Procédure droits des personnes RGPD : modèle 2026
Procédure interne RGPD 2026 pour traiter les demandes d'accès, rectification, effacement, opposition : réception, identité, délai d'un mois, registre.
L’essentiel. Toute organisation doit pouvoir traiter, dans un délai d’un mois, les demandes d’exercice des droits : accès, rectification, effacement, limitation, opposition, portabilité. Une procédure interne écrite définit qui réceptionne la demande, comment l’identité du demandeur est vérifiée, comment le délai est décompté et comment chaque demande est tracée dans un registre. Ci-dessous, la procédure complète, prête à adopter.
Les demandes d’exercice de droits arrivent rarement au bon endroit. Elles atterrissent dans la boîte du service client, sur le formulaire de contact du site, dans le courrier du standard, parfois directement sur le téléphone d’un commercial. Sans procédure, chacune est traitée — ou pas — au petit bonheur, avec le risque de laisser filer le délai d’un mois ou de répondre de travers.
Dans ma pratique de conseil, l’absence de procédure formalisée de gestion des droits est l’un des angles morts les plus dangereux, parce qu’il est directement visible depuis l’extérieur. Une personne dont la demande d’accès reste sans réponse peut saisir la CNIL en deux clics ; c’est l’une des premières causes de plainte. Une procédure claire ne sert pas qu’à cocher une case d’accountability : elle protège l’organisation en garantissant qu’aucune demande ne passe entre les mailles du filet.
Le cadre légal des droits des personnes
Les droits à couvrir
Les articles 15 à 22 du RGPD ouvrent aux personnes concernées une série de droits que la procédure doit tous prendre en charge :
| Droit | Article | Objet |
|---|---|---|
| Accès | Art. 15 | Obtenir copie de ses données et des informations sur le traitement |
| Rectification | Art. 16 | Corriger des données inexactes |
| Effacement | Art. 17 | Faire supprimer ses données |
| Limitation | Art. 18 | Geler le traitement |
| Portabilité | Art. 20 | Récupérer ses données dans un format réutilisable |
| Opposition | Art. 21 | S’opposer à un traitement |
Le droit d’accès et le droit d’opposition sont, de loin, les plus exercés. La procédure doit les traiter avec un soin particulier.
Le délai : un mois, décompté à réception
L’article 12 du RGPD impose de répondre « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande ». Ce délai peut être prolongé de deux mois pour les demandes complexes ou nombreuses, à condition d’en informer la personne dans le mois initial. La réponse est en principe gratuite.
Modèle de procédure interne de gestion des droits
PROCÉDURE DE GESTION DES DEMANDES D’EXERCICE DES DROITS (articles 12 à 22 du RGPD)
1. Objet La présente procédure définit les modalités de réception, d’instruction et de réponse aux demandes d’exercice des droits adressées par les personnes concernées (clients, prospects, salariés, candidats).
2. Points de réception Toute demande, quel que soit le canal par lequel elle parvient (courrier, e-mail, formulaire, oral, réseaux sociaux), est immédiatement transmise au [DPO / référent protection des données] à l’adresse [contact dédié]. Chaque salarié susceptible de recevoir une demande est formé à la reconnaître et à la faire suivre sans délai.
3. Enregistrement Dès réception, la demande est inscrite au registre des demandes (voir section 8) : date de réception, identité du demandeur, nature du droit, canal, échéance (date de réception + 1 mois).
4. Vérification de l’identité Le référent vérifie l’identité du demandeur par des moyens proportionnés :
- demande directe d’un compte utilisateur authentifié : identité présumée établie ;
- demande par un tiers ou en cas de doute raisonnable : demande d’informations complémentaires permettant de confirmer l’identité, sans exiger de pièce excessive. En cas de doute sérieux non levé, la demande peut être suspendue jusqu’à confirmation ; le délai d’un mois est alors suspendu.
5. Qualification de la demande Le référent identifie précisément le droit exercé, son périmètre et les traitements concernés. Il vérifie l’existence d’éventuelles limites (droits des tiers, secret, obligations légales de conservation) qui peuvent restreindre la réponse sans la refuser en bloc.
