EuroComply
Créer un compte
Back to blog
RGPD 15 min read

RGPD : Droits des Personnes Concernées et Délai de Réponse de 30 Jours (Articles 15–20)

What you need to know: RGPD : Droits des Personnes Concernées et Délai de Réponse de 30 Jours (Articles 15–20)

Le RGPD accorde aux personnes physiques le droit de demander l'accès, la rectification ou l'effacement de leurs données à caractère personnel, et vous devez répondre dans les 30 jours calendaires. Ce guide explique chaque droit, ce qui déclenche votre obligation et comment répondre dans les délais.

Source: EuroComply Editorial (2026-06-03)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Les personnes physiques ont le droit de demander l'accès à leurs données à caractère personnel, leur rectification ou leur effacement — et vous devez répondre dans les 30 jours calendaires. Ces droits sont consacrés par le RGPD aux Articles 15 à 22. Le non-respect de cette obligation peut entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel, ainsi que des mesures d'exécution formelles de la part de votre autorité de contrôle.

Ce guide explique chaque droit, ce qui déclenche votre obligation et la procédure pour répondre correctement.

La loi : RGPD Article 12 (délai de réponse)

« Le responsable du traitement prend toutes les mesures raisonnables pour fournir à la personne concernée toute information [...] ainsi que toute communication [...] sous une forme concise, transparente, compréhensible et aisément accessible [...] sans retard injustifié et en tout état de cause dans le délai d'un mois à compter de la réception de la demande. »

Votre délai est de 30 jours calendaires à compter de la réception, et non 30 jours ouvrés. Une demande reçue le 3 juin doit recevoir une réponse au plus tard le 3 juillet.

Règle de prorogation (Article 12(3))

Vous pouvez proroger le délai de deux mois supplémentaires (soit 60 jours au total) si la demande est complexe ou si vous recevez un grand nombre de demandes simultanément. Mais vous devez en informer la personne concernée dans les 30 premiers jours, en précisant le motif du retard. Le défaut de cet avis vous prive de votre droit à la prorogation.

Les cinq droits fondamentaux des personnes concernées

Article 15 : Droit d'accès

« La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données. »

Le droit d'accès signifie qu'une personne physique peut vous demander de confirmer si vous traitez ses données à caractère personnel et, le cas échéant, d'en obtenir une copie.

Ce que vous devez fournir :

  • La confirmation que vous détenez (ou non) des données à caractère personnel la concernant
  • Une copie de l'ensemble des données à caractère personnel que vous traitez à son sujet, dans un format couramment utilisé et lisible par machine (CSV, JSON ou PDF)
  • Les finalités du traitement
  • Les catégories de destinataires (à qui vous communiquez ces données)
  • La durée de conservation prévue
  • Les informations sur ses autres droits (rectification, effacement, limitation, portabilité)
  • Lorsque les données n'ont pas été collectées directement auprès d'elle, des informations sur la source

Coût : La première copie doit être fournie gratuitement. Pour des demandes ultérieures manifestement infondées ou excessives, vous pouvez facturer des frais administratifs raisonnables.

Exemple : Un client vous envoie un courrier électronique : « Pouvez-vous me communiquer toutes les données personnelles que vous détenez me concernant ? » Il s'agit d'une demande valide au titre de l'Article 15. Répondez dans les 30 jours avec un fichier téléchargeable de ses données et une lettre explicative décrivant votre traitement.

Article 16 : Droit de rectification

« La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel inexactes la concernant. »

Les personnes physiques peuvent exiger la correction de données à caractère personnel factuellement inexactes.

Ce qui constitue une inexactitude :

  • Adresse électronique, numéro de téléphone ou adresse postale incorrects
  • Nom mal orthographié
  • Date de naissance erronée
  • Intitulé de poste obsolète toujours enregistré dans votre système après que la personne concernée vous en a informé

Ce qui ne constitue pas une inexactitude :

  • Les évaluations fondées sur des avis (par exemple, un score de risque de crédit est votre appréciation, et non une erreur factuelle même si la personne le conteste)
  • Des données qui étaient exactes lors de leur collecte mais ne sont plus à jour (bien que la personne puisse demander à les compléter en vertu de la seconde phrase de l'Article 16)

Votre obligation : Corriger les données, confirmer la correction à la personne concernée et notifier tout tiers à qui vous avez communiqué les données inexactes.

