DSAR CCPA : Comprendre les demandes d'accès des personnes concernées en vertu du CCPA

Alexis Dessaints
This is some text inside of a div block.
10 minutes
April 22, 2025

Table des matières

La confidentialité est plus importante que jamais, et vos clients le savent. C'est pourquoi des lois telles que la California Consumer Privacy Act (CCPA) permettent aux gens de mieux contrôler leurs informations personnelles. L'un des éléments essentiels de ce règlement est Demandes d'accès des personnes concernées (DSAR).

Un DSAR, c'est lorsqu'un client demande à votre entreprise de partager les données personnelles que vous avez collectées à son sujet. Et si vous n'êtes pas préparé, le processus DSAR de la CCPA peut également se compliquer, entraînant des pénalités coûteuses. En effet, en vertu de la DSAR CCPA, la réponse à ces demandes n'est pas facultative mais obligatoire.

Dans cet article, nous allons explorer les exigences de la CCPA en matière de DSAR et comment les gérer sans surcharger votre équipe.

Vue d'ensemble du CCPA et des DSAR

Le CCPA est une loi sur la confidentialité au niveau de l'État qui donne aux résidents de Californie un plus grand contrôle sur la manière dont les entreprises collectent, utilisent et partagent leurs informations personnelles. Elle s'applique à certaines entreprises qui collectent des données personnelles et atteignent des seuils spécifiques, comme celles qui ont un chiffre d'affaires annuel de plus de 25 millions de dollars, qui gèrent les données de 50 000 consommateurs ou qui tirent plus de 50 % de leurs revenus de la vente de données personnelles.

En vertu des exigences de la CCPA DSAR, les consommateurs ont les droits clés suivants :

  • Le droit de savoir quelles données personnelles sont collectées et comment elles sont utilisées
  • Le droit de supprimer les données personnelles détenues par une entreprise
  • Le droit de refuser la vente de leurs données personnelles
  • Le droit à la non-discrimination pour l'exercice de l'un de ces droits

D'autre part, un Procédé DSAR est une demande officielle d'un consommateur demandant à une entreprise de fournir des détails sur les données personnelles qu'elle détient à son sujet. En vertu du CCPA, les DSAR sont généralement créés pour exercer le « droit de savoir » ou le « droit de suppression ».

Un CCPA DSAR typique peut demander :

  • Une copie des données personnelles collectées par une entreprise
  • Les catégories de données collectées, les sources et les tiers avec lesquels elles ont été partagées
  • Informations sur la manière dont les données ont été utilisées
  • Suppression des données du consommateur des systèmes de l'entreprise

Importance des DSAR pour les entreprises

À première vue, les DSAR peuvent sembler être une autre exigence de conformité pour les entreprises. Cependant, en réalité, ces demandes visent également à renforcer la confiance des consommateurs, à améliorer vos processus et à protéger votre réputation. Voyons en quoi le DSAR CCPA est si important pour votre entreprise :

Renforcer la confiance des consommateurs

En général, les clients veulent savoir quelles informations personnelles vous avez collectées à leur sujet et comment vous les utilisez. En répondant rapidement et de manière transparente à leur DSAR, vous envoyez un message fort : « Nous respectons votre vie privée et prenons vos droits très au sérieux. » Cela contribue à renforcer la confiance, ce qui est crucial car les consommateurs sont préoccupés par la manière dont leurs données sont traitées. Un processus CCPA DSAR bien exécuté peut transformer des clients sceptiques en fidèles défenseurs de votre marque.

Satisfaire aux exigences légales

Des réglementations telles que la California Consumer Privacy Act (CCPA) et la Règlement général sur la protection des données (RGPD) rendent obligatoire la réponse aux DSAR. Ainsi, leur non-respect est non seulement risqué mais également coûteux. En vertu de la CCPA, les amendes peuvent aller de 2 500 à 7 500 dollars par violation, tandis que les pénalités liées au RGPD peuvent atteindre 4 % de votre chiffre d'affaires annuel dans le monde entier. En gérant efficacement les DSAR, vous évitez non seulement ces pièges financiers, mais vous démontrez également que votre entreprise fonctionne de manière éthique et légale.

Améliorer la gouvernance des données

La réponse aux DSAR oblige les entreprises à examiner de plus près leurs pratiques en matière de données. Vous devrez identifier où les données personnelles sont stockées, comment elles sont utilisées et avec qui elles sont partagées. Il révèle souvent des inefficacités ou des risques dans vos processus de gestion des données. Il peut s'agir de politiques de conservation des données obsolètes ou redondantes, de mesures de sécurité faibles et d'accords de partage de données inutiles avec des tiers. En résolvant ces problèmes, vous améliorez la gouvernance globale de vos données.

Atténuer les risques de sécurité

La gestion des DSAR peut également servir de test de résistance pour vos protocoles de sécurité. Si vos systèmes ont du mal à localiser ou à récupérer des données avec précision, cela peut signaler des vulnérabilités susceptibles d'entraîner des violations. La correction de ces lacunes contribue non seulement à la conformité, mais protège également contre les cyberattaques potentielles qui pourraient nuire à la fois à vos clients et à vos résultats.

Avantage compétitif

En adoptant une approche proactive à l'égard de la DSAR CCPA, vous pouvez vous démarquer de vos concurrents. En effet, les consommateurs sont plus susceptibles de choisir des entreprises qui respectent leur vie privée et gèrent leurs données de manière responsable. Selon une enquête, plus de 68 % des consommateurs du monde entier sont préoccupés par la protection de leur vie privée en ligne. C'est pourquoi les entreprises qui appliquent de solides pratiques en matière de confidentialité bénéficient souvent de taux de fidélisation de la clientèle plus élevés et d'une meilleure fidélité à la marque.

Principaux éléments des DSAR en vertu de la CCPA

Comprendre les principaux composants des DSAR aidera votre entreprise à garantir la conformité et à renforcer la confiance des consommateurs. Explorons les droits importants des consommateurs dans le cadre de cette exigence réglementaire.

Droit d'accès

Les consommateurs ont le droit de savoir quelles informations personnelles les entreprises collectent à leur sujet. Cela inclut les catégories de données collectées, les sources des données, les finalités de la collecte et les catégories de tiers avec lesquels les données sont partagées.

Pour se conformer à ce droit, votre entreprise doit proposer deux méthodes pour soumettre des DSAR. L'une des méthodes doit correspondre à votre principal mode d'interaction avec les clients, comme le portail en ligne, le formulaire papier ou le téléphone sans frais. Cela garantit que les consommateurs peuvent facilement déposer une demande d'accès aux données CCPA sans obstacles inutiles.

Droit de suppression

Les consommateurs peuvent vous demander de supprimer leurs informations personnelles à moins que certaines exceptions ne s'appliquent, telles que des obligations légales exigeant la conservation. Cependant, vous devez vérifier l'identité du demandeur avant de répondre à une demande de suppression afin d'empêcher tout accès non autorisé. Ce droit permet aux consommateurs de contrôler la manière dont leurs données sont utilisées et garantit que les entreprises les traitent de manière responsable.

Droit de désinscription

Le CCPA permet aux consommateurs de refuser la vente ou le partage de leurs données personnelles. Pour cela, votre entreprise doit fournir un mécanisme clair, spécifique et accessible via un lien « Ne pas vendre mes informations personnelles » sur votre site Web. Ce droit donne aux consommateurs le pouvoir de décider de la manière dont leurs données sont utilisées à des fins commerciales, ce qui favorise la transparence et la confiance.

Droit à la non-discrimination

Les consommateurs qui exercent leurs droits en vertu de la CCPA ne peuvent pas faire l'objet de discrimination. Cela signifie que votre entreprise ne peut pas refuser des services, facturer des prix plus élevés ou proposer des produits ou des services de qualité différente simplement parce qu'un consommateur a choisi de ne pas participer à la vente de données ou en a demandé la suppression. Ce principe garantit que les consommateurs se sentent en sécurité pour exercer leurs droits sans craindre de conséquences négatives.

Exigences de conformité DSAR pour les entreprises

Répondre à un DSAR va au-delà de la fourniture de données. Votre entreprise doit suivre un processus qui respecte les droits des consommateurs tout en respectant des normes légales spécifiques.

C'est important car les consommateurs estiment qu'il est essentiel de mieux contrôler les données qu'ils partagent avec les entreprises. Ils veulent également comprendre comment ces informations sont utilisées. Par conséquent, pour rester en conformité, vous devez cocher les principales cases suivantes :

Vérification des demandes des consommateurs

Lorsqu'un DSAR arrive dans la boîte de réception de votre entreprise, la première étape est la vérification. Vous devez confirmer l'identité du demandeur pour vous assurer qu'il n'expose pas par inadvertance des données sensibles à des personnes non autorisées. Elle permet de prévenir la fraude ou le vol d'identité.

Comme indiqué ci-dessus, le CCPA oblige les entreprises à fournir au moins deux méthodes pour soumettre des DSAR, comme des numéros de téléphone gratuits ou des formulaires en ligne. Cela permet aux consommateurs de formuler plus facilement des demandes.

Voici comment gérer efficacement la vérification :

  • Comparez les données fournies par le consommateur avec les enregistrements existants, tels que les détails du compte ou les informations de facturation.
  • Pour les demandes sensibles (comme la suppression), pensez à utiliser l'authentification multifactorielle pour une meilleure sécurité.
  • Si vous refusez une demande en raison d'un échec de vérification, expliquez clairement le raisonnement au consommateur.

Délais de réponse

En matière de DSAR, le respect des délais est aussi important que le processus lui-même. Conformément au calendrier DSAR de la CCPA, votre entreprise doit répondre à une demande dans les 45 jours.

Si une demande est complexe, ce délai peut être prolongé de 45 jours supplémentaires. Cependant, vous devez informer les consommateurs du retard dans le délai initial de 45 jours.

Pour les demandes de désinscription, vous devez agir encore plus rapidement, dans les 15 jours. Si vous n'agissez pas dans les délais de la DSAR de la CCPA, votre entreprise devra encourir des amendes allant de 2 500 dollars par violation involontaire à 7 500 dollars par violation intentionnelle.

Pour rester sur la bonne voie, vous pouvez envisager d'utiliser des outils qui rationalisent la réception et le traitement des demandes. En outre, des flux de travail peuvent être mis en place pour classer les demandes en fonction de leur urgence et de leur complexité. Plus important encore, si vous avez besoin de plus de temps, informez-en rapidement les consommateurs et expliquez-leur pourquoi.

Documentation et tenue de registres

Une documentation appropriée n'est pas seulement une bonne pratique, mais également une obligation légale. Vous devez conserver des dossiers détaillés de tous les DSAR et de leurs réponses. Cela répond aux objectifs suivants :

  • En cas de contrôle réglementaire, vous aurez une preuve de conformité.
  • Les enregistrements antérieurs peuvent aider à rationaliser les réponses aux demandes répétées du même consommateur.
  • Une documentation précise réduit les erreurs et garantit la cohérence.

Lors de la documentation, veillez à inclure les données et l'heure de chaque demande, les mesures prises lors de la vérification et de l'exécution, ainsi que toutes les exemptions applicables. Vous pouvez également mentionner toute communication avec les consommateurs expliquant les résultats de la demande.

En vertu du RGPD, vous devez tenir un « registre des activités de traitement » (RoPA). Bien que le CCPA n'impose pas explicitement le RoPA, l'adoption de pratiques similaires peut vous aider à rester organisé. Vous pouvez également opter pour Services de conformité au RGPD pour rationaliser l'ensemble du processus et éviter de lourdes amendes.

Différences entre les DSAR du CCPA et du RGPD

Le CCPA et le RGPD partagent un objectif commun : permettre aux individus de contrôler leurs données personnelles. Cependant, aussi similaires qu'elles puissent paraître, ces lois diffèrent considérablement en termes de portée, de couverture des données et d'obligations de conformité. Décomposons GDPR contre CCPA.

Champ d'applicabilité

Le RGPD a une portée mondiale. Elle s'applique à toute organisation qui traite les données personnelles de personnes au sein de l'Union européenne (UE), quel que soit le lieu où l'entreprise est basée. En revanche, le CCPA est plus localisé. Elle protège les résidents de Californie et s'applique aux entreprises opérant en Californie ou ciblant ses résidents.

Types de données couverts

Les deux lois protègent les données personnelles, mais les définissent différemment. Le terme « données personnelles » dans le cadre du RGPD est plus large. Cela inclut tout ce qui permet d'identifier un individu directement ou indirectement. Cela va des noms et adresses e-mail aux données génétiques et biométriques. Les données accessibles au public sont également couvertes, sauf si elles sont anonymisées.

