Demande d'accès de la personne concernée

Une demande d'accès de la personne concernée (DSAR ou SAR) est une demande faite par un individu en vertu de l'article 15 du RGPD pour accéder aux données personnelles qu'une organisation détient à son sujet. À la réception d'une DSAR valide, l'organisation doit confirmer si elle traite les données de la personne, fournir une copie de ces données dans un format électronique couramment utilisé et fournir des informations complémentaires incluant les finalités du traitement, les catégories de données, les destinataires, les durées de conservation et les informations sur les droits de la personne concernée.

Les organisations doivent répondre aux DSAR dans un délai d'un mois, prolongeable de deux mois supplémentaires pour les demandes complexes ou nombreuses. La première copie doit être fournie gratuitement, bien que des frais raisonnables puissent être facturés pour les copies supplémentaires ou les demandes manifestement infondées ou excessives. Le principal défi des DSAR est de localiser toutes les données personnelles pertinentes dans les multiples systèmes — bases de données CRM, archives d'e-mails, plateformes d'analyse, systèmes de sauvegarde et sous-traitants doivent tous être consultés. Un inventaire des données bien organisé et des procédures internes claires sont essentiels pour une conformité dans les délais.