- Article 15 du RGPD: les particuliers ont le droit d'accéder gratuitement à leurs données personnelles
- Vous disposez de 30 jours civils pour répondre aux demandes complexes, renouvelable de deux mois
- Vous devez rechercher tous les systèmes — CRM, e-mail, fichiers, sauvegardes — pas seulement ceux évidents
- Ne divulguez jamais de données personnelles de tiers dans votre réponse; effacez-la soigneusement
Une demande d'accès aux données (DSAR) est une demande officielle d'une personne de recevoir une copie de toutes les données personnelles que votre organisation détient à leur sujet, ainsi que des informations sur la façon dont elle est traitée. Toute personne dont vous possédez des données peut en soumettre une, y compris les employés actuels et anciens, les clients, les perspectives et les membres du public.
Le droit d'accès prévu à l'article 15 du RGPD est l'un des droits de la personne concernée les plus couramment exercés et l'un des droits les plus exigeants sur le plan opérationnel. Les autorités de surveillance de toute l'Europe reçoivent régulièrement des plaintes concernant des organisations qui ont répondu tardivement, incomplètement ou communiqué des données de tiers sans les modifier.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Ce qu'un DSA doit inclure dans la réponse
Lorsque vous répondez à un RASD, vous devez fournir :
- Confirmation du traitement des données personnelles concernant l'individu
- Une copie des données personnelles elles-mêmes
- Objet du traitement
- Les catégories de données concernées
- Bénéficiaires ou catégories de bénéficiaires auxquels les données ont été communiquées
- La période de conservation ou les critères utilisés pour la déterminer
- Droit de rectification, d'effacement, de restriction et d'objection
- Le droit de porter plainte auprès d'une autorité de contrôle
- Si les données n'ont pas été recueillies auprès de l'individu: informations sur la source
- S'il s'agit d'une prise de décision automatisée: information significative sur la logique en cause
L'horloge de 30 jours
Le délai est de 30 jours civils à compter de la réception de la demande — et non de 30 jours ouvrables. Si la demande est complexe ou si vous recevez un grand nombre de demandes simultanées, vous pouvez prolonger le délai de deux mois supplémentaires, mais vous devez informer la personne dans les 30 premiers jours qu'une prolongation est prise et expliquer pourquoi.
L'horloge commence quand vous recevez la demande, pas quand vous la reconnaissez ou quand vous commencez à la traiter. Une demande faite verbalement, par l'intermédiaire des médias sociaux, ou par un courriel informel tous comptent.
Où rechercher
Une réponse du DSAR doit être complète. Vous ne pouvez pas limiter la recherche à votre CRM principal ou à un compte de messagerie. Tout système qui pourrait contenir des données personnelles sur l'individu doit être recherché:
- CRM et systèmes de gestion des clients
- Comptes de courrier électronique (y compris les boîtes aux lettres partagées et le courrier archivé)
- Serveurs de fichiers et systèmes de gestion de documents
- Systèmes de gestion des ressources humaines et des états de paie (pour les DSAR des employés)
- Systèmes de comptabilité et de facturation
- Systèmes d'enregistrement d'appels
- Vidéosurveillance (si des images identifiables existent)
- Processeurs tiers — vérifiez vos ADP pour les données détenues par les fournisseurs
- Archives de sauvegarde (si les données ne sont pas incluses)
Conseil pratique : Le maintien d'une carte des données (enregistrement des activités de traitement) réduit considérablement le temps de réponse du DSAR. Si vous savez exactement quels systèmes détiennent les catégories de données, vous pouvez faire une recherche systématique plutôt que ponctuelle.
Redaction des données de tiers
L'une des erreurs les plus courantes du DSAR est la divulgation de documents contenant des données personnelles sur d'autres personnes. Un dossier client, par exemple, peut contenir des détails sur les contreparties, les références ou les membres du personnel. Ces tiers n'ont pas présenté la demande et la divulgation de leurs données pourrait en soi constituer une violation du RGPD.
Avant d'envoyer un document, examinez-le pour les données personnelles de tiers et effacez-le de façon appropriée. Lorsque la rédaction est si étendue que le document perd toute signification, vous pouvez déterminer si la fourniture sous forme expurgée sert l'objet du droit d'accès. Documentez vos décisions de révocation.
Lorsque vous pouvez refuser ou limiter un DSAR
Les DSAR peuvent être refusés ou limités dans des circonstances étroites:
- Demandes manifestement infondées ou excessives — demandes particulièrement répétitives clairement destinées à harceler; vous devez pouvoir le démontrer
- Privilège professionnel juridique — les documents d'avis juridiques peuvent être refusés pour des motifs de privilège, le cas échéant
- Prévention et détection de la criminalité — certaines informations concernant la fraude ou les enquêtes pénales peuvent être refusées
- Pourboire à la LMA — renseignements qui révéleraient une demande de recherche et de sauvetage ou une enquête en cours en vertu de la loi sur la LMA
Si vous refusez une demande, vous devez informer l'individu des motifs et de son droit de porter plainte auprès de l'autorité de contrôle et de demander réparation judiciaire.
Pouvons-nous facturer des frais pour les DSAR?
Non, dans la plupart des cas. Les réponses doivent être fournies gratuitement. Une exception s'applique aux demandes manifestement non fondées ou excessives — vous pouvez facturer une taxe raisonnable ou refuser d'agir, mais vous devez être en mesure de justifier la caractérisation.
Que faire si nous ne pouvons pas identifier l'individu?
Si vous ne pouvez pas vérifier l'identité du demandeur avec une certitude raisonnable, vous pouvez demander des renseignements supplémentaires pour les identifier. Vous ne devriez pas demander plus d'informations que nécessaire. Si l'identité reste invérifiable, il se peut que vous ne puissiez pas vous y conformer.
Les employés ont-ils le même droit que les clients?
Oui. Les salariés (et les anciens salariés) ont tous les droits DSAR en vertu du RGPD. Les RAD des employés sont souvent les plus complexes — ils couvrent les systèmes de RH, les courriels, les examens du rendement, les dossiers disciplinaires et plus encore.
Données structurées = réponses plus rapides du DSAR
HubSecure CRM et Vault conservent toutes les données personnelles du client dans un espace de travail régi — donc quand un DSAR arrive, vous savez exactement où chercher.
Réservez une démoExamen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale