L’exercice des droits RGPD par les personnes concernées est une obligation opérationnelle que chaque organisation doit structurer. En 2023, la CNIL a reçu 16 433 plaintes, dont la majorité portait sur un défaut de réponse aux demandes d’exercice de droits. Mettre en place une procédure robuste n’est pas optionnel : l’absence de processus formel est en soi un manquement sanctionnable. Ce guide détaille la procédure complète, de la réception de la demande à la réponse motivée.
Points Clés
- L’Art. 12 RGPD impose de répondre aux demandes d’exercice de droits dans un délai d’un mois, prolongeable de deux mois en cas de complexité.
- La vérification d’identité (Art. 12(6) RGPD) doit être proportionnée : pas de pièce d’identité systématique lorsque la personne est déjà authentifiée.
- Le responsable de traitement doit tenir un registre des demandes documentant chaque demande, l’analyse effectuée et la réponse apportée.
- Un refus doit être motivé (Art. 12(4) RGPD) et informer la personne de son droit de saisir la CNIL et d’exercer un recours juridictionnel.
- La CNIL a infligé 1 million d’euros à TOTAL ENERGIES (Délibération n°SAN-2022-011, 23 juin 2022) notamment pour défaut de réponse aux demandes de droits.
Cadre juridique : Art. 12 à 22 RGPD
L’exercice des droits RGPD est encadré par un bloc d’articles cohérent :
Art. 12 RGPD : socle procédural commun à l’ensemble des droits. Il fixe les exigences de transparence, les délais, les conditions de gratuité et les cas de refus. C’est l’article de référence pour organiser la procédure interne.
Art. 13-14 : droit d’information (obligations proactives du responsable).
Art. 15 : droit d’accès (obtenir une copie de ses données).
Art. 16 : droit de rectification (corriger des données inexactes).
Art. 17 : droit à l’effacement (supprimer ses données).
Art. 18 : droit à la limitation du traitement (geler les données).
Art. 19 : obligation de notification aux destinataires en cas de rectification, d’effacement ou de limitation.
Art. 20 : droit à la portabilité (recevoir ses données dans un format structuré).
Art. 21 : droit d’opposition (s’opposer au traitement).
Art. 22 : droit de ne pas faire l’objet d’une décision entièrement automatisée.
Chaque droit a ses conditions d’exercice propres, mais la procédure de traitement suit un schéma commun.
Etape 1 : Réception et enregistrement de la demande
Canal de réception : le responsable de traitement doit mettre en place un ou plusieurs canaux accessibles pour recevoir les demandes. La CNIL recommande a minima une adresse email dédiée (dpo@entreprise.fr ou droits@entreprise.fr) et un formulaire en ligne. Le DPO, lorsqu’il est désigné, est le point de contact par défaut (Art. 38(4) RGPD).
Accusé de réception : bien que le RGPD ne l’impose pas explicitement, la CNIL recommande d’accuser réception de la demande sans délai. Cet accusé de réception fait courir le délai d’un mois et constitue un élément de preuve en cas de contrôle.
Enregistrement : chaque demande doit être consignée dans un registre (spreadsheet, outil de ticketing, module dédié). L’enregistrement doit mentionner : la date de réception, l’identité du demandeur, le droit exercé, le canal utilisé et le statut de la demande.
Qualification de la demande : identifier le droit exercé. Une demande peut être formulée de manière informelle (« je veux savoir ce que vous avez sur moi » = droit d’accès ; « supprimez tout » = droit à l’effacement). Le responsable doit qualifier la demande au regard des Art. 15 à 22 et, en cas de doute, demander des précisions à la personne.
Etape 2 : Vérification d’identité
L’Art. 12(6) RGPD autorise le responsable à vérifier l’identité du demandeur « lorsqu’il a des doutes raisonnables quant à l’identité de la personne physique qui présente la demande ».
Principe de proportionnalité : la vérification doit être adaptée au contexte. La CNIL a établi une gradation :
| Contexte | Niveau de vérification |
|---|---|
| Demande via un compte client authentifié | Aucune vérification supplémentaire requise |
| Demande par email correspondant au compte | Vérification légère (question de sécurité, code SMS) |
| Demande par courrier ou email non associé | Copie d’une pièce d’identité, en masquant les informations non nécessaires |
| Demande portant sur des données sensibles | Vérification renforcée (pièce d’identité + justificatif) |
Attention : exiger systématiquement une pièce d’identité constitue une collecte de données disproportionnée. La CNIL a rappelé que la collecte de la pièce d’identité doit être limitée à la vérification et que le document doit être détruit après vérification.
Délai de vérification : le délai de vérification d’identité ne suspend pas le délai d’un mois. Si la vérification prend du temps, le responsable doit demander les informations complémentaires rapidement et poursuivre le traitement de la demande en parallèle.
Etape 3 : Analyse de la demande et recherche des données
Après vérification de l’identité, le responsable doit analyser la demande au fond :
Identifier les systèmes concernés : consulter le registre des traitements (Art. 30 RGPD) pour identifier tous les systèmes contenant des données de la personne. Inclure les bases actives, les archives, les sauvegardes, les sous-traitants et les partenaires.
Vérifier les conditions d’exercice : chaque droit a ses propres conditions. Par exemple, le droit à la portabilité ne s’applique que pour les traitements fondés sur le consentement ou un contrat (Art. 20(1)). Le droit à l’effacement connaît des exceptions (Art. 17(3)). Le droit d’opposition doit être mis en balance avec les motifs légitimes du responsable (Art. 21(1)).
Documenter l’analyse : pour chaque demande, documenter le raisonnement juridique suivi, les systèmes consultés et la décision prise. Cette documentation est un élément clé en cas de contrôle CNIL.
Etape 4 : Traitement et réponse
Délai : l’Art. 12(3) RGPD impose une réponse dans un délai d’un mois à compter de la réception. Ce délai peut être prolongé de deux mois si les demandes sont complexes ou nombreuses, à condition d’informer la personne de la prolongation et de ses motifs dans le premier mois.
Contenu de la réponse positive : la réponse doit être complète et structurée. Pour un droit d’accès : copie des données, finalités, destinataires, durées, droits. Pour un droit d’effacement : confirmation de la suppression, liste des systèmes purgés, notification aux destinataires (Art. 19). Pour un droit de rectification : confirmation de la correction et notification aux destinataires.
Contenu d’un refus : l’Art. 12(4) RGPD impose de motiver tout refus, en indiquant la base juridique du refus et en informant la personne de son droit de saisir la CNIL (Art. 77 RGPD) et d’exercer un recours juridictionnel (Art. 79 RGPD).
Format : l’Art. 12(1) RGPD exige une réponse « concise, transparente, compréhensible et aisément accessible ». L’Art. 12(3) précise que lorsque la demande est faite par voie électronique, la réponse doit être fournie sous forme électronique, sauf demande contraire.
Gratuité : l’exercice des droits est gratuit (Art. 12(5) RGPD). Des frais raisonnables ne peuvent être facturés que pour les demandes manifestement infondées ou excessives, ou pour les copies supplémentaires en matière d’accès (Art. 15(3)).
Etape 5 : Notification aux destinataires (Art. 19)
L’Art. 19 RGPD impose de notifier toute rectification, effacement ou limitation à chaque destinataire des données, sauf effort impossible ou disproportionné. Cette obligation est souvent négligée mais constitue un manquement distinct.
En pratique, le responsable doit tenir un registre des transmissions de données (à quels tiers, quand, quelles données) pour être en mesure de notifier. Legiscope automatise le suivi des destinataires dans le cadre de la gestion du registre des traitements, ce qui facilite la conformité à l’Art. 19.
Cas de refus légitimes
L’Art. 12(5) RGPD permet de refuser ou de facturer une demande manifestement infondée ou excessive, notamment en raison de son caractère répétitif. La charge de la preuve incombe au responsable.
Autres cas de refus :
| Droit | Motif de refus |
|---|---|
| Accès (Art. 15) | Atteinte aux droits d’autrui (Art. 15(4)) |
| Effacement (Art. 17) | Exception Art. 17(3) : obligation légale, liberté d’expression, intérêt public |
| Portabilité (Art. 20) | Traitement non fondé sur le consentement ou un contrat |
| Opposition (Art. 21) | Motifs légitimes impérieux (Art. 21(1)) |
Sanctions pour défaut de réponse
Le non-respect de la procédure d’exercice des droits expose à des sanctions sévères.
CNIL vs TOTAL ENERGIES (Délibération n°SAN-2022-011, 23 juin 2022) : 1 million d’euros. Le groupe énergétique n’avait pas répondu à des demandes d’effacement et d’opposition dans les délais, et n’avait pas mis en place de procédure formalisée.
CNIL vs Clearview AI (Délibération n°SAN-2022-023, 20 octobre 2022) : 20 millions d’euros. Aucune procédure de réponse aux demandes d’exercice de droits n’avait été mise en place.
CNIL vs FREE MOBILE (Délibération n°SAN-2022-022, 30 novembre 2022) : 300 000 euros pour réponses incomplètes et tardives aux demandes d’accès et d’opposition.
AEPD vs Vodafone España (PS/00059/2021, 2021) : 3,94 millions d’euros pour traitement de données malgré l’exercice de droits d’opposition et de limitation.
Modèle de registre des demandes
Un registre des demandes de droits doit comporter au minimum les champs suivants :
| Champ | Description |
|---|---|
| N° demande | Identifiant unique |
| Date de réception | Date d’enregistrement de la demande |
| Canal | Email, formulaire, courrier, autre |
| Identité demandeur | Nom, prénom, moyen de contact |
| Droit exercé | Accès, rectification, effacement, limitation, portabilité, opposition |
| Vérification identité | Type de vérification, date, résultat |
| Systèmes concernés | Liste des bases de données et sous-traitants consultés |
| Analyse juridique | Conditions remplies, exceptions vérifiées |
| Décision | Acceptation totale, partielle, refus |
| Date de réponse | Date d’envoi de la réponse |
| Notification Art. 19 | Destinataires notifiés, dates |
| Observations | Toute information complémentaire |
Ce registre constitue la preuve de la conformité du processus en cas de contrôle. Legiscope intègre un module de gestion des demandes de droits qui automatise l’enregistrement, le suivi des délais et les notifications.
FAQ
Quel est le délai pour répondre à une demande d’exercice de droits RGPD ?
Le délai est d’un mois à compter de la réception de la demande (Art. 12(3) RGPD). Il peut être prolongé de deux mois supplémentaires en cas de complexité ou de volume élevé de demandes. Le responsable doit informer la personne de la prolongation dans le premier mois, en motivant le retard. L’absence de réponse dans le délai constitue un manquement.
Peut-on exiger une pièce d’identité pour chaque demande ?
Non. L’Art. 12(6) RGPD n’autorise la vérification d’identité que lorsque des doutes raisonnables existent. La CNIL a rappelé qu’exiger systématiquement une pièce d’identité est disproportionné si la personne est déjà authentifiée (compte client, espace personnel). La vérification doit être proportionnée au risque et au contexte.
Que faire en cas de demande mal formulée ?
Le responsable doit aider la personne à préciser sa demande (considérant 63 du RGPD). Si la demande est trop vague pour être traitée (« faites quelque chose avec mes données »), le responsable peut contacter la personne pour clarification. Le délai d’un mois commence à courir dès la réception de la demande initiale, sauf si les clarifications sont nécessaires pour identifier les données concernées.
La procédure d’exercice des droits doit-elle être documentée ?
Oui. Bien que le RGPD ne l’impose pas en termes explicites, l’obligation d’accountability (Art. 5(2) et Art. 24 RGPD) exige que le responsable soit en mesure de démontrer sa conformité. La CNIL attend des organisations qu’elles disposent d’une procédure formalisée, d’un registre des demandes et de modèles de réponse. L’absence de documentation a été retenue comme circonstance aggravante dans plusieurs décisions de sanction.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial