Aller au contenu principal
Conformité Guide pratique PME

Mettre en place une procédure de traitement des droits RGPD

Avez-vous une procédure pour répondre aux demandes d'accès et d'effacement des données (droit RGPD) ?

En bref — ce que vous devez retenir

Tout individu dont vous traitez les données personnelles peut exercer ses droits : accès, rectification, suppression, portabilité, opposition. Vous avez un délai d'un mois pour répondre. Sans procédure définie, ces demandes passent à la trappe et exposent votre entreprise à des plaintes CNIL.

Glossaire

RGPD

GDPR — General Data Protection Regulation

Règlement Général sur la Protection des Données

Loi européenne qui encadre la collecte et l'utilisation des données personnelles. Toute entreprise traitant des données de résidents européens doit s'y conformer, sous peine d'amendes.

? Nature du problème

Les droits RGPD (articles 15 à 22) sont des droits opposables : votre client peut demander à consulter toutes les données que vous avez sur lui, à les corriger, à les supprimer, ou à les recevoir dans un format portable. Votre obligation : répondre dans le mois suivant la demande (extensible à 3 mois pour les demandes complexes, en notifiant le demandeur).

Sans processus clair, ces demandes arrivent par email et se perdent. Un non-traitement peut mener à une plainte CNIL, une enquête, et une amende.

Comment corriger — étape par étape

  1. Créez une adresse email dédiée (ex : rgpd@votreentreprise.fr) pour recevoir les demandes de droits
  2. Rédigez un formulaire de demande sur votre site web ou à envoyer par email — identité du demandeur, type de droit exercé
  3. Définissez un processus interne : qui reçoit, qui traite, qui répond, dans quel délai (rappel : 1 mois maximum)
  4. Créez des modèles de réponse pour chaque type de droit (accès, suppression, rectification)
  5. Tenez un registre des demandes reçues et des réponses apportées — preuve de conformité en cas de contrôle
  6. Pour les demandes de suppression, documentez ce qui a été supprimé et ce qui ne peut pas l'être (obligations légales)

! Incidents réels

Prestataire RH — Paris, 2023

Un ancien salarié a demandé la suppression de ses données. L'entreprise a ignoré la demande. Il a saisi la CNIL. Contrôle déclenché, amende de 20 000 € et obligation de mettre en place un processus de traitement des droits.

Responsable conformité — e-commerce, Nantes, 2022

"On reçoit en moyenne 3 demandes RGPD par mois. Avec notre modèle de réponse et notre process clair, on traite chaque demande en moins de 2 heures. Sans process, on ne savait même plus par où commencer."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →