Données personnelles

Modèle de procédure d'exercice des droits RGPD 2026 : délais, workflow + templates de réponse

Modèle de procédure de gestion des droits RGPD : délai d'un mois (art. 12), workflow complet, vérification d'identité et templates de réponse prêts à l'emploi.

Toute organisation reçoit un jour une demande d’exercice de droits : accès, effacement, opposition, rectification. Le RGPD impose d’y répondre dans un délai d’un mois (article 12(3)), prolongeable de deux mois pour les demandes complexes ou nombreuses — à condition d’informer la personne de la prolongation dans le premier mois. Sans procédure écrite, les demandes se perdent entre le support client et le service juridique, les délais explosent, et la plainte CNIL suit : le droit d’accès reste, année après année, le premier motif de plaintes reçues par la CNIL (plus de 16 000 plaintes annuelles, dont une large part sur les droits).

Voici une procédure complète prête à adopter, avec les templates de réponse pour chaque situation. Pour le détail du cadre, voir notre guide de la procédure d’exercice des droits et celui de l’article 12 RGPD.

Les droits à couvrir et leurs textes

Modèle de procédure de gestion des demandes

PROCÉDURE D’EXERCICE DES DROITS DES PERSONNES — [Société] Version [1.0] — Pilote : [DPO / référent RGPD]

1. Points d’entrée. Les demandes peuvent arriver par tout canal : email ([dpo@societe.fr]), formulaire web, courrier, oral (magasin, téléphone), réseaux sociaux. Tout collaborateur qui reçoit une demande la transfère sous 48 h à [dpo@societe.fr]. Une demande ne peut être rejetée au motif qu’elle n’utilise pas le « bon » canal.

2. Enregistrement (J0). Chaque demande est inscrite au journal des demandes : date de réception, identité du demandeur, droit(s) invoqué(s), canal, échéance (J+30). L’accusé de réception est envoyé sous [5] jours ouvrés (template A).

3. Vérification d’identité (si doute raisonnable, article 12(6)).

  • Demandeur identifiable via le canal utilisé (email du compte client, espace connecté) → aucune pièce supplémentaire.
  • Doute raisonnable → demander uniquement les informations nécessaires (ex. : confirmation d’informations de compte). La copie de pièce d’identité est un dernier recours, réservé aux cas sensibles ; elle est supprimée après vérification.
  • Demande d’un tiers (avocat, proche, héritier) → exiger le mandat ou le justificatif de qualité. Le délai d’un mois est suspendu dans l’attente des éléments d’identification.

4. Qualification (J0 → J+7). Le [DPO] identifie : le(s) droit(s) exercé(s) (une demande peut en combiner plusieurs), les traitements concernés (via le registre), les systèmes à interroger, les exceptions applicables (obligations légales de conservation, droits des tiers, demandes manifestement infondées ou excessives — article 12(5)).

5. Collecte et exécution (J+7 → J+21). Les référents métiers ([CRM, RH, support, IT]) extraient ou traitent les données sous [10] jours ouvrés. Pour l’accès : copie des données + informations de l’article 15(1) (finalités, catégories, destinataires, durées, droits, source, transferts). Pour l’effacement : suppression ou anonymisation dans tous les systèmes, y compris sauvegardes selon la politique documentée, et information des destinataires (article 19).

6. Réponse (avant J+30). Réponse par écrit, en termes clairs, gratuite, via un canal sécurisé. Prolongation possible de 2 mois pour demandes complexes : information motivée avant J+30 (template C). Refus : motivé, avec mention du droit de saisir la CNIL et d’exercer un recours juridictionnel (template D).

7. Traçabilité. Le journal conserve la demande, la réponse et les justificatifs pendant [5 ans] (prescription de l’action de la CNIL). Un bilan trimestriel (volume, délais, motifs de refus) est présenté à la direction.

Templates de réponse

Template A — Accusé de réception Nous accusons réception de votre demande d’exercice du droit [d’accès / d’effacement / …] reçue le [date]. Elle sera traitée dans un délai maximal d’un mois, conformément à l’article 12 du RGPD. [Le cas échéant : afin de traiter votre demande, merci de nous confirmer (…).]

Template B — Réponse à une demande d’accès Vous trouverez ci-joint la copie des données personnelles que nous traitons vous concernant, ainsi que les informations prévues à l’article 15 du RGPD : finalités [—], catégories de données [—], destinataires [—], durées de conservation [—], source des données [—], existence de vos droits de rectification, d’effacement, de limitation et d’opposition. [Transferts hors UE et garanties : —.] Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

Template C — Prolongation Votre demande nécessite [des recherches dans des systèmes archivés / le traitement d’un volume important de données]. Conformément à l’article 12(3) du RGPD, le délai de réponse est prolongé de deux mois, soit jusqu’au [date]. Motif : [précision].

Template D — Refus motivé Nous ne pouvons donner suite à votre demande d’effacement pour le motif suivant : conservation nécessaire au respect d’une obligation légale (article 17(3)(b) RGPD) — en l’occurrence [ex. : conservation des factures pendant 10 ans, article L123-22 du code de commerce]. Les données seront supprimées à l’expiration de ce délai. Vous disposez du droit d’introduire une réclamation auprès de la CNIL et d’exercer un recours juridictionnel.

Comment adapter cette procédure

Cartographiez les systèmes avant la première demande. L’étape qui fait dérailler les délais n’est pas juridique mais opérationnelle : savoir sont les données. Appuyez-vous sur votre registre des traitements et votre cartographie des données pour pré-établir la liste des systèmes par catégorie de personnes (clients, salariés, prospects). C’est exactement ce que Legiscope outille : registre à jour et documentation reliée, pour répondre en jours plutôt qu’en semaines.

Calibrez la vérification d’identité. La CNIL sanctionne les deux excès : répondre sans vérifier (violation de données) et exiger systématiquement une pièce d’identité (obstacle au droit). Le guide CNIL sur le droit d’accès et les lignes directrices EDPB 01/2022 sur le droit d’accès fixent la ligne : proportionnalité.

Prévoyez le cas salariés. Les demandes d’accès de salariés en contentieux prud’homal sont en forte hausse : emails professionnels, évaluations, données de badgeage. Les emails dont le salarié est expéditeur ou destinataire sont des données personnelles communicables, sous réserve des droits des tiers — préparez une doctrine interne avec votre direction RH (RGPD et ressources humaines).

Erreurs courantes

  • Le délai court depuis la réception, pas depuis la « prise en charge » : une demande qui dort deux semaines dans la boîte du support a déjà consommé la moitié du délai.
  • Exiger une pièce d’identité par défaut : pratique épinglée par la CNIL ; réservez-la au doute raisonnable.
  • Répondre « nous n’avons rien » sans vérifier tous les systèmes (CRM, archives, sauvegardes, outils marketing) : une réponse incomplète équivaut à un manquement.
  • Ignorer l’article 19 : rectifications et effacements doivent être répercutés aux destinataires des données (prestataires, partenaires).
  • Traiter l’opposition à la prospection comme une demande ordinaire : elle est absolue (article 21(2)) et doit produire effet immédiatement, pas sous un mois.

FAQ

Peut-on facturer une demande d’accès ?

Non : la réponse est gratuite (article 12(5)). Des frais raisonnables ne sont possibles que pour les copies supplémentaires ou les demandes manifestement infondées ou excessives — notions d’interprétation stricte, à documenter si vous les invoquez.

Que faire si la demande est manifestement excessive ?

L’article 12(5) permet de refuser ou de facturer, mais la charge de la preuve du caractère infondé ou excessif pèse sur vous. La répétition seule ne suffit pas : documentez la fréquence, le volume et l’intention. En cas de doute, répondez.

Doit-on répondre à une demande envoyée sur les réseaux sociaux ?

Oui, si vous êtes raisonnablement en mesure d’identifier le demandeur. Vous pouvez rediriger vers un canal plus sûr pour transmettre les données, mais le délai court dès la réception initiale.

Quelles sanctions en cas de non-réponse ?

La violation des articles 12 à 22 relève du plafond maximal : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83(5)(b)). En pratique, la non-réponse déclenche une plainte, puis une mise en demeure — une part significative des sanctions CNIL trouve son origine dans des demandes de droits ignorées.

Conclusion

Une procédure droits efficace tient en sept étapes : point d’entrée unique, enregistrement, vérification proportionnée, qualification, collecte, réponse avant J+30, traçabilité. Les quatre templates couvrent 95 % des situations. Le reste est de la préparation : un registre à jour et une cartographie des systèmes transforment une demande d’accès de crise potentielle en tâche de routine.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →