Bob le développeur

Droits des Personnes RGPD : le Guide pour Développeurs

Implémentez les 8 droits des personnes et simplifiez l'exercice de droits

Le RGPD reconnaît 8 droits fondamentaux : accès, rectification, effacement, portabilité, opposition, limitation et droits décisionnels. Vous avez 30 jours pour répondre à chaque demande. Découvrez comment mettre en œuvre techniquement ces droits, vérifier l'identité des demandeurs, gérer les sous-traitants et automatiser le processus avec une API DSAR complète.

Nos services RGPD
Droits des Personnes RGPD : le Guide pour Développeurs

Les droits des personnes dans le RGPD

Le RGPD garantit 8 droits fondamentaux à chaque personne concernée par un traitement de données. Ces droits sont essentiels pour assurer un équilibre entre les besoins légitimes des entreprises et la protection des libertés individuelles. Les trois premiers droits concernent la transparence et l'accès : le droit d'information (articles 13-14) vous garantit de savoir qui traite vos données et pourquoi, le droit d'accès (article 15) vous permet de demander une copie de toutes vos données, et le droit de rectification (article 16) autorise la correction de données inexactes. Les trois suivants concernent le contrôle des données : le droit à l'effacement (article 17) permet de demander la suppression, le droit à la limitation (article 18) de restreindre l'usage, et le droit à la portabilité (article 20) de récupérer vos données dans un format utilisable. Enfin, les deux derniers droits garantissent l'autonomie décisionnelle : le droit d'opposition (article 21) de refuser un traitement, notamment marketing, et les droits en matière de prise de décision automatisée (article 22) interdisant les décisions purement algorithmiques sans intervention humaine. Chaque droit a un délai de réponse de 30 jours, extensible à 3 mois en cas de complexité.

Illustration — Les droits des personnes dans le RGPD

Droit d'accès (article 15)

Le droit d'accès est l'un des plus importants : la personne peut demander une copie de toutes les données vous la concernant. Vous devez fournir ces informations dans un format lisible et compréhensible, avec des explications claires sur le contexte de chaque donnée. Concrètement, cela signifie : extraire TOUTES les données stockées (bases de données, logs, fichiers, sauvegardes), inclure les métadonnées (date de création, dernière modification, motif du traitement), fournir dans un format lisible (PDF, CSV, JSON) et une langue accessible, identifier l'origine des données et les destinataires potentiels. Les pièges courants à éviter : ne pas oublier les données dans les archives ou sauvegardes, inclure les données dérivées ou inférées (scores, classifications), fournir sans explications techniques incompréhensibles, ou demander un délai d'attente anormalement long. L'accès doit être fourni rapidement, en général dans les 30 jours. Il n'est pas permis de refuser sous prétexte que l'extraction serait coûteuse ou complexe.

Illustration — Droit d'accès (article 15)

Droit à l'effacement (article 17)

Le droit à l'effacement, aussi appelé « droit à l'oubli », permet à une personne de demander la suppression complète de ses données. Cependant, ce droit n'est pas absolu et il existe plusieurs exceptions importantes. Le responsable du traitement DOIT supprimer les données si : elles ne sont plus nécessaires, la personne retire son consentement, elle s'oppose au traitement, ou elles ont été obtenues illégalement. En revanche, le responsable peut REFUSER si : une obligation légale exige la conservation, la sécurité publique l'impose, les données sont nécessaires à la défense en justice, ou l'intérêt archivistique/scientifique/historique prime. Techniquement, l'effacement pose deux défis : le « hard delete » (suppression physique de toutes les traces) et la propagation aux sous-traitants (qui doivent eux aussi supprimer). Vous devez documenter les effacements pour justifier votre conformité, et gérer les sauvegardes : une donnée en base de données mais conservée dans une sauvegarde n'est pas vraiment effacée. Un audit technique approfondi est recommandé.

Illustration — Droit à l'effacement (article 17)

Droit à la portabilité (article 20)

Le droit à la portabilité garantit que vous pouvez récupérer vos données dans un format exploitable, généralement pour les transférer à un autre service. C'est particulièrement important pour éviter de dépendre d'un seul prestataire. Cependant, ce droit ne s'applique pas universellement. Il concerne uniquement les données : obtenues avec le consentement ou dans le cadre d'un contrat (pas les données collectées sur base légale d'obligation légale), et que la personne elle-même a fournies (pas les données dérivées ou inférées). Par exemple, un score de crédit calculé à partir de vos données n'est pas portable, car c'est une donnée dérivée. Le format doit être structuré et lisible par machine : JSON, CSV, XML, pas un PDF scannalisé. Vous avez aussi l'obligation de transférer directement chez un concurrent si techniquement possible. L'une des complexités : consolider les données depuis plusieurs systèmes (ERP, CRM, analytics) dans un export cohérent et vérifiable. Automatiser ce processus réduit drastiquement les délais et les erreurs.

Illustration — Droit à la portabilité (article 20)

Droit d'opposition et profilage (articles 21-22)

Le droit d'opposition (article 21) autorise le refus d'un traitement, notamment dans un contexte marketing. Si la personne demande de ne plus recevoir vos emails commerciaux, vous DEVEZ arrêter immédiatement. Il existe des exceptions pour les traitements justifiés par un intérêt légitime suffisamment puissant, mais elles sont rares et difficiles à défendre. Le droit en matière de prise de décision automatisée (article 22) est encore plus fort : une personne ne peut pas être soumise à une décision purement algorithmique ayant des effets significatifs, sauf si le traitement remplit certaines conditions (consentement exprès, contrat, obligation légale). Cela signifie que vous ne pouvez pas refuser un crédit, un emploi ou un service basé uniquement sur un algorithme sans intervention humaine. Vous devez mettre en place un processus d'appel et d'examen manuel. Techniquement, cela oblige à documenter chaque décision automatisée, conserver des traces d'intervention humaine, et fournir une explication compréhensible sur les raisons de la décision (pas juste « l'algorithme a dit non »). Les systèmes de IA et machine learning doivent être auditables et explicables.

Illustration — Droit d'opposition et profilage (articles 21-22)

Implémenter les droits dans votre application

Implémenter techniquement les droits RGPD exige une architecture pensée dès la conception. Commencez par exposer une API DSAR sécurisée : endpoints pour soumettre une demande, vérifier son statut, recevoir les données ou recevoir la confirmation d'effacement. Le workflow complet comprend : 1) collecte de la demande avec contexte (quel droit exact), 2) vérification de l'identité robuste (multi-facteur si données sensibles), 3) vérification de la légitimité (délai, demandes antérieures frauduleuses), 4) extraction conforme et validation (test que le délai soit respecté), 5) archivage immédiat pour audit, 6) notification des sous-traitants, 7) envoi sécurisé (email chiffré, lien temporaire, pas de stockage du fichier en clair). Les défis techniques : gérer les données fragmentées (plusieurs bases, microservices, systèmes tiers), expurger les logs et backups (une « vraie » suppression prend du temps), vérifier les permissions utilisateur internes (qui a accès à quelle donnée), documenter totalement (audit trail incontournable). La solution la plus robuste : une plateforme GDPR Toolkit centralisée qui médiatise toutes les demandes.

Illustration — Implémenter les droits dans votre application
Répartition des services Bob le développeur — accompagnement produit digital

Rencontrez Bob, le copilote de votre succès !

Chez Bob le développeur, nous ne construisons pas seulement des produits SaaS, nous réalisons des rêves. Bob, à la barre de notre équipe d'experts, est bien plus qu'un développeur : il est le co-pilote agile et dévoué de votre projet entrepreneurial. Eux-mêmes anciens entrepreneurs eux-mêmes, les membres de Bob comprennent les défis auxquels vous faites face et savent comment les transformer en opportunités.

En contact permanent

Nous savons que chaque entreprise est unique. C'est pourquoi Bob et son équipe mettent un point d'honneur à tisser des relations solides et authentiques avec chacun de nos clients.

Rapidité et efficacité : notre signature

Dans le monde des startups, le temps c'est de l'argent. Notre processus de développement agile garantit que votre produit sera sur le marché en un temps record, prêt à conquérir son audience.

Ce que disent nos clients

Photo de François Bulteau, CEO - Spliit
François Bulteau

CEO - Spliit

Nous avons fait appel à Bob dans le cadre du développement de notre site Spliit et de notre web app. Leur accompagnement était complet avec une forte expertise technique et une approche produit. Ils ont su s'adapter rapidement à notre contexte et nos besoins. Fortement recommandé!

Photo de Romain Champourlier, CTO - Carbonfact
Romain Champourlier

CTO - Carbonfact

Antoine nous a accompagnés quelques mois sur le développement NextJS / NestJS / Typescript de plusieurs MVP dans le cadre de nos cycles exploratoires chez Carbonfact. La collaboration est excellente : les échanges sont clairs, efficaces. Antoine s'est très bien adapté à notre contexte et a travaillé avec beaucoup d'autonomie, ce qui était parfait à notre stade de développement. Nous avons beaucoup apprécié sa capacité à comprendre rapidement les enjeux business et à s'assurer de l'alignement de ses choix techniques avec nos pratiques et notre stratégie. Nous serons ravis de travailler à nouveau avec Antoine et l'équipe de Bob le Développeur.

Photo de Stanislas Bétoux, CEO - Hypnolib
Stanislas Bétoux

CEO - Hypnolib

Je suis satisfait de la production finale d’Hypnolib. Points positifs : Qualité de la prestation, Réactivité, Disponibilité, Force de propositions.

Photo de Stanislas Denis, CEO - GetBiz
Stanislas Denis

CEO - GetBiz

Engagé pour réaliser et développer notre site internet multiplateforme et multilingue. L’équipe a été très compétente en proposant des technologies Getbiz. L'équipe de Bob le développeur a su bien comprendre notre projet, pour nous proposer la meilleure solution de développement pour la création de notre application. Leur accompagnement fut très professionnel et les délais respectés. Bravo et merci à toute l'équipe.

Photo de Romain Le Drogo, Founder - Sutom
Romain Le Drogo

Founder - Sutom

Bob le développeur a su répondre rapidement et efficacement à chacune de nos attentes. Leur accompagnement et leur agilité tout au long de la réalisation du projet nous ont été très précieux, et nous ont permis de répondre très rapidement aux différentes difficultés rencontrées. Leur expertise technique et leur orientation business nous ont permis de trouver ensemble les meilleures solutions pour une réalisation plus robuste sur le long terme. Merci à toute l’équipe !

Photo de RILESUNDAYZ, Record label and publishing company
RILESUNDAYZ

Record label and publishing company

L'équipe a su s'adapter aux différentes exigences et être force de proposition sur les concepts originaux que nous avons soumis pour notre plateforme interne. Hâte de retravailler ensemble!

