Guides & Ressources pratiques
Reprise d'entreprise en difficulté : le guide pratique pour réussir le rachat en 2026
Droit des données personnelles : les 8 droits RGPD à connaitre et gérer en entreprise
Points clés de l'article
- Le droit des données personnelles repose sur le RGPD et la loi Informatique et Libertés, qui confèrent 8 droits distincts aux personnes concernées.
- Chaque droit obéit à des conditions d'exercice, des exceptions et des délais propres que la direction juridique doit maîtriser.
- Le délai de réponse standard est de 1 mois, prolongeable à 3 mois pour les demandes complexes, avec obligation de justification.
- La CNIL a prononcé plus de 100 sanctions depuis 2018, dont plusieurs liées au non-respect des droits des personnes.
- Un processus interne documenté — réception, vérification d'identité, traitement, réponse, archivage — est indispensable pour assurer la conformité et la traçabilité.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Droit des données personnelles : les fondements juridiques (RGPD + Loi Informatique et Libertés)
Droit à l'information et droit d'accès (art. 13-15)
Droit de rectification et droit à l'effacement (art. 16-17)
Droit à la limitation et droit à la portabilité (art. 18 et 20)
Droit d'opposition et décision automatisée (art. 21-22)
Délais et modalités d'exercice des droits
Organiser la réponse aux demandes : processus et traçabilité
FAQ : questions fréquentes sur le droit des données personnelles
Droit des données personnelles : les fondements juridiques (RGPD + Loi Informatique et Libertés)
Le droit des données personnelles en France s'articule autour de deux textes complémentaires. Le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, constitue le socle européen. La loi Informatique et Libertés du 6 janvier 1978, modifiée en dernier lieu par l'ordonnance du 12 décembre 2018, adapte et complète ce cadre au niveau national.
Le RGPD reconnaît aux personnes physiques un ensemble de 8 droits exercés directement auprès du responsable de traitement. Ces droits figurent aux articles 12 à 22 du règlement. En cas de manquement, la CNIL dispose d'un pouvoir de sanction pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Pour la direction juridique, l'enjeu est opérationnel : chaque demande reçue déclenche un délai légal, impose une vérification d'identité et exige une réponse documentée. Le non-respect de ces obligations expose l'entreprise à des sanctions administratives, mais aussi à un risque réputationnel et contentieux croissant. En 2023, la CNIL a enregistré 16 433 plaintes, dont une part significative portait sur le défaut de réponse aux demandes d'exercice des droits.
Droit à l'information et droit d'accès (art. 13-15)
Droit à l'information
Les articles 13 et 14 du RGPD imposent au responsable de traitement de fournir, au moment de la collecte, une liste précise d'informations : identité du responsable, finalités, base juridique, destinataires, durée de conservation, existence des droits. Cette obligation s'applique que les données soient collectées directement auprès de la personne (art. 13) ou indirectement via un tiers (art. 14).
L'information doit être délivrée de façon concise, transparente et compréhensible. En pratique, cela se traduit par des mentions d'information intégrées aux formulaires, contrats de travail, conditions générales ou politiques de confidentialité.
Droit d'accès
L'article 15 permet à toute personne d'obtenir la confirmation que ses données sont traitées, et le cas échéant, d'en recevoir une copie. Le responsable doit également communiquer les finalités, les catégories de données, les destinataires et la durée de conservation prévue.
En pratique, le droit d'accès est le droit le plus fréquemment exercé. La CNIL recommande de fournir les données dans un format électronique courant lorsque la demande est formulée par voie électronique.
Structurer la réponse aux demandes d'accès suppose une cartographie précise des traitements et des flux de données.
Consultez un avocat spécialisé en protection des données
Droit de rectification et droit à l'effacement (art. 16-17)
Droit de rectification
L'article 16 du RGPD donne à la personne concernée le droit d'obtenir la correction de données inexactes ou le complément de données incomplètes. Ce droit est inconditionnel : aucune justification particulière n'est requise, dès lors que l'inexactitude est établie.
Pour la direction juridique, la difficulté réside dans la propagation de la rectification. Lorsque les données ont été transmises à des sous-traitants ou des tiers, l'article 19 impose d'informer chaque destinataire de la rectification, sauf si cela s'avère impossible ou exige des efforts disproportionnés.