Article 17 : Droit à l'effacement (« droit à l'oubli »)

« La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant. »

Les personnes physiques peuvent demander la suppression de leurs données à caractère personnel. Ce droit s'applique dans des circonstances précises.

Vous devez effacer les données lorsque :

  • Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
  • La personne concernée retire son consentement et le consentement constitue votre seule base juridique
  • La personne concernée s'oppose au traitement en vertu de l'Article 21 et vous ne disposez pas de motifs légitimes prépondérants
  • Les données ont fait l'objet d'un traitement illicite
  • L'effacement est requis pour respecter une obligation légale au titre du droit de l'Union ou du droit d'un État membre

Vous pouvez refuser l'effacement lorsque :

  • Vous avez une obligation légale de conservation des données (par exemple, les pièces comptables pendant 10 ans en droit français, ou les registres de TVA pendant 7 ans en vertu des règles fiscales de l'UE)
  • Vous avez besoin des données pour constater, exercer ou défendre des droits en justice
  • Le traitement est nécessaire pour des raisons d'intérêt public dans le domaine de la santé publique (Article 9(2)(i))
  • Le traitement est nécessaire à des fins d'archivage dans l'intérêt public, de recherche scientifique, historique ou à des fins statistiques, dans la mesure où l'effacement risquerait de rendre impossible ou de compromettre sérieusement la réalisation de ces objectifs

Lorsque vous refusez, vous devez expliquer la base juridique du refus. Vous ne pouvez pas simplement ignorer la demande.

Exemple de cas devant obligatoirement donner lieu à effacement : Un client ferme son compte et demande l'effacement de l'ensemble de ses données. Si vous n'avez pas d'obligation légale de conservation (absence de commandes en cours, absence d'obligation fiscale), vous devez effacer les données dans les 30 jours et le confirmer.

Exemple de refus partiel : Le même client dispose de relevés de facturation que vous devez conserver 10 ans en application du droit comptable français. Vous effacez tout le reste et expliquez : « Nous avons supprimé vos données de profil. Nous conservons les pièces comptables pendant 10 ans conformément à l'article L. 123-22 du Code de commerce. »

Article 18 : Droit à la limitation du traitement

« La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement. »

La limitation signifie que vous conservez les données mais cessez de les utiliser (autrement que pour les stocker) jusqu'à la levée de la limitation.

Dans quels cas la personne concernée peut-elle demander la limitation :

  • Elle conteste l'exactitude des données (la limitation s'applique pendant votre vérification)
  • Le traitement est illicite mais elle préfère la limitation à l'effacement
  • Vous n'avez plus besoin des données, mais la personne concernée en a besoin pour la constatation, l'exercice ou la défense de droits en justice
  • Elle a exercé son droit d'opposition en vertu de l'Article 21 et vous vérifiez si vos motifs légitimes prévalent sur son opposition

Ce que la limitation signifie concrètement :

  • Marquer les données comme limitées dans votre système
  • Ne pas les traiter à d'autres fins que leur stockage
  • Ne pas les communiquer à des tiers ni les utiliser à des fins d'analyse
  • Vous pouvez toutefois les traiter si la personne concernée y consent, pour constater, exercer ou défendre des droits en justice, pour protéger les droits d'une autre personne ou pour des motifs importants d'intérêt public

Article 20 : Droit à la portabilité des données

« La personne concernée a le droit de recevoir les données à caractère personnel la concernant qu'elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. »

La portabilité s'applique uniquement aux données traitées par des moyens automatisés sur la base du consentement ou d'un contrat. Elle donne aux personnes concernées le droit de transférer leurs données vers un autre service.

Ce que vous devez fournir :

  • Les données à caractère personnel que la personne concernée a elle-même fournies (et non les données que vous avez inférées ou déduites)
  • Dans un format structuré et lisible par machine — CSV ou JSON, non un simple fichier PDF
  • Lorsque cela est techniquement possible, les données peuvent être transmises directement à un autre responsable du traitement à la demande de la personne concernée

Ce que vous n'êtes pas tenu de fournir :

  • Les données que vous avez générées ou inférées (par exemple, un score de risque déduit de l'historique de transactions)
  • Les données relatives à d'autres personnes qui seraient accessoirement liées aux données de la personne concernée
  • Les contenus protégés par le droit d'auteur ou les données protégées par des secrets commerciaux

Identifier une demande d'accès aux données

Les demandes des personnes concernées n'ont pas besoin de citer le RGPD ni d'employer un langage juridique. L'obligation est déclenchée par la substance de la demande, non par sa forme.

