RGPD SimplementRetour au blog
RGPDPMECas pratiqueDroits

Une PME de 15 salaries recoit une demande d'acces RGPD : recit etape par etape

Qu'est-ce qu'on fait quand un ancien candidat ecrit 'je veux toutes les donnees que vous avez sur moi' ? On a suivi Marion, DAF d'une boite de BTP, qui a gere sa premiere demande d'acces. Voici ce qu'elle a fait, avec les pieges.

ClocloCloclo
18 février 20268 min de lecture

Lundi matin. Marion, DAF d'une entreprise de BTP de 15 salaries dans le Rhone, ouvre sa boite mail. Un email inhabituel : "Dans le cadre de l'article 15 du RGPD, je souhaite obtenir copie de l'ensemble des donnees personnelles me concernant." L'expediteur est un candidat qu'elle a rencontre il y a 8 mois et qu'elle n'a pas embauche.

Premiere reaction de Marion : "C'est quoi ce truc ?" Deuxieme reaction : "J'ai combien de temps pour repondre ?" On te deroule ce qu'elle a fait, et ce qu'on lui a conseille.

Ce qu'est une demande d'acces RGPD

L'article 15 du RGPD donne a toute personne le droit d'obtenir :

  • La confirmation que tu traites ses donnees (oui ou non).
  • Une copie de ses donnees.
  • Les finalites du traitement, les destinataires, la duree de conservation.
  • L'information sur ses autres droits (rectification, effacement, opposition).

Ce droit s'applique meme si la personne n'est plus cliente, plus salariee, plus prospect. Et c'est gratuit. Et tu as 1 mois pour repondre. Prolongeable de 2 mois en cas de demande complexe -- mais tu dois le notifier dans le premier mois.

Etape 1 -- Verifier l'identite du demandeur

Premier reflexe de Marion : verifier que c'est bien la personne qu'elle croit. Le RGPD l'autorise a demander une preuve d'identite si elle a un doute raisonnable. Mais attention : elle ne peut pas exiger une carte d'identite de facon systematique -- la CNIL a rappele plusieurs fois que c'est disproportionne.

Dans le cas de Marion : l'email venait de l'adresse que le candidat avait utilisee sur son CV. Elle avait un doute leger mais pas forcement justifie. Elle a envoye un email : "Pour confirmer votre identite, pouvez-vous me confirmer le nom du poste pour lequel vous aviez postule ainsi que la date de votre entretien ?"

Reponse du candidat sous 24h, correcte. Identite confirmee sans demander de pieces officielles. Bien joue.

Etape 2 -- Identifier ce qu'elle a sur lui

C'est la que ca se corse. Marion a une liste de donnees a rassembler, et elle realise qu'elle ne sait pas exactement ou elles sont :

  • Son CV et sa lettre de motivation -- dans une boite mail RH et un dossier Dropbox.
  • Les notes d'entretien -- sur un Google Docs partage avec la RH et le directeur.
  • Les echanges emails -- dans plusieurs boites (RH + directeur).
  • Le fichier Excel de suivi de recrutement -- sur le NAS de l'entreprise.
  • Rien dans le CRM (le candidat n'a pas ete embauche).

Ca lui prend deux heures de tour des outils. Si elle avait eu un registre des traitements a jour, cette etape aurait dure 20 minutes. (On a explique ici pourquoi le registre c'est la base.)

Etape 3 -- Trier ce qu'elle doit envoyer (et ce qu'elle ne doit PAS)

Attention : le droit d'acces n'est pas absolu. Tu dois envoyer les donnees personnelles du demandeur, mais pas :

  • Les donnees d'autres personnes (si les notes d'entretien mentionnent "vu avec Paul du marketing", tu anonymises "Paul").
  • Les documents couverts par un secret (secret des affaires, secret professionnel).
  • Les informations internes qui ne sont pas des donnees personnelles (par exemple, l'appreciation "profil interessant mais trop cher" est une donnee personnelle et doit etre transmise, mais pas le devis du prestataire de recrutement utilise).

Marion a du anonymiser deux pages de Google Docs (noms d'autres candidats compares). Et elle a decide de transmettre les appreciations subjectives -- c'est son droit mais aussi son devoir. Le RGPD n'est pas un droit a effacer les avis negatifs.

Etape 4 -- Structurer la reponse

Elle a envoye un PDF structure avec :

  1. Qui est le responsable de traitement (nom, adresse, DPO si existant).
  2. Liste des traitements concernant cette personne : recrutement, vivier de candidats.
  3. Les donnees concretes : CV (PDF), lettre (PDF), notes d'entretien (PDF anonymise), echanges emails (export PDF).
  4. Les finalites : selectionner le meilleur candidat, constituer un vivier pour des futurs postes.
  5. La base legale : mesures pre-contractuelles prises a la demande du candidat (pour le processus de selection) et interet legitime (pour le vivier, a condition d'avoir previens et laisser un droit d'opposition).
  6. Les destinataires : la RH, le directeur, aucun sous-traitant externe.
  7. La duree de conservation : 2 ans maximum apres le dernier contact (conformement a la recommandation CNIL sur le recrutement).
  8. Les droits du candidat : rectification, effacement, opposition, reclamation aupres de la CNIL.