Droit à l'effacement
L'article 17, souvent désigné sous le terme de droit à l'oubli, permet d'obtenir la suppression des données dans 6 cas limitatifs : données devenues inutiles, retrait du consentement, opposition fondée, traitement illicite, obligation légale d'effacement, données collectées auprès d'un mineur.
Ce droit n'est toutefois pas absolu. Le RGPD prévoit des exceptions lorsque le traitement est nécessaire à l'exercice de la liberté d'expression, au respect d'une obligation légale, à des motifs d'intérêt public en matière de santé, à des fins archivistiques ou à la constatation de droits en justice.
| Droit | Article RGPD | Condition principale | Exception notable |
|---|---|---|---|
| Rectification | Art. 16 | Données inexactes ou incomplètes | Aucune exception générale |
| Effacement | Art. 17 | 6 cas limitatifs (inutilité, retrait consentement…) | Obligation légale de conservation, liberté d'expression |
Droit à la limitation et droit à la portabilité (art. 18 et 20)
Droit à la limitation du traitement
L'article 18 permet à la personne de demander le gel temporaire de l'utilisation de ses données dans 4 situations : contestation de l'exactitude des données, traitement illicite avec refus d'effacement, données nécessaires à la constatation de droits en justice, ou vérification en cours d'un motif d'opposition.
Concrètement, la limitation signifie que les données restent stockées mais ne peuvent plus être utilisées, sauf consentement de la personne ou pour des motifs juridiques précis. Ce droit fonctionne comme un mécanisme de suspension, utile lorsqu'un litige est en cours.
Droit à la portabilité
L'article 20 confère le droit de recevoir ses données dans un format structuré, couramment utilisé et lisible par machine. La personne peut également demander le transfert direct de ses données vers un autre responsable de traitement, lorsque cela est techniquement possible.
Ce droit ne s'applique qu'aux données fournies par la personne elle-même, et uniquement lorsque le traitement repose sur le consentement ou l'exécution d'un contrat. Les données déduites ou calculées par le responsable de traitement ne sont pas concernées.
| Droit | Article | Périmètre | Condition de base juridique |
|---|---|---|---|
| Limitation | Art. 18 | Toutes données traitées | 4 situations limitatives |
| Portabilité | Art. 20 | Données fournies par la personne | Consentement ou contrat uniquement |
La portabilité des données implique des contraintes techniques que la direction juridique doit anticiper avec la DSI.
Faites appel à un avocat en protection des données
Droit d'opposition et décision automatisée (art. 21-22)
Droit d'opposition
L'article 21 permet à toute personne de s'opposer à un traitement fondé sur l'intérêt légitime ou l'exécution d'une mission d'intérêt public. Le responsable doit alors cesser le traitement, sauf s'il démontre des motifs légitimes et impérieux prévalant sur les intérêts de la personne.
En matière de prospection commerciale, le droit d'opposition est absolu : aucune justification n'est requise et aucune exception n'est opposable. L'entreprise doit cesser immédiatement tout envoi.
Droit relatif aux décisions automatisées
L'article 22 interdit, par principe, les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Sont visés les algorithmes de scoring, les refus automatiques de crédit ou les décisions RH automatisées.
3 exceptions permettent ce type de décision : nécessité contractuelle, autorisation légale, ou consentement explicite. Dans tous les cas, la personne conserve le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.
Délais et modalités d'exercice des droits
Le RGPD fixe un cadre temporel strict. L'article 12 impose au responsable de traitement de répondre dans un délai de 1 mois à compter de la réception de la demande. Ce délai peut être prolongé de 2 mois supplémentaires lorsque la demande est complexe ou que le volume de demandes est élevé. Dans ce cas, l'entreprise doit informer la personne de la prolongation et de ses motifs dans le mois initial.
La réponse est gratuite. Le responsable ne peut facturer des frais raisonnables que si la demande est manifestement infondée ou excessive, notamment en raison de son caractère répétitif. Il peut également refuser d'y donner suite dans les mêmes conditions, à charge de le justifier.
