Un logiciel de gestion des demandes de droits RGPD (DSAR — data subject access requests) automatise la réception, la vérification d’identité, le suivi des délais et la réponse aux demandes d’accès, d’effacement, de rectification, d’opposition ou de portabilité, avec un journal de preuve opposable en cas de contrôle. Les solutions pertinentes en 2026 : les plateformes de conformité européennes qui intègrent un module de demandes de droits au registre des traitements (Legiscope, Dastra, Data Legal Drive), les suites enterprise (OneTrust, TrustArc) et les spécialistes américains de l’automatisation profonde (Transcend, DataGrail). Pour une PME ou une ETI française, un module DSAR intégré à la plateforme RGPD — entre 2 000 et 10 000 € par an, plateforme comprise — couvre le besoin ; les outils spécialisés ne se justifient que face à des volumes de centaines de demandes par mois.
Voici pourquoi ce chantier est devenu prioritaire, ce qu’un bon outil doit faire, et comment choisir.
Pourquoi outiller la gestion des demandes de droits
Le délai est court et juridiquement dur. L’article 12 du RGPD (texte officiel) impose de répondre « dans les meilleurs délais et en tout état de cause dans un délai d’un mois », prolongeable de deux mois pour les demandes complexes — à condition d’en informer la personne dans le premier mois. Un délai manqué est une violation en soi, sans qu’il soit besoin de démontrer un préjudice.
C’est le premier motif de plaintes. Le droit d’accès et l’effacement représentent année après année la majorité des plaintes reçues par la CNIL (plus de 16 000 plaintes par an ces dernières années). Le droit d’accès a fait l’objet de l’action coordonnée européenne des autorités (CEF 2024 de l’EDPB), et la CNIL sanctionne régulièrement des entreprises ordinaires pour des demandes ignorées ou incomplètes — voir notre bilan des sanctions CNIL. Une demande de droit mal traitée est le chemin le plus court entre un client mécontent et un contrôle.
Le traitement manuel ne passe pas à l’échelle. Une demande d’accès sérieuse suppose de vérifier l’identité, d’interroger tous les systèmes contenant des données de la personne (CRM, RH, support, logs, sous-traitants), de constituer la réponse, de la purger des données de tiers, et de tracer chaque étape. Comptez 2 à 8 heures par demande en manuel. À dix demandes par mois, c’est déjà une fraction significative d’un temps plein — et aucune preuve organisée si la CNIL demande votre historique.
Ce qu’un bon logiciel DSAR doit faire
| Fonction | Pourquoi c’est indispensable | Exigence minimale |
|---|---|---|
| Point d’entrée unique | Les demandes arrivent par tous les canaux | Formulaire web + saisie manuelle (email, courrier) |
| Vérification d’identité proportionnée | Ni laxisme ni sur-collecte (la CNIL sanctionne les deux) | Niveaux de vérification configurables |
| Qualification de la demande | Accès, effacement, opposition… des workflows différents | Typologie des droits art. 15-22 |
| Suivi automatisé des délais | Le délai d’un mois court dès la réception | Compteurs, relances, alertes avant échéance |
| Orchestration interne | Les données sont chez le métier et les sous-traitants | Tâches assignables, rappels, périmètre par système |
| Lien avec le registre | Savoir où chercher = registre à jour | Adossement au registre des traitements |
| Réponses et modèles | Qualité et constance des réponses | Modèles de courriers conformes, en français |
| Journal de preuve | Démontrer la conformité (accountability) | Horodatage complet, export pour contrôle |
Deux fonctions différencient le haut du marché : la découverte automatique des données (connecteurs qui interrogent directement vos systèmes — le cœur de métier de Transcend et DataGrail) et le portail de suivi offert à la personne concernée. La première n’a de sens qu’à fort volume ; la seconde réduit nettement les relances et les plaintes.
Le marché en 2026, honnêtement
Legiscope — plateforme européenne d’automatisation de la conformité conçue par des juristes ; le suivi des demandes de droits s’adosse au registre et à la documentation, avec des livrables de niveau juridique. Adapté aux PME/ETI qui veulent un dispositif complet et opposable, pas seulement un ticket de support.
Dastra — pure-player français, module de demandes de droits soigné (formulaire, délais, tâches) dès l’entrée de gamme (~79 €/mois). Très bon point de départ ; profondeur d’automatisation limitée à fort volume.
Data Legal Drive — éditeur français orienté directions juridiques, module DSAR fonctionnel, sur devis.
OneTrust — le module DSAR le plus complet du marché enterprise (portail, connecteurs, redaction), au prix et à la lourdeur d’OneTrust : comptez des dizaines de milliers d’euros par an et un vrai projet d’intégration.
TrustArc — équivalent enterprise américain, solide sur l’évaluation, moins localisé pour la France.