6. Instruction et réponse Le référent recueille les données ou effectue l’opération demandée auprès des services concernés, prépare la réponse et la transmet au demandeur dans le délai d’un mois. En cas de complexité, il notifie une prolongation de deux mois avant l’expiration du premier mois. Toute réponse motivée en cas de refus mentionne les voies de recours (réclamation CNIL, recours juridictionnel).
7. Répercussion Si la demande implique une rectification, un effacement ou une limitation, le référent s’assure que l’opération est propagée à tous les traitements et, le cas échéant, communiquée aux destinataires et sous-traitants concernés.
8. Registre des demandes Chaque demande est tracée jusqu’à sa clôture : suite donnée, date de réponse, pièces échangées. Le registre est conservé à des fins de preuve.
9. Violation et sécurité Si l’instruction révèle une violation de données, la procédure de notification des violations est déclenchée.
Procédure adoptée le [date]. Responsable : [DPO / référent]. Version 1.0.
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 02/07/2026.
Les étapes clés, en détail
Étape 1 — La réception
Le point faible de toute organisation, c’est le point d’entrée. Une demande peut arriver n’importe où et sous n’importe quelle forme : le RGPD n’impose aucun formalisme au demandeur. Un e-mail « je veux savoir quelles données vous avez sur moi » est une demande d’accès valable. Formez donc tous les salariés en contact avec le public à reconnaître ces demandes et à les faire remonter au référent. La clause du contrat de travail et la charte peuvent rappeler cette obligation de transmission.
Étape 2 — La vérification d’identité
C’est un équilibre délicat. Vous devez vous assurer que le demandeur est bien la personne concernée — répondre à un imposteur serait une violation de données. Mais vous ne pouvez pas exiger de justificatifs disproportionnés : réclamer systématiquement une copie de pièce d’identité est excessif si l’identité peut être établie autrement (compte authentifié, éléments déjà détenus). Le principe de minimisation s’applique aussi ici.
Étape 3 — Le décompte du délai
Le délai d’un mois court à compter de la réception, pas de la vérification d’identité — sauf si vous suspendez pour lever un doute sérieux. Tenez un compteur par demande. Le tableau ci-dessous récapitule les délais :
| Situation | Délai |
|---|---|
| Demande standard | 1 mois |
| Demande complexe ou nombreuse | 1 mois + 2 mois (avec information) |
| Doute sérieux sur l’identité | Suspension jusqu’à confirmation |
| Demande manifestement infondée ou excessive | Refus motivé possible, ou frais raisonnables |
Étape 4 — Le registre des demandes
Ne le confondez pas avec le registre des activités de traitement, qui recense les traitements. Le registre des demandes trace l’historique du traitement de chaque sollicitation : c’est votre preuve que vous avez répondu, dans les délais, correctement. En cas de contrôle ou de plainte, c’est la première pièce demandée.
| Champ du registre des demandes | Exemple |
|---|---|
| N° de demande | 2026-041 |
| Date de réception | 12/06/2026 |
| Demandeur | M. X (client) |
| Droit exercé | Accès (Art. 15) |
| Échéance | 12/07/2026 |
| Identité vérifiée | Oui — compte authentifié |
| Suite donnée | Copie transmise |
| Date de réponse | 28/06/2026 |
Traitements particuliers selon le droit exercé
Droit d’accès. Fournissez une copie des données et les informations de l’article 15 (finalités, destinataires, durée, origine). Attention aux données de tiers, à ne pas divulguer. Voyez notre guide droit d’accès : comment répondre.
Droit d’opposition. Applicable surtout aux traitements fondés sur l’intérêt légitime et à la prospection. Pour la prospection, l’opposition est inconditionnelle : vous devez cesser immédiatement. Notre article sur le droit d’opposition détaille les cas.
Droit d’effacement. N’est pas absolu : il cède devant une obligation légale de conservation (comptabilité, paie). Reportez-vous au tableau des durées de conservation pour distinguer ce qui doit être supprimé de ce qui doit être conservé.
Droit de rectification et portabilité. Rectifier suppose de propager la correction à tous les traitements et sous-traitants. La portabilité ne concerne que les données fournies par la personne, traitées sur la base du consentement ou du contrat.
Erreurs fréquentes
Laisser filer le délai. Le dépassement du mois est la première cause de plainte aboutie. Un compteur par demande et une alerte à mi-parcours évitent l’oubli.
Exiger une pièce d’identité systématiquement. Disproportionné dans la plupart des cas. Adaptez le niveau de vérification au risque et aux moyens dont vous disposez déjà.
Refuser en bloc au lieu de restreindre. Une demande d’effacement portant sur des données que vous devez légalement conserver ne se refuse pas globalement : vous supprimez ce qui peut l’être et expliquez ce qui doit rester, avec le fondement.
Ne pas tracer. Sans registre des demandes, vous ne pouvez pas prouver que vous avez répondu. En cas de plainte, l’absence de trace se retourne contre vous.
Oublier de répercuter aux sous-traitants. Une rectification ou un effacement doit atteindre tous les sous-traitants qui détiennent les données. La procédure Art. 28 prévoit d’ailleurs leur assistance sur ce point.
Sanctions
Le défaut de réponse à une demande d’exercice de droits, ou la réponse hors délai, sont des manquements régulièrement sanctionnés par la CNIL, d’autant qu’ils sont directement déclenchés par la plainte de la personne. Le responsable de traitement qui ne peut démontrer avoir traité une demande dans le délai d’un mois s’expose à une mise en demeure, voire à une sanction pécuniaire en cas de manquement répété ou systémique. La bonne nouvelle : une procédure écrite et un registre des demandes tenu à jour renversent la charge de la preuve en votre faveur.
Sur un volume élevé de demandes — sites grand public, e-commerce, employeurs importants — l’instruction, le décompte des délais et la traçabilité deviennent un processus à part entière. Des outils comme Legiscope permettent d’orchestrer ce flux, du point d’entrée jusqu’au registre des demandes, en reliant chaque sollicitation aux traitements concernés.
FAQ
Quel est le délai pour répondre à une demande de droit RGPD ?
Un mois à compter de la réception de la demande. Ce délai peut être porté à trois mois pour les demandes complexes ou nombreuses, à condition d’informer la personne de la prolongation et de ses motifs dans le mois initial. Passé le délai sans réponse, la personne peut saisir la CNIL.
Peut-on demander une pièce d’identité pour vérifier le demandeur ?
Seulement en cas de doute raisonnable sur l’identité, et de façon proportionnée. Si l’identité peut être établie autrement — compte authentifié, éléments déjà en votre possession — exiger une copie de pièce d’identité est excessif. Le principe de minimisation s’applique aussi à la vérification.
Une demande de droit d’accès peut-elle être orale ?
Oui. Le RGPD n’impose aucun formalisme au demandeur : une demande orale, par e-mail ou via un formulaire est valable. C’est pourquoi tout salarié en contact avec le public doit savoir la reconnaître et la transmettre au référent. Vous pouvez proposer un formulaire pour faciliter le traitement, sans jamais l’imposer.
Le droit à l’effacement est-il toujours applicable ?
Non. Il cède devant une obligation légale de conservation (données comptables, bulletins de paie), l’exercice du droit à la liberté d’expression, ou la constatation d’un droit en justice. Face à une demande d’effacement, vous supprimez ce qui peut l’être et expliquez, en le motivant, ce que vous devez conserver et sur quel fondement.
Faut-il un registre des demandes distinct du registre des traitements ?
Oui, ce sont deux registres différents. Le registre des activités de traitement (article 30) recense vos traitements. Le registre des demandes trace le traitement de chaque sollicitation d’exercice de droits. Le second est votre preuve d’avoir répondu dans les délais ; c’est la première pièce demandée en cas de plainte.
Qui doit traiter les demandes de droits dans l’entreprise ?
Idéalement un point de contact unique : le DPO s’il existe, ou un référent protection des données désigné. Centraliser évite les réponses divergentes et le dépassement des délais. Les autres salariés ont pour seule mission de reconnaître la demande et de la transmettre sans délai à ce référent, conformément à la procédure.