Le CCPA se concentre sur les « informations personnelles », qui incluent les données qui peuvent raisonnablement être liées à un résident ou à un ménage de Californie. Cela couvre des éléments tels que l'historique de navigation, les données de géolocalisation et les enregistrements d'achats. Cependant, les données anonymisées ou agrégées n'entrent pas dans son champ d'application.

Obligations en

Conformément au RGPD, les entreprises doivent répondre aux DSAR dans un délai de 30 jours, qui peut être prolongé de deux mois supplémentaires pour les demandes complexes. Dans le cas de la CCPA, les entreprises ont un délai légèrement plus clément, par exemple 45 jours, avec une prolongation pouvant aller jusqu'à 90 jours si nécessaire.

Difficultés liées à la gestion des DSAR

Il n'est pas toujours facile de rester en conformité avec les DSAR. Bien que la loi soit claire, l'exécution quotidienne peut être délicate, en particulier lorsque les demandes s'accumulent et que les données sont dispersées entre différents systèmes. Explorons les défis auxquels vous pourriez avoir à faire face :

Gestion de volumes élevés de demandes

Lorsque les DSAR arrivent en grande quantité, en particulier à la suite d'une mise à jour d'une politique ou d'un scandale de confidentialité, ils peuvent submerger même des équipes bien préparées. Sans automatisation ni processus clair, les choses peuvent facilement passer entre les mailles du filet.

Garantir une extraction précise des données

La recherche de toutes les données relatives à une seule personne, réparties dans les CRM, les e-mails, les outils cloud et les systèmes existants, prend du temps et représente un défi. Même un seul enregistrement manqué peut entraîner un risque de conformité.

Équilibrer confidentialité et sécurité

Vous devez permettre aux consommateurs d'accéder à leurs données, mais uniquement après avoir confirmé que c'est bien eux qui les demandent. Ainsi, vérifier facilement la demande d'accès des personnes concernées par la CCPA tout en la sécurisant est l'une des étapes les plus difficiles.

Meilleures pratiques pour une gestion efficace de la DSAR

La gestion des DSAR peut sembler fastidieuse, d'autant plus que les demandes deviennent plus fréquentes et complexes. Cependant, les stratégies suivantes vous permettent de rationaliser le processus :

Automatisation des étapes redondantes

Envisagez d'utiliser des outils qui permettent de suivre, de vérifier et de traiter automatiquement les demandes. En effet, l'automatisation réduit les erreurs manuelles, vous permet de respecter les délais et permet à votre équipe de se concentrer sur des tâches plus complexes.

Centralisez vos données

La dispersion des données est l'ennemi de l'efficacité. Assurez-vous que les informations personnelles sont faciles à localiser en intégrant des systèmes ou en utilisant des outils de mappage de données. Plus il est facile à trouver, plus vous pouvez répondre rapidement.

Formez votre équipe

Tous les membres de votre équipe, du support client au service juridique, doivent comprendre les bases des DSAR. Des directives internes claires et une formation régulière peuvent contribuer à éviter les faux pas et les retards.

Découvrez la conformité à la DSAR avec DPO Consulting

Rester en conformité tout en garantissant l'efficacité grâce aux DSAR peut s'avérer difficile pour votre entreprise. C'est là que DPO Consulting peut vous faciliter la tâche.

Nous sommes spécialisés dans les lois sur la confidentialité telles que le CCPA et le RGPD. Notre équipe d'experts peut vous aider à mettre en place des processus DSAR robustes et adaptés à votre activité.

Entrez en contact avec nous !

FAQs

Qu'est-ce qu'une demande d'accès aux données (DSAR) ?

Un DSAR est une demande officielle présentée par des personnes souhaitant accéder à leurs informations personnelles détenues par des organisations.

Qui peut soumettre un DSAR en vertu du CCPA ?

Tout résident de Californie peut soumettre un DSAR en vertu de la CCPA.

Quelles informations les entreprises doivent-elles divulguer en réponse à un DSAR ?

Les entreprises doivent divulguer les informations personnelles collectées, leur objectif, les catégories partagées avec des tiers et toutes les mesures associées prises sur demande.

De combien de temps les entreprises disposent-elles pour répondre à un DSAR ?

Les entreprises disposent de 45 jours pour répondre, pouvant être prolongés de 45 jours supplémentaires si nécessaire. Cependant, les demandes de désinscription doivent être traitées dans un délai de 15 jours.

Une entreprise peut-elle refuser de se conformer à un DSAR ?

Oui, mais uniquement si la demande est infondée, excessive ou si la vérification d'identité échoue.

Quelles sont les sanctions en cas de non-respect des exigences du DSAR ?

La non-conformité peut entraîner des sanctions allant de 2 500$ par violation (involontaire) à 7 500$ par violation (intentionnelle)

Références

https://www.exterro.com/basics-of-data-privacy/chapter-3-what-is-a-dsar-data-subject-access-request

https://iapp.org/news/a/most-consumers-want-data-privacy-and-will-act-to-defend-it/

https://venturebeat.com/data-infrastructure/report-94-of-consumers-want-control-over-the-information-they-share-with-companies/

https://www.zendata.dev/post/data-subject-access-requests-dsars-best-practices

https://clym.io/blog/data-subject-access-requests-in-2024-the-complete-guide-to-dsrs

https://www.websitepolicies.com/blog/data-subject-access-request

https://www.osano.com/articles/dsar-management

https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/a-few-practical-tips-for-managing-subject-access-requests

https://gdpr-info.eu/

https://www.oag.ca.gov/privacy/ccpa

DPO Consulting : votre partenaire en matière d'IA et de conformité au RGPD

Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.

Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.

Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.

Nos solutions

RGPD et conformité

DPO et représentation externalisés

Formation et assistance

À lire également

See all

Liste de contrôle des audits de cybersécurité : étapes clés et contrôles essentiels pour la conformité

Une liste de contrôle d'audit de cybersécurité permet d'évaluer les contrôles de sécurité en matière de politiques, de systèmes, de réponse aux incidents et de formation.

Read more

Audit de conformité en matière de cybersécurité : qu'est-ce que c'est et comment le réaliser

Un audit de conformité en matière de cybersécurité évalue vos contrôles, politiques et pratiques de sécurité par rapport aux normes et réglementations.

Read more

L'IDTA britannique expliquée : comment utiliser l'accord international de transfert de données dans le cadre du RGPD britannique

L'IDTA est le contrat type du Royaume-Uni pour les transferts de données restreints en dehors du Royaume-Uni lorsqu'aucune décision d'adéquation ne s'applique.

Read more
Restez au courant des dernières actualités en matière de protection des données et de conformité au RGPD.
Votre adresse e-mail sera utilisée pour vous envoyer notre newsletter ainsi que des informations concernant l'activité et l'actualité de DPO Consulting. Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription figurant dans les e-mails. Pour en savoir plus sur vos droits, consultez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
À propos de nous
Notre expertise
Logiciel RGPD (myDPO)
Nous contacter
contact@dpo-consulting.com
+33 (0) 1 55 06 16 86
50, Avenue des Champs-Élysées, 75008, Paris, France
DPO ExternaliséDPO International Assistance DPOReprésentant UEReprésentant UKFormation en protection des données
Conformité des études cliniquesAudit de conformité RGPDAnalyse d'Impact sur la Vie Privée (AIPD)Transformation digitaleConformité multi-réglementaireUK GDPR, UK DPA, & DUAA
Conformité en cybersécurité
RSSI ExternaliséAudit de conformité en cybersécuritéGestion de projet IT
Conformité à l'AI Act
Audit de conformité à l'AI ActFormation à l'AI Act
DPO Consulting © 2025 Tous droits réservés |
Conditions d'utilisation
|
Politique de confidentialité
|
Politique en matière de cookies
|
Mentions légales
Créons un expérience comme remarquable en tant que votre entreprise
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
Pages principales
Pages du CMS
Utilité
Modèles
hi@byq.studio
@byqstudio
+1 600 600 000
White stylized letter B logo on a black circular background.
Hey there 🙌🏽 This is Grained Agency Webflow Template by BYQ studio
Read more
Minimize
Template details

Included in Grained

Grained Agency Webflow Template comes with everything you need

15+ pages

25+ sections

20+ Styles & Symbols

Figma file included

To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.

Buy template $79

Grained Comes With Even More Power

Overview of all the features included in Grained Agency Template

Premium, custom, simply great

Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.

Optimised for speed

We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.

Responsive

Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.

Reusable animations

Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.

Modular

Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.

100% customisable

On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.

CMS

Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.

Ecommerce

Grained Template comes with eCommerce set up, so you can start selling your services straight away.

Figma included

To give you 100% control over the design, together with Webflow project, you also get the Figma file.

Buy template $79