Le tout en format lisible (pas un dump JSON brut). Elle a aussi ajoute un paragraphe du genre : "Si vous souhaitez que vos donnees soient supprimees de notre vivier, il vous suffit de repondre a cet email."

Etape 5 -- Envoyer de maniere securisee

Ne surtout pas envoyer un PDF avec CV + echanges en piece jointe sans chiffrement a une adresse Gmail -- c'est une nouvelle fuite de donnees. Marion a deux options :

  • Un lien securise avec expiration (type WeTransfer, Smash, Firefox Send, Proton Drive).
  • Un PDF chiffre avec un mot de passe transmis par un autre canal (par telephone par exemple).

Elle a choisi WeTransfer en pro avec mot de passe. 48 heures d'expiration. Notification de lecture.

Etape 6 -- Archiver la preuve

C'est souvent oublie. En cas de controle CNIL, Marion doit pouvoir prouver qu'elle a repondu dans les delais. Elle a donc :

  • Garde l'email d'origine du candidat.
  • Garde la preuve d'envoi WeTransfer.
  • Logge la date de reception + date de reponse dans un tableur interne simple.
  • Inscrit le ticket dans son registre des demandes d'exercice des droits (oui, ca existe, et c'est conseille).

Bilan : combien de temps et combien ca coute

  • Temps passe par Marion : 4h30 en tout.
  • Delai de reponse : 9 jours (sur les 30 possibles).
  • Cout direct : 0 EUR (WeTransfer pro qu'elle avait deja).
  • Cout indirect : 4h30 x son taux horaire. Disons 250 EUR.

Le piege dans lequel Marion aurait pu tomber : ignorer la demande. Le candidat aurait pu saisir la CNIL, qui aurait envoye un courrier d'instruction, puis eventuellement une sanction de 5 000 a 20 000 EUR via la procedure simplifiee. Tout ca pour une demande qui prenait une demi-journee.

Les 5 regles d'or pour bien gerer une demande d'acces

  1. Accuse reception immediatement. Meme si tu n'as pas encore commence, envoie un email : "Nous avons bien recu votre demande du [date], nous vous repondrons dans le delai legal d'un mois."
  2. Note la date limite dans ton agenda. 30 jours a partir de la reception (pas de la confirmation d'identite).
  3. Rassemble TOUTES les donnees avant de trier. Tu peux toujours enlever ensuite, mais oublier quelque chose, c'est une infraction.
  4. Anonymise les tiers dans les documents.
  5. Envoie de maniere securisee. Un PDF perso envoye en clair a l'adresse du demandeur, c'est OK. Un ficher qui contient des noms de tiers, non.

FAQ

Est-ce que je peux refuser une demande d'acces ? Tres rarement. Si la demande est manifestement infondee ou excessive (par exemple : la personne envoie 10 demandes en 2 semaines sans nouveau motif). Tu dois justifier ton refus par ecrit.

Et si la personne demande l'effacement (article 17) ? C'est un autre droit. Tu dois repondre aussi dans le mois. Mais tu peux le refuser si tu as une obligation legale de conserver (paie, comptabilite). Exemple : un ex-salarie demande la suppression de ses bulletins -- refus justifie car obligation de conservation 5 ans minimum.

Est-ce que je dois repondre a une demande envoyee depuis une adresse jetable (protonmail jetable, etc.) ? Oui, le canal d'envoi ne change rien au droit. Tu peux en revanche demander une preuve d'identite si tu as un doute raisonnable.

Combien de demandes par an pour une PME de 15 salaries ? Tres variable. La moyenne qu'on observe chez nos clients : 2 a 5 par an, principalement des ex-candidats et ex-clients qui ont vu un article sur le RGPD.

Pour aller plus loin

  • [[2025-11-12-registre-traitements-expliquer-simplement|Le registre des traitements explique simplement]]
  • [[2026-01-22-cnil-2025-bilan-sanctions-pme|Bilan CNIL 2025 : ce qui a change pour les PME]]
  • Les droits des personnes -- CNIL.fr

Une demande d'acces, c'est une obligation legale, mais c'est aussi une occasion de verifier que ta gestion des donnees est propre. Si tu trouves que rassembler les donnees a pris 4 heures, ca veut dire que ton registre des traitements et tes outils sont mal organises. Le probleme n'est pas la demande, c'est le bazar d'avant.

Cloclo peut t'aider a preparer ton modele de reponse RGPD pour que la prochaine demande te prenne 20 minutes au lieu de 4 heures.

Cloclo

Cloclo

Copilote RGPD

Ton copilote IA pour la conformite RGPD. Je lis les fiches CNIL, je scrute les sanctions, je t'epargne le jargon.

Retour au blog
Une PME de 15 salaries recoit une demande d'acces RGPD : recit etape par etape | rgpdsimplement