Chacune des formulations suivantes déclenche votre délai de 30 jours :

  • Courrier électronique : « Pouvez-vous me communiquer mes données ? »
  • Message instantané : « Supprimez mon compte, s'il vous plaît »
  • Formulaire de contact : « Je voudrais savoir quelles informations vous détenez à mon sujet »
  • Lettre formelle citant les Articles 15 à 22
  • Demande verbale (pour laquelle vous devriez obtenir une confirmation écrite)
  • Demande d'un représentant autorisé agissant pour le compte d'une personne concernée

Même les demandes informelles sont juridiquement contraignantes. « Supprimez mon compte » via une fenêtre de chat est une demande valide au titre de l'Article 17.

Procédure de réponse : étape par étape

Étape 1 — Réceptionner et enregistrer (Jour 0)

Consignez la demande avec : la date et l'heure de réception, l'identité et les coordonnées de la personne concernée, le type de demande (accès, effacement, rectification, limitation, portabilité) et l'échéance de réponse.

Étape 2 — Vérifier l'identité (Jours 0 à 3)

Confirmez que le demandeur est bien la personne qu'il prétend être. Pour les catégories de données sensibles (santé, finances), demandez une preuve d'identité. Pour les données moins sensibles, une confirmation par courrier électronique est généralement suffisante. Vous ne pouvez pas facturer de frais pour la seule vérification d'identité — uniquement pour les demandes manifestement infondées ou répétitives.

Étape 3 — Évaluer la validité (Jours 0 à 7)

S'agit-il d'un droit des personnes concernées valide au titre des Articles 15 à 22 ? Détenez-vous effectivement des données à caractère personnel relatives à cette personne ? Existe-t-il un motif de refus (obligation légale de conservation, contrat en cours) ? Êtes-vous confronté à une demande manifestement infondée ou répétitive (que vous pouvez refuser ou facturer) ?

Étape 4 — Préparer la réponse (Jours 7 à 28)

Récupérez l'ensemble des données à caractère personnel pertinentes depuis tous les systèmes : bases de données principales, sauvegardes, archives de courriers électroniques, plateformes marketing, outils analytiques, sous-traitants. Formatez les données de manière appropriée. Pour les demandes d'accès : un fichier téléchargeable et une lettre d'accompagnement. Pour l'effacement : une confirmation de suppression. Pour la rectification : une confirmation de mise à jour. Faites relire par votre service juridique ou votre DPD avant envoi.

Étape 5 — Envoyer et confirmer (au plus tard le Jour 29)

Répondez par courrier électronique ou par un moyen sécurisé. Incluez les données, la confirmation ou l'explication du refus. Conservez une preuve d'envoi. Si vous refusez tout ou partie de la demande, expliquez clairement la base juridique. Consignez l'action entreprise.

Étape 6 — Documenter à des fins de conformité

Conservez les enregistrements de la demande, de la vérification d'identité, de l'action prise et de la date de réponse pendant au moins trois ans. Cette documentation constitue votre preuve de conformité en cas de contrôle de l'autorité de contrôle.

Modèle de réponse : effacement Article 17 — Demande acceptée

Objet : Votre demande d'effacement RGPD — Traitée

Madame, Monsieur [Nom],

Nous avons bien reçu votre demande du [date] tendant à l'effacement de vos données à caractère personnel. Nous avons donné suite à cette demande.

Données effacées : profil de compte, adresse électronique, coordonnées, historique d'achats, historique du service client.

Données conservées (obligation légale) : Les pièces comptables et de facturation sont conservées pendant 10 ans en application de l'article L. 123-22 du Code de commerce. Elles sont conservées séparément et utilisées exclusivement à des fins de conformité fiscale et comptable.

Nous avons également demandé à nos sous-traitants de supprimer vos données de leurs systèmes.

Pour toute question, veuillez contacter notre Délégué à la Protection des Données à l'adresse [[email protected]].

[Nom / Organisme]

Modèle de réponse : effacement Article 17 — Refus partiel

Objet : Votre demande d'effacement RGPD — Réponse partielle

Madame, Monsieur [Nom],

Nous avons bien reçu votre demande du [date]. Nous y avons partiellement donné suite.

