Aller au contenu principal
HubSecure
Menu

Blog

Le Guide Complet des Droits des Personnes Concernées pour les Petites Entreprises

Quand un client demande à consulter, corriger ou supprimer ses données, vous avez des obligations légales et des délais. Ce guide explique chaque droit des personnes concernées, quand il s'applique, et comment construire un processus qui gère les demandes sans perturber votre activité.

· Par HubSecure Compliance

Un client envoie un email demandant une copie de toutes les données que vous détenez sur lui. Un ancien employé demande la suppression de ses dossiers. Un prospect demande que vous cessiez de lui envoyer des communications marketing. Un candidat à un poste demande à voir les données de profilage utilisées dans la décision.

Ce sont toutes des demandes de personnes concernées. Sous le RGPD, vous avez des obligations légales quand elles arrivent — et un délai d’un mois pour répondre.

Les sept droits

Droit d’accès (Article 15 RGPD)

Ce que c’est : un individu peut demander une copie de toutes les données personnelles que vous détenez sur lui, ainsi que des informations sur la façon dont vous les utilisez.

Ce que vous devez fournir :

  • La confirmation de si vous traitez des données personnelles le concernant
  • Une copie des données (dans un format électronique couramment utilisé si demandé)
  • Les finalités du traitement
  • Les catégories de données
  • Les destinataires
  • La durée de conservation
  • Les informations sur ses autres droits
  • La source des données si elles ne sont pas collectées directement

Délai : un mois. Extensible de deux mois pour les demandes complexes, mais vous devez notifier l’extension dans le premier mois.

Erreurs courantes : réponse incomplète (données manquantes de certains systèmes), inclure des données d’autres personnes sans les masquer, omettre les informations complémentaires requises.

Droit de rectification (Article 16 RGPD)

Ce que c’est : un individu peut demander la correction de données inexactes ou la complétion de données incomplètes.

Ce que vous devez faire : corriger sans délai injustifié, et dans un mois au plus tard. Si vous avez partagé les données inexactes avec des tiers, vous devez les informer de la rectification.

Quand vous pouvez refuser : vous n’avez pas à accepter une « correction » qui rendrait vos registres inexacts — si vous avez des preuves contemporaines que la date est correcte. Documentez votre raisonnement.

Droit à l’effacement (« droit à l’oubli ») (Article 17 RGPD)

Quand il s’applique :

  • Les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées
  • L’individu retire son consentement
  • L’individu s’oppose au traitement et il n’y a pas de motifs légitimes prévalents
  • Les données ont été traitées illicitement

Quand il ne s’applique pas :

  • Vous traitez les données sous une obligation légale (les registres fiscaux doivent être conservés)
  • Le traitement est nécessaire à l’établissement, l’exercice ou la défense de demandes légales

Situation pratique courante : un ex-client demande l’effacement. Vous pouvez supprimer ses données marketing. Vous ne pouvez pas supprimer les factures si vous êtes légalement tenu de conserver des registres financiers pendant sept ans.

Droit à la limitation du traitement (Article 18 RGPD)

Quand il s’applique :

  • Il conteste l’exactitude de ses données — limitez le traitement pendant la vérification
  • Le traitement est illicite mais il préfère la limitation à l’effacement
  • Vous n’avez plus besoin des données mais il en a besoin pour des demandes légales
  • Il s’est opposé au traitement et vous évaluez si vos motifs légitimes prévalent

Ce que la limitation signifie en pratique : vous conservez les données mais cessez de les traiter, sauf pour le stockage.

Droit à la portabilité des données (Article 20 RGPD)

Ce que c’est : un individu peut demander une copie de ses données dans un format structuré, couramment utilisé et lisible par machine.

Quand il s’applique : uniquement quand la base légale est le consentement ou le contrat, et que le traitement est effectué par des moyens automatisés.

Format : le CSV est généralement acceptable.

Droit d’opposition (Article 21 RGPD)

Droit absolu — prospection commerciale : si un individu s’oppose au traitement à des fins de prospection directe, vous devez cesser immédiatement. Il n’y a aucun motif justifiant la continuation.

Droit qualifié — intérêts légitimes : si votre base légale est les intérêts légitimes, vous devez cesser sauf si vous pouvez démontrer des motifs légitimes impérieux qui prévalent.

Droits liés à la prise de décision automatisée (Article 22 RGPD)

Pour les PME : la plupart des PME ne pratiquent pas une prise de décision purement automatisée déclenchant ce droit. Si vous utilisez des outils d’IA dans des décisions concernant des clients, vérifiez si la supervision humaine dans votre processus est significative ou formelle.

Construire le processus

Étape 1 : Créer un canal de demandes désigné

Créez une adresse email dédiée (ex. vie-privee@votreentreprise.fr).

Étape 2 : Construire un registre des demandes

Maintenez un enregistrement de chaque demande : date de réception, type, nom de l’individu, délai, statut et résultat.

Étape 3 : Rédiger des modèles d’accusé de réception

Préparez des réponses types pour chaque type de demande confirmant la réception et le délai.

Étape 4 : Cartographier vos systèmes de données

Pour chaque type de demande, documentez quels systèmes doivent être vérifiés : CRM, email, stockage cloud, logiciel comptable, SIRH, plateforme marketing.

Étape 5 : Assigner la responsabilité

Une personne nommée doit être propriétaire des réponses aux demandes.

Étape 6 : Tester le processus

Avant qu’une vraie demande arrive, faites un test avec le nom d’un membre de l’équipe. Les lacunes révélées dans un test sont bien moins coûteuses que celles révélées dans une investigation de plainte.

Gérer les demandes difficiles

Demandes d’individus non identifiables : vous êtes en droit de demander des informations pour vérifier l’identité. Une demande raisonnable de nom, email et un élément confirmatoire est acceptable.

Demandes révélant des données de tiers : si répondre à une demande d’accès nécessiterait de divulguer des données personnelles d’une autre personne, masquez les informations du tiers avant de répondre.

Demandes manifestement infondées ou excessives : vous pouvez facturer des frais raisonnables ou refuser d’agir. Cette exception est interprétée strictement — documentez soigneusement votre raisonnement.

L’exigence de documentation

Chaque demande traitée, la décision prise et le résultat doivent être documentés. Cette documentation est ce que vous présentez à une autorité de contrôle si une plainte est déposée. Sans elle, l’enquête se déroule sur la version de l’individu des faits, pas la vôtre.