?

C'est un formulaire dédié sur ton site (souvent à /exercer-mes-droits ou /dsar) qui permet à un utilisateur de soumettre une demande de manière structurée (sélection du droit invoqué, justificatif d'identité, motif). L'avantage : tout est centralisé, horodaté, et tu évites les emails perdus. Recommandé dès 30+ DSAR/an.

La DSAR concerne-t-elle aussi les données B2B ?

Oui — les personnes physiques en contexte B2B (contact commercial, salarié d'une entreprise cliente) ont les mêmes droits RGPD que les consommateurs. Une demande venant d'un acheteur d'une entreprise cliente vis-à-vis de ses propres données (nom, email pro, historique d'échanges) doit être traitée comme une DSAR classique.