News
Retrouvez-nous au Sommet du Droit en Entreprise le 2 Juillet 2026
S’inscrire en tant qu’avocat
Se connecter
Compliance et éthique
Droit de l'énergie
Environnement & ESG
Technologie et numérique
Propriété intellectuelle
Construction
Blog
Droits RGPD : comment l'entreprise doit répondre aux demandes
Blog
Droits RGPD : comment l'entreprise doit répondre aux demandes

Droits RGPD : comment l'entreprise doit répondre aux demandes

Guides & Ressources pratiques
12 Jun 2026
-
10 min de lecture
min
Copied
Points clés de l'article
  1. Le RGPD confère 8 droits aux personnes concernées : accès, rectification, effacement, opposition, limitation, portabilité, droit de ne pas faire l'objet d'une décision automatisée et droit de retirer son consentement.
  2. Le responsable de traitement doit répondre à toute demande d'exercice de droits dans un délai d'un mois, prolongeable de 2 mois en cas de complexité.
  3. Une procédure interne documentée est indispensable pour tracer les demandes, vérifier l'identité du demandeur et respecter les délais.
  4. En 2024, la CNIL a reçu plus de 16 000 plaintes, dont une part croissante liée au non-respect des droits des personnes.
  5. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Besoin d'un juriste freelance ou d'un avocat ?

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.

Trouver un avocat →En savoir plus →
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Incubateur du Barreau de Paris
Réseau Entreprendre
Prix Innovation Barreau de Paris

Sommaire

Droits RGPD : comment l'entreprise doit répondre aux demandes

Les 8 droits RGPD des personnes concernées

Droit d'accès, de rectification et d'effacement

Droit d'opposition, limitation et portabilité

Obligations de l'entreprise responsable de traitement

Répondre à une demande dans le délai d'un mois

Information des personnes et protection des données personnelles

Sanctions CNIL en cas de non-respect des droits

Mettre en place une procédure interne fiable

FAQ

Pour aller plus loin

Droits RGPD : comment l'entreprise doit répondre aux demandes

Toute entreprise qui collecte des données personnelles doit permettre aux personnes concernées d'exercer leurs droits RGPD. Accès, rectification, effacement, opposition : ces droits sont prévus par le Règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018. En pratique, une demande mal traitée ou ignorée peut déclencher une plainte auprès de la CNIL. En 2024, la Commission a reçu plus de 16 000 plaintes, et le non-respect des droits des personnes figure parmi les motifs les plus fréquents. Ce guide détaille les 8 droits, les obligations du responsable de traitement et les étapes pour mettre en place une procédure interne fiable.

Les 8 droits RGPD des personnes concernées

Le RGPD reconnaît 8 droits distincts aux personnes dont les données sont traitées. Chacun répond à un objectif précis et s'exerce dans des conditions définies par les articles 15 à 22 du règlement.

#DroitArticle RGPDObjectif
1AccèsArt. 15Obtenir confirmation du traitement et copie des données
2RectificationArt. 16Corriger des données inexactes ou incomplètes
3EffacementArt. 17Obtenir la suppression des données (« droit à l'oubli »)
4LimitationArt. 18Geler temporairement le traitement
5PortabilitéArt. 20Récupérer ses données dans un format structuré
6OppositionArt. 21S'opposer à un traitement fondé sur l'intérêt légitime
7Décision automatiséeArt. 22Ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé
8Retrait du consentementArt. 7Retirer à tout moment un consentement donné

Ces droits ne sont pas absolus. Certains s'appliquent uniquement selon la base légale du traitement. Le droit à la portabilité, par exemple, ne concerne que les traitements fondés sur le consentement ou l'exécution d'un contrat.

Droit d'accès, de rectification et d'effacement

Droit d'accès (article 15)

Le droit d'accès permet à toute personne de savoir si ses données sont traitées, d'en obtenir une copie et de connaître les finalités, les destinataires et la durée de conservation. L'entreprise doit fournir ces informations de manière concise et compréhensible. Selon la CNIL, le droit d'accès est le droit le plus exercé par les particuliers en France.

Droit de rectification (article 16)

Lorsqu'une donnée est inexacte ou incomplète, la personne peut exiger sa correction. Par exemple, un salarié dont l'adresse a changé peut demander la mise à jour de son dossier RH. L'entreprise doit également informer les destinataires auxquels les données ont été communiquées.

Droit à l'effacement (article 17)

Le droit à l'effacement, souvent appelé « droit à l'oubli », permet d'obtenir la suppression des données dans 6 cas précis : retrait du consentement, données plus nécessaires, opposition fondée, traitement illicite, obligation légale de suppression, ou données collectées auprès d'un mineur. Toutefois, ce droit ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale ou à la constatation d'un droit en justice.