Questions fréquentes

Quels sont les droits des personnes dans le RGPD ?
Le RGPD garantit 8 droits fondamentaux à chaque personne dont les données sont traitées. Le droit d'information (articles 13-14) garantit une transparence totale sur les traitements. Le droit d'accès (article 15) permet de demander une copie de toutes les données vous concernant. Le droit de rectification (article 16) autorise la correction de données inexactes. Le droit à l'effacement, ou « droit à l'oubli » (article 17), permet demander la suppression de vos données, sauf exceptions. Le droit à la limitation du traitement (article 18) permet de restreindre l'usage des données. Le droit à la portabilité (article 20) garantit une récupération facile dans un format exploitable. Le droit d'opposition (article 21) permet de refuser un traitement, notamment le marketing. Enfin, les droits relatifs à la prise de décision automatisée (article 22) interdisent les décisions purement automatisées ayant des effets significatifs sans intervention humaine.
Quel est le délai pour répondre à une demande d'exercice de droits ?
Le délai légal est de 30 jours à compter de la réception de la demande. Ce délai commence dès réception, même si l'identité du demandeur n'est pas encore vérifiée. Vous pouvez l'étendre de 2 mois supplémentaires si la demande est manifestement complexe ou si vous recevez plusieurs demandes similaires simultanément. Vous avez l'obligation d'informer la personne de cette prolongation dans les 30 jours, en expliquant les raisons. Passé ce délai sans réponse, vous êtes en violation du RGPD et la CNIL peut engager des poursuites.
Peut-on refuser une demande d'effacement ?
Oui, le RGPD prévoit plusieurs exceptions légales au droit à l'effacement. Vous pouvez refuser si : vous devez respecter une obligation légale, vous exécutez une mission d'intérêt public ou d'autorité publique, vous avez besoin des données pour la sécurité publique ou pour établir, exercer ou défendre des droits en justice. Vous pouvez aussi refuser si l'intérêt public pour la conservation à titre archivistique, scientifique ou historique prime. Enfin, si l'exercice du droit rendrait impossible la détection de fraude, vous pouvez refuser. Dans tous ces cas, vous devez informer la personne des motifs du refus.
Comment vérifier l'identité du demandeur ?
L'identité du demandeur doit être vérifiée par un processus proportionné au risque avant tout traitement de la demande. Les méthodes acceptées incluent : la comparaison avec les données que vous possédez déjà (email enregistré, profil utilisateur), la double vérification par email et téléphone, la demande d'une copie de pièce d'identité, ou l'utilisation d'un service d'authentification sécurisé. Pour les données sensibles, une vérification vidéo avec reconnaissance faciale peut être appropriée. Attention à ne pas demander des vérifications excessives qui rendraient impossible ou compliquée l'exercice du droit. La vérification doit être équilibrée entre sécurité et accessibilité.
Le droit à la portabilité s'applique-t-il à toutes les données ?
Non, le droit à la portabilité ne s'applique qu'aux données fournies par la personne avec son consentement ou dans le cadre d'un contrat. Il concerne uniquement les données que la personne a elle-même fournies, pas les données inférées ou dérivées. Par exemple, un score de risque calculé à partir de vos données n'est pas portable. Le format doit être structuré, couramment utilisé et lisible par machine (JSON, CSV, XML). Vous avez aussi l'obligation de transmettre les données directement à un autre responsable si demandé techniquement possible.
Que faire si une demande concerne des données partagées avec des sous-traitants ?
Le responsable du traitement reste responsable même si des sous-traitants traitent les données concernées. Vous devez coordonner avec eux rapidement. Pour une demande d'effacement, vous transmettez l'ordre d'effacement à tous vos sous-traitants qui doivent s'exécuter sans délai. Pour l'accès, vous devez consolider les données de tous les sous-traitants et fournir un export complet. Pour la portabilité, même logique : collecte auprès de tous les sous-traitants puis transmission à la personne. Les délais de coordination doivent rester compris dans les 30 jours légaux. Documentez chaque étape pour justifier votre diligence.
Comment automatiser le traitement des demandes d'exercice de droits ?
Une API DSAR automatise le processus complet : collecte, vérification, extraction, export et envoi sécurisé. Le workflow comprend : 1) Collecte sécurisée des demandes via un formulaire web ou par email. 2) Vérification automatisée ou semi-automatique de l'identité (comparaison email, double facteur). 3) Extraction des données conformes à la demande depuis votre base de données. 4) Export dans le format demandé (JSON, CSV, PDF). 5) Archivage de la demande et des échanges pour audit. 6) Notification des sous-traitants et synchronisation des réponses. 7) Envoi sécurisé à la personne. Des plateformes RightsTech comme OneTrust, Transcend ou notre propre solution intègrent ces flux.
Que risque-t-on si on ne répond pas dans les délais ?
Le non-respect des délais expose à des amendes CNIL pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires. Au-delà de l'amende, la CNIL peut ordonner la suppression immédiate des données non-conformes, interdire temporairement ou définitivement le traitement de données, ou exiger un audit de conformité externe. En parallèle, la personne lésée peut engager un recours judiciaire et obtenir dommages-intérêts. Enfin, en cas de violation intentionnelle, les responsables encourent des poursuites pénales.

Besoin d'une stratégie RGPD complète ?

Nous couvrons aussi le registre des traitements, les analyses d'impact, les sauvegardes sécurisées et la gestion des incidents RGPD.

Voir notre offre RGPD complète →

Besoin d'implémenter les droits RGPD ?

Audit gratuit et développement des mécanismes d'exercice de droits conformes

Estimer mon projet

La newsletter qu'on n'ignore pas

Abonnez-vous à notre newsletter pour recevoir nos derniers articles, retours d'expérience et conseils tech directement dans votre boîte mail.

Désinscription en un clic. Vos données restent privées.