La vérification d'identité est un préalable indispensable. La CNIL recommande de demander une copie d'un titre d'identité uniquement lorsque des doutes raisonnables existent sur l'identité du demandeur. En l'absence de doute, une vérification par recoupement avec les données déjà détenues suffit.
La gestion des délais et la vérification d'identité constituent les deux points de friction les plus fréquents lors de l'instruction des demandes.
Échangez avec un avocat spécialisé en protection des données
Organiser la réponse aux demandes : processus et traçabilité
La conformité au droit des données personnelles ne se limite pas à la connaissance des textes. Elle exige un processus opérationnel structuré, documenté et auditable. Voici les 5 étapes clés :
- Réception et enregistrement : centraliser les demandes via un canal dédié (adresse e-mail, formulaire en ligne, courrier). Chaque demande est horodatée et enregistrée dans un registre.
- Vérification d'identité : s'assurer que le demandeur est bien la personne concernée, selon les recommandations de la CNIL.
- Qualification de la demande : identifier le droit exercé, vérifier les conditions d'application et les éventuelles exceptions.
- Traitement et réponse : collecter les données concernées auprès des services internes, préparer la réponse dans le délai imparti, la formaliser par écrit.
- Archivage : conserver la trace de la demande, de la réponse et des actions réalisées, pendant une durée cohérente avec les délais de prescription (5 ans en droit commun).
La direction juridique joue un rôle de coordination entre le DPO, la DSI et les métiers concernés. Un tableau de suivi partagé permet de piloter les délais et de documenter chaque étape en cas de contrôle de la CNIL.
| Étape | Responsable | Livrable | Délai indicatif |
|---|---|---|---|
| Réception | DPO / Point de contact | Accusé de réception horodaté | J+0 |
| Vérification d'identité | DPO | Validation ou demande complémentaire | J+3 |
| Qualification | Direction juridique | Fiche d'analyse du droit exercé | J+5 |
| Traitement | DSI + Métiers | Extraction / correction / suppression | J+15 |
| Réponse et archivage | DPO / DJ | Courrier de réponse + dossier archivé | J+30 max |
FAQ : questions fréquentes sur le droit des données personnelles
Un salarié peut-il exercer son droit d'accès sur son dossier RH ?
Oui. Le droit d'accès s'applique à toute personne dont les données sont traitées, y compris les salariés. L'employeur doit fournir une copie des données détenues dans le dossier RH, dans le délai de 1 mois. Seules les données couvertes par des exceptions légales (notes internes préparatoires à une décision disciplinaire, par exemple) peuvent être exclues sous conditions.
Que faire si la demande d'effacement porte sur des données soumises à une obligation légale de conservation ?
Le responsable de traitement peut refuser l'effacement lorsque la conservation est imposée par la loi. C'est le cas des bulletins de paie (5 ans), des factures (10 ans) ou des données nécessaires à la défense en justice. Le refus doit être motivé et notifié au demandeur dans le délai de 1 mois.
Le droit à la portabilité concerne-t-il toutes les données détenues par l'entreprise ?
Non. La portabilité ne couvre que les données fournies directement par la personne, dans le cadre d'un traitement fondé sur le consentement ou l'exécution d'un contrat. Les données déduites, calculées ou générées par l'entreprise (scores, analyses, profils) en sont exclues.
Comment gérer un volume élevé de demandes simultanées ?
Le RGPD autorise une prolongation du délai de réponse de 2 mois supplémentaires lorsque le nombre de demandes est élevé. L'entreprise doit informer chaque demandeur de cette prolongation dans le mois suivant la réception. Un registre centralisé et un processus automatisé de tri permettent de prioriser les demandes.
Quelles sont les conséquences d'un défaut de réponse dans le délai légal ?
La personne peut saisir la CNIL, qui dispose d'un pouvoir de mise en demeure puis de sanction. En 2023, plusieurs sanctions ont été prononcées pour défaut de réponse aux demandes d'exercice des droits. Le risque est également contentieux : la personne peut engager une action en réparation devant le tribunal judiciaire sur le fondement de l'article 82 du RGPD.
Pour aller plus loin
Les droits pour maîtriser vos données personnelles - CNIL
Chapitre III - Droits de la personne concernée (articles 12 à 23) - CNIL
Préparer l'exercice des droits des personnes - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