Structurer la gestion des demandes d'accès, de rectification et d'effacement nécessite une expertise en protection des données adaptée à votre organisation.
Trouver un avocat spécialisé en protection des données

Droit d'opposition, limitation et portabilité

Droit d'opposition (article 21)

Le droit d'opposition permet à une personne de refuser le traitement de ses données lorsqu'il repose sur l'intérêt légitime du responsable de traitement. L'entreprise doit alors cesser le traitement, sauf si elle démontre des « motifs légitimes et impérieux » qui prévalent. En matière de prospection commerciale, l'opposition est un droit absolu : aucune justification n'est exigée du demandeur.

Droit à la limitation (article 18)

La limitation du traitement consiste à geler l'utilisation des données sans les supprimer. Ce droit s'exerce dans 4 situations : contestation de l'exactitude des données, traitement illicite avec refus de l'effacement, données nécessaires à la personne pour un recours en justice, ou vérification en cours après une opposition. En pratique, l'entreprise doit isoler techniquement les données concernées.

Droit à la portabilité (article 20)

La portabilité permet à la personne de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON). Elle peut aussi demander leur transmission directe à un autre responsable de traitement. Ce droit ne concerne que les données fournies activement par la personne, sur la base du consentement ou d'un contrat.

Obligations de l'entreprise responsable de traitement

Le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement. Il porte la responsabilité de répondre aux demandes d'exercice de droits. Ses obligations se déclinent en 4 axes :

  • Faciliter l'exercice des droits : mettre à disposition un canal identifiable (formulaire en ligne, adresse e-mail dédiée, courrier).
  • Vérifier l'identité du demandeur pour éviter toute communication de données à un tiers non autorisé. La CNIL recommande de demander une copie de pièce d'identité uniquement en cas de doute raisonnable.
  • Documenter chaque demande : date de réception, nature du droit exercé, réponse apportée, délai de traitement.
  • Informer les sous-traitants : lorsque les données ont été transmises à un prestataire, le responsable de traitement doit lui notifier toute rectification, effacement ou limitation.

Le non-respect de ces obligations constitue un manquement sanctionnable par la CNIL, indépendamment de tout préjudice subi par la personne.

Identifier les obligations précises de votre entreprise en matière de droits RGPD suppose une analyse de vos traitements et de vos flux de données.
Consulter un avocat en protection des données

Répondre à une demande dans le délai d'un mois

L'article 12 du RGPD fixe un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de 2 mois supplémentaires lorsque la demande est complexe ou que le nombre de demandes est élevé. Dans ce cas, l'entreprise doit informer le demandeur de la prolongation et de ses motifs dans le mois initial.

ÉtapeActionDélai
RéceptionAccuser réception, vérifier l'identitéJ+0
QualificationIdentifier le droit exercé, localiser les donnéesJ+5
TraitementExécuter la demande ou motiver un refusJ+20
RéponseTransmettre la réponse au demandeurJ+30 max
Prolongation (si complexité)Informer le demandeur, poursuivre le traitementJ+30 à J+90

En cas de refus, l'entreprise doit motiver sa décision et informer la personne de son droit de saisir la CNIL ou un tribunal. La gratuité est le principe : aucune facturation n'est autorisée, sauf demandes manifestement infondées ou excessives, pour lesquelles un « frais raisonnable » peut être demandé.

Information des personnes et protection des données personnelles

L'obligation d'information est le socle de la protection des données personnelles. Les articles 13 et 14 du RGPD imposent de communiquer aux personnes, au moment de la collecte, un ensemble d'informations :

  • Identité et coordonnées du responsable de traitement
  • Coordonnées du DPO (délégué à la protection des données), s'il est désigné
  • Finalités et base légale du traitement
  • Destinataires ou catégories de destinataires
  • Durée de conservation ou critères de détermination
  • Existence des droits (accès, rectification, effacement, etc.)
  • Droit d'introduire une réclamation auprès de la CNIL

Cette information doit être rédigée en termes clairs et simples. La CNIL sanctionne régulièrement les politiques de confidentialité trop longues, ambiguës ou difficilement accessibles. En janvier 2022, elle a infligé une amende de 150 millions d'euros à Google et de 60 millions d'euros à Facebook pour des manquements liés à l'information et au consentement sur les cookies.

Rédiger une politique de confidentialité conforme et compréhensible requiert une maîtrise des exigences du RGPD et de la doctrine CNIL.
Faire appel à un avocat en protection des données

Sanctions CNIL en cas de non-respect des droits

La CNIL dispose d'un pouvoir de sanction graduée. Elle peut prononcer un rappel à l'ordre, une mise en demeure, une injonction sous astreinte ou une amende administrative. Les montants maximaux prévus par le RGPD sont de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

En 2023, la CNIL a prononcé 42 sanctions pour un montant cumulé de plus de 89 millions d'euros. Parmi les manquements les plus fréquemment sanctionnés :

  • Absence de réponse aux demandes d'exercice de droits
  • Défaut d'information des personnes
  • Non-respect du droit d'opposition en matière de prospection
  • Absence de procédure interne documentée

La procédure de sanction peut être déclenchée par une plainte individuelle ou par un contrôle d'initiative de la CNIL. Depuis 2022, la CNIL utilise une procédure simplifiée pour les dossiers ne présentant pas de difficulté particulière, ce qui accélère le traitement des plaintes.

Mettre en place une procédure interne fiable

Une procédure interne structurée est la condition pour respecter les délais et tracer les réponses. Elle repose sur 5 éléments :

  1. Point de contact identifié : désigner un interlocuteur (DPO ou référent interne) chargé de centraliser les demandes.
  2. Canal de réception dédié : formulaire web, adresse e-mail spécifique ou courrier. Le canal doit être mentionné dans la politique de confidentialité.
  3. Registre de suivi : chaque demande est enregistrée avec sa date, la nature du droit exercé, les actions réalisées et la date de réponse.
  4. Processus de vérification d'identité : définir les pièces acceptées et les cas de doute raisonnable, conformément aux recommandations de la CNIL.
  5. Coordination avec les sous-traitants : intégrer dans les contrats de sous-traitance (article 28 du RGPD) une clause imposant la coopération pour répondre aux demandes d'exercice de droits.

La formation des équipes est un levier de fiabilité. Les services RH, marketing et relation client sont les premiers destinataires des demandes. Ils doivent savoir identifier une demande d'exercice de droits et la transmettre au référent dans un délai de 48 heures.

Structurer une procédure d'exercice des droits RGPD adaptée à votre organisation permet de réduire le risque de plainte et de sanction.
Être accompagné par un avocat en protection des données

FAQ

Qui peut exercer ses droits RGPD auprès de l'entreprise ?

Toute personne physique dont les données personnelles sont traitées par l'entreprise peut exercer ses droits : clients, salariés, prospects, candidats ou utilisateurs d'un service en ligne. Le droit s'exerce directement auprès du responsable de traitement.

L'entreprise peut-elle refuser une demande d'exercice de droits ?

Oui, dans des cas limités. Le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale (conservation de factures pendant 10 ans, par exemple). Tout refus doit être motivé par écrit et mentionner la possibilité de saisir la CNIL.

Quel est le délai légal pour répondre à une demande RGPD ?

Le responsable de traitement dispose d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de 2 mois en cas de complexité, à condition d'en informer le demandeur dans le mois initial.

Faut-il désigner un DPO pour gérer les demandes d'exercice de droits ?

La désignation d'un DPO (délégué à la protection des données) est obligatoire pour les organismes publics, les entreprises dont l'activité de base implique un suivi régulier et systématique des personnes à grande échelle, ou un traitement à grande échelle de données sensibles. En dehors de ces cas, la désignation reste recommandée.

Comment prouver que l'entreprise a bien répondu à une demande ?

La tenue d'un registre de suivi des demandes constitue la preuve documentaire en cas de contrôle CNIL. Ce registre doit mentionner la date de réception, le droit exercé, les actions réalisées, la date et le contenu de la réponse transmise au demandeur.

Pour aller plus loin

Les droits des personnes sur leurs données - CNIL

Conformité RGPD : comment informer les personnes et assurer la transparence ? - CNIL

Chapitre III - Droits de la personne concernée - CNIL

SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.

Télécharger la ressource


Copied
Ressources

Derniers articles

Découvrir plus de contenu
Écran d'ordinateur affichant des données protégées par le cadre RGPD en environnement professionnel
Guides & Ressources pratiques
Données personnelles : définition et enjeux pour l'entreprise
06 Jun 2026
-
7 min de lecture
min.
Écran affichant des données confidentielles et symbole d'avertissement illustrant une violation de confidentialité
Guides & Ressources pratiques
Utilisation de données personnelles sans autorisation : risques et recours
05 Jun 2026
-
9 min de lecture
min.
Guides & Ressources pratiques
Protection des données en entreprise : définition, cadre RGPD et obligations en 2026
14 Feb 2026
-
9
min.
Guides & Ressources pratiques
Loi Informatique et Libertés : résumé pratique et articulation RGPD
09 Jun 2026
-
8 min de lecture
min.
SWIM n’est pas un cabinet d’avocats, ne fournit pas de services juridiques, ni de conseils juridiques ou de représentation légale.



Nous ne sommes pas une agence de travail temporaire ni de référencement d’avocats.
Aperçu
Vous êtes une entrepriseVous êtes un cabinetVous êtes un indépendantRessourcesNous contacterDéposer une mission
Légal
CGVUCookiesConfidentialitéDonnées personnelles
Réseaux
Linkedin
© 2025. SWIM Legal