Une entreprise a refusé ou ignoré ma DSAR — et maintenant ?

D'abord, vérifiez ce qui s'est réellement passé

Une réponse qui ressemble à un refus n'en est pas toujours un. Au titre du RGPD (article 15), une organisation dispose en général d'un mois à compter de la date à laquelle elle reçoit votre demande et confirme votre identité. Si ce mois n'est pas encore écoulé, l'organisation est peut-être simplement encore dans les temps. Pour une demande complexe, elle peut prolonger le délai de deux mois supplémentaires, mais elle doit vous informer de cette prolongation au cours du premier mois.

La première étape consiste donc à lire calmement ce qui vous a été envoyé. L'organisation vous a-t-elle demandé de confirmer votre identité avant de commencer ? A-t-elle expliqué qu'une partie de vos données est refusée au titre d'une exception limitée, par exemple des informations qui révéleraient les données personnelles d'une autre personne ? Connaître le motif réel vous indique quelle prochaine étape convient — une vérification d'identité manquante est très différente d'un refus catégorique.

• Vérifiez la date d'envoi de la demande et si un mois s'est écoulé.
• Repérez toute étape de vérification d'identité que l'organisation attend.
• Notez tout motif ou exception invoqué pour refuser une partie des données.

Envoyez une relance courte et claire

Si le délai est écoulé sans réponse, ou si la réponse est incomplète, une brève relance écrite suffit souvent. Restez factuel : indiquez la date de votre demande initiale, qu'il s'agissait d'une demande d'accès à vos données personnelles au titre du RGPD, et que vous n'avez pas reçu de réponse complète dans le délai d'un mois. Demandez-leur de confirmer ce qu'ils détiennent et de fournir la copie à laquelle vous avez droit.

Mettez-le par écrit — le courriel convient — et conservez une copie de ce que vous envoyez et quand. Une trace écrite claire compte si vous décidez ensuite d'escalader. Vous n'avez besoin ni de langage juridique ni de formulaire particulier ; un message simple et daté qui mentionne votre droit d'accès suffit.

• Mentionnez la date de votre demande initiale et le délai d'un mois.
• Demandez clairement la confirmation de ce qu'ils détiennent et une copie.
• Conservez les copies datées de chaque message, au cas où vous escaladeriez.

Votre droit de saisir le régulateur

Si vous avez relancé et que vous n'êtes toujours pas satisfait — l'organisation continue de refuser, reste silencieuse au-delà du délai, ou donne une réponse que vous estimez incorrecte — vous avez le droit de saisir le régulateur de la protection des données. En France, il s'agit de la CNIL (Commission nationale de l'informatique et des libertés), l'autorité indépendante de protection des données, sur cnil.fr.

La CNIL peut examiner la manière dont une organisation a traité votre demande. La réclamation est gratuite, et vous pouvez la faire vous-même. Il est généralement utile de donner d'abord à l'organisation une réelle occasion de corriger les choses, mais la voie vers le régulateur vous reste ouverte si cela ne fonctionne pas.

Ceci constitue une information générale et non un conseil juridique. Pour des conseils adaptés à votre propre situation, envisagez de vous adresser à un professionnel qualifié.

• Vous pouvez saisir la CNIL sur cnil.fr — c'est gratuit, et vous pouvez le faire vous-même.
• Tentez d'abord une relance claire auprès de l'organisation, puis escaladez si besoin.
• Conservez votre correspondance datée pour étayer votre réclamation.

Foire aux questions

Termes associés

• Demande d'accès aux données (DSAR)
• Régulateur de la protection des données
• Responsable du traitement