Pour une gestion efficace des droits RGPD

« Droit d’accès : bilan des contrôles de la CNIL dans le cadre d’une action coordonnée européenne. Dans le cadre de cette action, la CNIL a procédé à des contrôles sur place auprès de 11 organismes publics et privés, de tailles et de secteurs d’activité divers. Ces organismes ont notamment été choisis sur la base de plaintes reçues par la CNIL. Des mesures répressives ont été prononcées contre les organismes qui ne répondaient que partiellement aux personnes concernées. La CNIL poursuit l’instruction des autres contrôles qu’elle a menés : en fonction des cas, elle pourra soit prononcer d’autres mesures correctrices. »

CNIL, 20 janvier 2025


Le RGPD assure aux personnes concernées plusieurs droits, dont celui de demander la communication de leurs données personnelles (mais pas que …) auprès d’un responsable de traitement. Or la mauvaise gestion de ce type de droit est de plus en plus souvent sanctionnée par la CNIL (fin 2024, plus de 270 décisions relatives au droit d'accès ont été prises en Europe).
D’apparence simple, la gestion de ces droits est en fait truffée d’embûches et donne lieu à de nombreuses questions, telles que :

  • Est-ce au DPO de recevoir et de traiter les demandes ?

  • Faut-il recommander aux personnes concernées un canal particulier pour exercer leur droit d’accès ?

  • Comment s'assurer de l'identité du demandeur ?

  • Le fait de demander une précision au demandeur retarde-t-il le temps laissé pour répondre ?

  • Faut-il obligatoirement accuser réception des demandes ?

  • La demande provient d'un ancien salarié, visiblement en litige avec notre organisme : que faire ?

  • Que proposer pour que la gestion du droit d’accès pèse moins lourd en interne ?

  • Comment juger du caractère abusif ou excessif d’une demande ?

  • Nous n’avons trouvé aucune donnée : que faire ?

  • La personne nous demande l’origine des données. Avons-nous cette information ?

  • La personne nous demande la « logique du traitement ». Que lui répondre ?

  • Proposer aux personnes concernées une visualisation directe de leurs données (self-data), est-ce répondre correctement aux exigences du RGPD ?

  • Combien de temps devons-nous conserver les preuves de notre bonne diligence ?

  • En cas d’opposition à continuer à recevoir notre publicité via email, faut-il se constituer une liste « repoussoir » ?

  • Quelles sont les pistes pour alléger la charge interne que représente le traitement de ce type de demandes ?

  • Quelles précautions particulières prendre si le droit d’accès porte sur des vidéogrammes ?

  • Quelles différences par rapport à une demande de communication au titre du CRPA ou une demande de communication d’un dossier médical ?

  • Comment traiter une demande présentée par un mandataire ?

Bruno RASLEL’intervenant s’appuie sur son expérience professionnelle et sur ses travaux (il est le créateur et le pilote de l’Index AFCDP du droit d’accès, publié chaque année à l’occasion de la journée mondiale de la protection des données) pour partager ses conseils opérationnels pour une gestion maîtrisée des droits RGPD des personnes (accès, opposition, suppression, etc.). 

Depuis 2007, il anime également le projet « Gestion du droit d’accès » dans le cadre de son enseignement au sein du Mastère Spécialisé DPO de l’ISEP. Il est également l’auteur de l’étude RGPD : Ils ont inventé la mitrailleuse à demandes de droit d’accès.

L’expert décrit également l’audit pionnier qu’il a fait réaliser sur la façon dont les demandes de droit d’accès sont gérées. Il partage également les pistes qu’il a étudiées pour alléger la charge que représente, pour les organismes sollicités, la gestion des demandes de droits RGPD.

À l’issue d’une session très interactive, les participants repartent forts de toutes les connaissances leur permettant de maîtriser le sujet et mettre en place une procédure efficace de gestion des demandes de droits RGPD.

Cerise sur le gâteau, l’intervenant partage des documents opérationnels qu’il a forgés dans le cadre de sa pratique professionnelle (voir en bas de page Que contient la base documentaire qui me sera communiquée à l'issue de la formation ?).

Je télécharge le programme détaillé

Objectifs généraux de la formation

  • Permettre aux DPO de disposer de tous les éléments pour mettre leur organisme en position de recevoir, de traiter et de répondre aux demandes de droits RGPD de façon conforme ;

  • Fournir aux participants toutes les informations leur permettant de formaliser une procédure de gestion des droits RGPD ;

  • Permettre aux DPO d’être forces de proposition pour alléger la charge que représente le traitement de telles demandes.

En savoir plus ...

La présentation et l'interview du formateur, Bruno RASLE

Plus d'information sur cette formation

Obtenir un devis

Prochaine session

15 mai 2025

Les autres formations par Bruno RASLE


  • Que contient la base documentaire qui me sera fournie à l’issue de la formation ?

    Quiz corrigé et commenté

    Une série de questions concernant les droits RGPD et leur traitement trouvent des réponses détaillées dans ce document. À titre d'exemple, faut-il obligatoirement accuser réception des demandes (et si vous optez pour cette démarche, comment la rédiger et quand l’envoyer ?) ?

    Exemple de procédure de gestion de demandes de droit d’accès RGPD

    Dans son rapport publié à l’issue de son action coordonnée portant sur le droit d’accès, le CEPD s’étonne du faible nombre d’organismes qui se sont dotés d’une procédure qui permet leur traitement de façon efficace et surtout conforme aux exigences du règlement.

    Lettres types de réponse et communications internes

    Ces documents couvrent l’ensemble des situations (accusé de réception, demande d’éléments supplémentaires pour s’assurer de l’identité de la personne, demande de précisions permettant d’affiner les recherches de données,

    Trame d’audit de la façon dont les droits d’accès RGPD sont traités

    Comment s’y prendre pour obtenir une vision fidèle de la conformité et de la « qualité » du traitement que votre organisme réserve aux demandes de droit d’accès RGPD qui lui sont adressées, vous permettant ensuite d’y apporter remèdes et améliorations ?

    Liste d’actions possibles pour améliorer le traitement des demandes d’accès et pour en alléger la charge

    • Quelles mesures embarquer dans le cadre du Privacy by Design pour alléger préventivement la gestion des demandes de droit d’accès ?

    • Quelles mesures prendre pour limiter le nombre de demandes de droits (sans y mettre un frein) ?

    • Quels outils mettre à disposition des personnels chargés de préparer les réponses aux demandes de droit d’accès ?

    • ...

  • La CNIL a-t-elle déjà sanctionné des responsables de traitement pour ne pas avoir correctement traité des demandes de droit d’accès ?

    En sus des sanctions qu'elle a prononcé dans le cadre de sa procédure «classique», la CNIL inflige désormais fréquemment des amendes pour non-respect des droits RGPD dans le cadre de sa procédure simplifiée.

    Il convient de garder en tête que la majorité des contrôles effectués par la CNIL ont pour origine des plaintes qui ont été adressées à l'autorité par des personnes concernées :

    La CNIL est très souvent sollicitée par des personnes qui ne parviennent pas à exercer leurs droits. Elle a notamment reçu plus 2 600 plaintes liées au droit d’accès et plus de 2 500 plaintes liées au droit à l’effacement.

    Source : Rapport annuel CNIL pour 2023

  • Quels constats ont été tirés lors de l’action coordonnée menée en 2024 par le CEPD ?

    L’action coordonnée 2024 a permis au CEPD d’identifier les problématiques suivantes chez un certain nombre de responsables de traitement : Une certaine méconnaissance de l’étendue des données personnelles qui doivent être fournies ; Une fourniture d'informations incomplète ; Une conservation sans limite, excessive ou incohérente concernant tous les documents relatifs à la bonne gestion des demandes de droit d'accès (dont les preuves d'identité) ; Une absence de procédure au sein des responsables de traitement pour gérer les demandes de droit d’accès, couplée à un manque de sensibilisation (voire de formation) des personnels ; Des obstacles ou des freins à l’exercice du droit d’accès ; Une absence d’accusé de réception ; Des interprétations incohérentes et excessives des limites du droit d'accès ; Une interprétation excessive de la possibilité de demander à la personne de « spécifier » la demande d'accès ; Un traitement jugé erroné des demandes répétées présentées par une seule et même personne ; Une interprétation erronée de la notion de « demande excessive ».

  • Qu’est-ce que l’Index AFCDP du droit d’accès ?

    Depuis 2010, sous le pilotage de Bruno Rasle, l’AFCDP (l’association des DPD/DPO et autres professionnels de la protection des données), publie son « Index annuel du Droit d’accès ». Il est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP. Dans le cadre de ce cursus, les participants – souvent des Délégués à la protection des données/Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme. Depuis l’origine, c’est plus de 2.200 responsables de traitement qui ont été « testés » en conditions réelles. Cette approche permet aux étudiants d’aborder le sujet tel que le vivent les personnes concernées.

Merci !


Votre demande nous a bien été envoyée

Merci !


Votre demande nous a bien été envoyée