Données effacées : [liste des éléments].

Données que nous conservons : Pièces comptables et de facturation (obligation légale : article L. 123-22 du Code de commerce, conservation 10 ans). Documents contractuels (obligation légale : [référence à la législation nationale applicable]).

Base juridique de la conservation : Article 17(3)(b) du RGPD — la conservation est nécessaire au respect d'une obligation légale.

Vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que ce refus n'est pas justifié.

[Nom / Organisme]

Erreurs fréquentes

Ignorer les demandes informelles. « Supprimez mon compte » via une messagerie instantanée est une demande d'effacement valide. Répondez dans les 30 jours ou faites face à des mesures d'exécution.

Facturer la vérification d'identité. Vous pouvez demander une preuve d'identité, mais vous ne pouvez pas facturer cette étape. Les frais ne s'appliquent qu'aux demandes manifestement infondées ou répétitives.

Supprimer les données sans confirmation écrite. Les personnes concernées ont le droit de savoir que leur demande a été traitée. Envoyez toujours une confirmation écrite.

Transmettre des données sensibles par courrier électronique non chiffré. Pour les ensembles de données volumineux ou sensibles, utilisez un service de messagerie chiffrée, un portail sécurisé ou des fichiers protégés par mot de passe.

Dépasser le délai de 30 jours sans en avertir la personne concernée. Si vous avez besoin de plus de temps, informez la personne concernée dans les 30 premiers jours en indiquant le motif. Le défaut de cet avis vous prive de votre droit à la prorogation de deux mois.

Refuser sans explication. Tout refus doit citer la base juridique précise. « Nous ne pouvons pas supprimer vos données » ne suffit pas ; « Nous conservons vos pièces comptables pendant 10 ans en application de l'article L. 123-22 du Code de commerce » est conforme.

Préparation des systèmes

Pour répondre dans les délais, votre organisme doit disposer de :

  • Un inventaire des données recensant l'ensemble des données à caractère personnel et leur localisation dans les systèmes
  • Une procédure de récupération capable d'extraire toutes les données relatives à une personne depuis l'ensemble des systèmes dans votre fenêtre de réponse
  • Une capacité d'export générant les données dans un format lisible par machine (CSV ou JSON) pour les demandes d'accès et de portabilité
  • Une procédure de suppression effaçant les données des bases de données principales, des sauvegardes, des archives et des sous-traitants
  • Des modèles de réponse prérédigés pour chaque type de demande (acceptation, refus, avis de prorogation)
  • Un journal de suivi des demandes avec alertes d'échéances
  • Une procédure de vérification d'identité définie pour chaque niveau de sensibilité des données

Points clés à retenir

  1. 30 jours calendaires à compter de la réception — votre délai de réponse. La prorogation à 60 jours est possible uniquement si vous en informez la personne concernée dans les 30 premiers jours.
  2. Cinq droits fondamentaux — Accès (Article 15), Rectification (Article 16), Effacement (Article 17), Limitation (Article 18), Portabilité (Article 20).
  3. Les demandes informelles sont contraignantes — « supprimez mon compte » via une messagerie est une demande juridiquement valide au titre de l'Article 17.
  4. Vérifiez l'identité raisonnablement — mais ne facturez pas cette étape.
  5. Tout refus nécessite une explication — citez la base juridique précise (par exemple, Article 17(3)(b) pour les obligations de conservation).
  6. La première réponse est gratuite — vous ne pouvez facturer que les demandes manifestement infondées ou répétitives.
  7. Documentez tout — conservez les enregistrements des demandes, des vérifications, des actions entreprises et des délais respectés, pendant au moins trois ans.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez votre Délégué à la Protection des Données, votre conseil juridique ou un spécialiste de la conformité RGPD pour obtenir des conseils adaptés à votre organisme.

Key takeaways: RGPD : Droits des Personnes Concernées et Délai de Réponse de 30 Jours (Articles 15–20)

This article covers: La loi : RGPD Article 12 (délai de réponse), Les cinq droits fondamentaux des personnes concernées, Identifier une demande d'accès aux données.

  • La loi : RGPD Article 12 (délai de réponse)
  • Les cinq droits fondamentaux des personnes concernées
  • Identifier une demande d'accès aux données
  • Procédure de réponse : étape par étape
  • Modèle de réponse : effacement Article 17 — Demande acceptée
Source: EuroComply Editorial (2026-06-03)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.