Le RGPD confère aux individus 8 droits fondamentaux sur leurs données personnelles. De l'accès à l'effacement en passant par la portabilité, chaque organisation doit être capable de répondre à ces demandes dans un délai d'un mois.
Le RGPD renforce considérablement les droits des individus sur leurs données. Chaque droit est garanti par un article spécifique du règlement et impose des obligations concrètes aux responsables de traitement.
Toute personne a le droit d'obtenir du responsable de traitement la confirmation que des données la concernant sont ou ne sont pas traitées. Si c'est le cas, elle peut obtenir une copie de ces données ainsi que des informations complémentaires : finalités du traitement, catégories de données, destinataires, durée de conservation prévue, existence d'une prise de décision automatisée et garanties en cas de transfert hors UE.
La personne concernée a le droit d'obtenir, dans les meilleurs délais, la rectification des données inexactes la concernant. Elle peut également demander que des données incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. Ce droit est essentiel pour garantir le principe d'exactitude des données (article 5).
La personne peut demander la suppression de ses données lorsque celles-ci ne sont plus nécessaires à la finalité initiale, lorsqu'elle retire son consentement, lorsqu'elle s'oppose au traitement, lorsque les données ont été traitées illicitement ou lorsqu'une obligation légale l'impose. Ce droit n'est pas absolu : il connaît des exceptions légales (voir section dédiée).
La personne a le droit de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON, XML). Elle peut également demander leur transmission directe à un autre responsable de traitement lorsque c'est techniquement possible. Ce droit s'applique uniquement aux données fournies par la personne, sur la base du consentement ou d'un contrat, et traitées de manière automatisée.
La personne peut demander la limitation du traitement de ses données dans quatre cas : contestation de l'exactitude des données (le temps de la vérification), traitement illicite mais la personne préfère la limitation à l'effacement, les données ne sont plus nécessaires mais la personne en a besoin pour la constatation de droits en justice, ou la personne s'est opposée au traitement (le temps de vérifier si les motifs légitimes prévalent).
La personne a le droit de s'opposer à tout moment à un traitement fondé sur l'intérêt légitime ou l'intérêt public, y compris le profilage. Le responsable doit cesser le traitement sauf s'il démontre des motifs légitimes impérieux. Pour la prospection commerciale, le droit d'opposition est absolu : aucune justification n'est requise et le traitement doit cesser immédiatement.
La personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsque cette décision produit des effets juridiques ou l'affecte significativement. Exemples : refus de crédit automatisé, recrutement par algorithme, tarification personnalisée. Des exceptions existent si la décision est nécessaire à un contrat, autorisée par la loi, ou fondée sur le consentement explicite.
La personne doit être informée de manière claire et compréhensible lors de la collecte de ses données. Les informations obligatoires incluent : l'identité du responsable, les finalités, la base légale, les destinataires, la durée de conservation, les droits de la personne, le droit de réclamation auprès de la CNIL, et l'existence de transferts hors UE. Cette information doit être fournie au moment de la collecte (article 13) ou dans un délai raisonnable si les données ne sont pas collectées directement (article 14).
Le RGPD impose des règles précises pour le traitement des demandes d'exercice de droits. Les voici en détail.
Délai de réponse : 1 mois — Le responsable de traitement doit répondre à toute demande dans un délai d'un mois à compter de la réception de la demande. Ce délai court dès que la demande est reçue, même si elle nécessite des vérifications d'identité. En cas de demande complexe ou de volume élevé de demandes, ce délai peut être prolongé de deux mois supplémentaires, à condition d'en informer la personne dans le délai initial d'un mois, en expliquant les raisons du retard.
Gratuité de principe — La réponse à une demande d'exercice de droits est gratuite. Toutefois, si les demandes sont manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), le responsable de traitement peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs, ou refuser de donner suite à la demande. La charge de la preuve du caractère infondé ou excessif incombe au responsable.
Vérification d'identité — Le responsable peut demander des informations supplémentaires pour confirmer l'identité de la personne qui exerce un droit, mais sans exigence disproportionnée. Une copie de pièce d'identité peut être demandée en cas de doute raisonnable, mais elle ne doit pas être systématiquement exigée. La CNIL recommande d'adapter le niveau de vérification au risque.
Format de la réponse — Lorsque la demande est faite par voie électronique, la réponse doit être fournie sous forme électronique, sauf demande contraire de la personne. Les informations doivent être présentées de manière concise, transparente, compréhensible et aisément accessible.
Les droits des personnes ne sont pas absolus. Le RGPD prévoit des situations où ils peuvent être limités, sous des conditions strictement encadrées.
Le droit à l'effacement cède devant une obligation légale de conservation. Par exemple, les factures doivent être conservées 10 ans (Code de commerce), les bulletins de paie 5 ans (Code du travail), et certaines données fiscales 6 ans. Le responsable ne peut pas supprimer des données qu'il est légalement tenu de conserver.
Les droits peuvent être limités lorsque le traitement est nécessaire à des fins d'intérêt public : santé publique, recherche scientifique ou historique, fins statistiques, ou archivage dans l'intérêt public. Ces limitations doivent être proportionnées et respecter l'essence des droits fondamentaux.
Le droit à l'effacement ne s'applique pas lorsque les données sont nécessaires à la constatation, l'exercice ou la défense de droits en justice. Un employeur peut conserver des données liées à un contentieux prud'homal, même si l'ancien salarié demande leur suppression.
Important : toute limitation doit être motivée et documentée. Le responsable doit informer la personne du refus, de ses motifs et de la possibilité d'introduire une réclamation auprès de la CNIL ou un recours juridictionnel. Consultez notre page Comprendre le RGPD pour une vue d'ensemble du règlement, y compris le principe d'accountability qui impose de documenter ces décisions.
Traiter manuellement les demandes d'exercice de droits est fastidieux et risqué. Un logiciel RGPD comme Dativo centralise et automatise la gestion de ces demandes pour garantir le respect des délais et la traçabilité.
Toutes les demandes de droits sont centralisées dans un tableau de bord unique. Que la demande arrive par email, formulaire ou courrier, elle est enregistrée avec la date de réception, le type de droit exercé et l'identité du demandeur. Plus de risque de passer à côté d'une demande.
Dativo calcule automatiquement la date limite de réponse (30 jours) et vous alerte avant l'échéance. En cas de prolongation (demande complexe), le système gère le délai étendu et trace l'information envoyée au demandeur. Plus aucun dépassement de délai.
Chaque étape du traitement est horodatée et archivée : réception, vérification d'identité, réponse, actions effectuées. En cas de contrôle CNIL, vous disposez de toute la documentation nécessaire pour démontrer votre conformité. Découvrez comment gérer les demandes concrètement.
Vous disposez d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou de nombre élevé de demandes, à condition d'en informer la personne dans le délai initial d'un mois en expliquant les raisons du retard. Le non-respect de ce délai peut entraîner des sanctions.
Non. Le droit à l'effacement (droit à l'oubli) connaît plusieurs exceptions : obligation légale de conservation (factures, données comptables), exercice du droit à la liberté d'expression et d'information, motifs d'intérêt public dans le domaine de la santé publique, fins archivistiques, de recherche scientifique ou statistiques, ou constatation et exercice de droits en justice. Le responsable doit motiver tout refus et informer la personne de ses voies de recours.
En principe, non. La réponse est gratuite. Toutefois, si les demandes sont manifestement infondées ou excessives (en raison de leur caractère répétitif notamment), le responsable de traitement peut exiger le paiement de frais raisonnables ou refuser de donner suite à la demande. La charge de la preuve du caractère excessif lui incombe.
Le responsable peut demander des informations supplémentaires pour confirmer l'identité du demandeur, mais sans exigence disproportionnée. Une copie de pièce d'identité peut être demandée en cas de doute raisonnable, mais elle ne doit pas être systématique. La CNIL recommande d'adapter le niveau de vérification au contexte : si la personne est déjà identifiée (connectée à son compte), aucune pièce supplémentaire n'est nécessaire.
Le droit à la portabilité (article 20) permet à une personne de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON, XML). Elle peut aussi demander leur transmission directe à un autre responsable de traitement. Ce droit ne s'applique qu'aux données fournies par la personne, sur la base du consentement ou d'un contrat, et traitées de manière automatisée. Consultez nos obligations RGPD pour comprendre comment intégrer la portabilité dans vos processus.
Avec Dativo, centralisez les demandes de droits, respectez les délais légaux et documentez chaque action. Votre conformité devient démontrable en un clic.
Essayer Dativo gratuitement