Transcend / DataGrail — spécialistes américains de l’automatisation profonde : connecteurs natifs vers des dizaines de SaaS, effacement propagé automatiquement. Impressionnant au-delà de plusieurs centaines de demandes par mois (B2C massif) ; tarification et centre de gravité très américains (CCPA d’abord).
Didomi / Axeptio — gestion du consentement et des préférences ; utiles en amont (moins de données collectées = moins de demandes), mais ce ne sont pas des outils DSAR.
Pour situer le module DSAR dans l’évaluation d’ensemble d’une plateforme, voir notre guide choisir son logiciel RGPD.
Combien ça coûte
- Module intégré à une plateforme RGPD (PME/ETI) : inclus dans un abonnement de 2 000 à 10 000 €/an — le meilleur rapport coût/couverture pour des volumes jusqu’à quelques dizaines de demandes par mois. Détail des fourchettes dans notre analyse du coût des logiciels de conformité RGPD.
- Suite enterprise (OneTrust, TrustArc) : le DSAR est un module parmi d’autres dans des contrats de 30 000 à 100 000 €+/an.
- Spécialistes (Transcend, DataGrail) : sur devis, typiquement plusieurs dizaines de milliers d’euros par an, justifiables uniquement à fort volume B2C.
Le calcul de rentabilité est simple : à 2-8 heures par demande manuelle et 50 € de coût chargé, dix demandes par mois représentent 12 000 à 48 000 € par an de travail. Un module qui divise ce temps par trois s’amortit en quelques mois — avant même de compter le risque de sanction pour délai manqué.
Les pièges classiques
- Traiter les DSAR dans l’outil de ticketing. Un helpdesk n’a ni vérification d’identité, ni délais légaux, ni journal de preuve structuré ; et il éparpille des données sensibles dans un système non prévu pour.
- Sur-vérifier l’identité. Exiger systématiquement une pièce d’identité pour toute demande est une faute : la vérification doit être proportionnée aux doutes et aux enjeux — la CNIL l’a rappelé à plusieurs reprises dans ses référentiels sur le droit d’accès.
- Oublier les sous-traitants. L’effacement doit être répercuté chez vos sous-traitants ; sans workflow, cela n’arrive jamais.
- Répondre sans purger les tiers. Une réponse d’accès qui divulgue les données d’autres personnes crée une violation en répondant à une demande.
- Négliger la portabilité : rare, mais exigeante techniquement (format structuré, couramment utilisé, lisible par machine) — vérifiez que l’outil sait produire l’export.
FAQ
Quel est le coût d’un logiciel de gestion des demandes de droits RGPD ?
Pour une PME ou une ETI, le module DSAR est généralement inclus dans une plateforme de conformité européenne facturée 2 000 à 10 000 € par an. Les suites enterprise (OneTrust) le proposent dans des contrats à partir d’environ 30 000 €/an, et les spécialistes de l’automatisation profonde (Transcend, DataGrail) se chiffrent en dizaines de milliers d’euros par an, pertinents seulement à fort volume B2C.
Quel est le délai légal pour répondre à une demande de droits ?
Un mois à compter de la réception (article 12(3) RGPD), prolongeable de deux mois pour les demandes complexes ou nombreuses, à condition d’informer la personne de la prolongation et de ses motifs dans le premier mois. Le logiciel doit faire courir le compteur automatiquement dès la réception, quel que soit le canal d’entrée.
Faut-il un formulaire dédié sur le site web ?
C’est fortement recommandé : un point d’entrée structuré qualifie la demande, déclenche la vérification d’identité et le compteur de délai. Mais attention : vous ne pouvez pas imposer un canal exclusif — une demande envoyée par email ou courrier reste valable et doit être intégrée au suivi.
Un module DSAR suffit-il sans registre des traitements à jour ?
Non. Pour répondre à une demande d’accès, il faut savoir où sont les données de la personne — c’est précisément ce que documente le registre. Un outil DSAR sans registre adossé fait de jolis accusés de réception et des réponses incomplètes ; les deux modules doivent fonctionner ensemble.
Conclusion
La gestion des demandes de droits est le point de contact le plus direct entre votre conformité RGPD et le public — et le premier générateur de plaintes CNIL. Un bon logiciel DSAR apporte quatre choses non négociables : un point d’entrée unique, un suivi automatisé du délai d’un mois, l’orchestration des recherches en interne et chez les sous-traitants, et un journal de preuve opposable. Pour la grande majorité des entreprises françaises, un module intégré à une plateforme européenne adossée au registre (Legiscope, Dastra, Data Legal Drive) couvre ce besoin pour 2 000 à 10 000 € par an ; réservez OneTrust et les spécialistes américains aux volumes enterprise. Le bon test en démo : suivez une demande d’accès de bout en bout, de la réception à l’export du journal de preuve.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo