Depuis longtemps, une demande d'accès aux données (DSR) ou demande d'accès aux données (DSARCela signifiait une chose : quelqu’un voulait une copie de ses données personnelles, et vous les avez extraites d’une base de données. Cette demande existe toujours. Simplement, ce n’est plus celle qui devrait vous empêcher de dormir.
Je passe la majeure partie de ma semaine au sein de programmes de protection de la vie privée en entreprise, et un même constat s'impose : le volume de demandes augmente, leur nature a évolué et la définition de “ périmètre ” s'est discrètement étendue aux aspects les plus complexes de l'entreprise. Si votre processus de demande de renseignements sur les données (DSR) repose sur d'anciennes hypothèses, il est déjà obsolète. Voici ce qui a changé et pourquoi c'est important.
Points clés : Comment les demandes des personnes concernées ont évolué
• Les demandes des personnes concernées sont de plus en plus fréquentes, complexes et difficiles à gérer manuellement.
• Les demandes de suppression, de correction et de désinscription engendrent désormais une charge opérationnelle plus importante que les simples demandes d'accès.
• Les données personnelles s'étendent désormais au cloud, aux SaaS, aux plateformes de collaboration, aux systèmes d'IA et aux contenus non structurés.
• Les demandes des employés relatives aux services clients comportent souvent des risques juridiques et opérationnels plus élevés que les demandes des clients.
• Les équipes chargées de la protection de la vie privée ont besoin de processus de découverte automatisés, de flux de travail de traitement et de pistes d'audit fiables pour rester compétitives.
De plus en plus de consommateurs déposent des demandes d'accès aux données.
Commençons par la demande. Enquête 2024 de Cisco sur la protection de la vie privée des consommateurs Il a été constaté que 361 millions de consommateurs avaient exercé leurs droits d'accès aux données, contre 281 millions l'année précédente. Ce chiffre est loin d'être négligeable : il témoigne d'une évolution structurelle dans la manière dont les personnes exercent effectivement leurs droits.
Elle concerne également un public plus jeune, ce qui laisse présager une tendance. Dans cette même enquête, 461 % des consommateurs âgés de 25 à 34 ans ont exercé ces droits, contre seulement 161 % des 65 ans et plus. La tranche d'âge la plus à l'aise avec ses droits en matière de protection de la vie privée est celle qui atteint le sommet de sa carrière et le pic de sa production de données. Cette tendance devrait se poursuivre.
Les demandes de suppression deviennent la nouvelle norme
Auparavant, l'accès était la requête autour de laquelle on planifiait tout. Maintenant, c'est… suppression. Les demandes d'effacement et de non-vente ont supplanté les simples demandes d'accès, et dans la plupart des programmes, la suppression est désormais le type de demande qui représente la plus grande part de la charge de travail.
Ce changement est plus important que le titre. Une demande d'accès aux données est avant tout une opération de lecture. Une suppression, en revanche, est une opération d'écriture sur tous les systèmes concernés, nécessitant une preuve de l'opération et une piste d'audit fiable. Une seule suppression peut avoir des répercussions sur des dizaines de systèmes. Lorsque votre demande la plus fréquente est aussi la plus coûteuse en termes d'exploitation, les processus manuels atteignent rapidement leurs limites. N'oubliez pas que le temps est un facteur crucial : le délai légal d'un mois vous laisse environ 20 à 22 jours ouvrables pour tout rechercher et agir.
Et la procédure de suppression elle-même est industrialisée. La loi californienne Delete Act a créé DROP, le Plateforme de demande de suppression et de désinscription, Ce système, mis en service pour les consommateurs le 1er janvier 2026, permet à un résident californien de soumettre une requête vérifiée qui est diffusée simultanément à plus de 500 courtiers en données enregistrés. À compter du 1er août 2026, ces courtiers sont tenus de traiter les requêtes au moins tous les 45 jours, de procéder aux suppressions dans un délai de 90 jours, de bloquer les données afin qu'elles ne réapparaissent pas et de transmettre la requête à leurs propres prestataires de services et sous-traitants. Tout manquement à cette obligation est passible d'une amende de $200 par requête et par jour. Deux éléments confèrent à cette affaire une portée bien plus large que celle d'un simple problème de courtiers en données. CCPA, L'accès à toute information personnelle liée au consommateur, y compris les déductions, est désormais possible. La définition de “ courtier en données ” est si large que de nombreuses entreprises qui ne se considéraient pas comme telles sont maintenant concernées. La suppression centralisée, en cascade et soumise à des délais n'est plus théorique : elle est une réalité.
Les demandes d'accès aux données s'étendent désormais au-delà des données structurées.
C'est celui-ci qui fait planter des programmes pourtant bien établis.
Au début, la gestion des demandes de renseignements (DSR) se limitait à des données structurées. On extrayait l'enregistrement du CRM, on le transmettait, et c'était tout. Ce monde a disparu. Les données personnelles sont désormais dispersées entre les e-mails, Slack, les lecteurs partagés, les applications SaaS et les outils d'IA générative. Une demande à laquelle on pouvait répondre depuis un seul système nécessite maintenant de retrouver la personne concernée dans l'ensemble de votre système non structuré.
Il ne s'agit plus seulement de texte. Le Royaume-Uni Loi sur l'utilisation et l'accès aux données Plusieurs lois d'États américains considèrent désormais les enregistrements vidéo, audio et d'écran comme des données personnelles qui doivent être localisées, expurgées et divulguées. L'intelligence artificielle complexifie encore la situation. Un arrêt de la Cour de justice de l'Union européenne de 2025 stipule que lorsqu'une décision automatisée affecte une personne, il est impératif de lui fournir une explication claire du processus, et non une simple référence à un algorithme. Vos modèles de profilage et de notation sont désormais soumis à l'obligation de fournir des informations.
Si vous ne pouvez pas répondre à une simple question, vous avez un problème de périmètre : lorsqu’une demande de suppression arrive, savez-vous réellement où se trouve la personne concernée, y compris sur ses partages de fichiers et dans ses systèmes d’IA ? La plupart des organisations l’ignorent, et c’est précisément cette lacune qui bloque les demandes et engendre les amendes.
Les demandes d'accès aux données des employés comportent un risque juridique plus élevé
Voici la dimension qui est souvent négligée lorsque l'on se concentre sur les consommateurs : les réclamations les plus problématiques ne proviennent généralement pas des clients, mais des employés.
L'enquête menée par EY Law auprès des responsables de la protection des données a révélé que si les clients constituent la principale source de demandes d'accès aux données (DSAR), près d'un tiers proviennent d'employés, ces demandes étant souvent liées à des problématiques RH telles que les licenciements, les contestations de licenciement abusif et les restructurations. L'intention derrière ces demandes est différente. La DSAR est devenue un outil précontentieux. Un employé en conflit dépose une demande générale, et vous voilà soudainement à fouiller les boîtes mail de tous les managers sous un mois, avec un avocat spécialisé en droit du travail à vos côtés. La divulgation d'informations en vue d'un litige ne vous exonère pas de vos responsabilités, et le caractère excessif de la demande ne constitue pas un motif de refus.
La même enquête a chiffré précisément la pression exercée sur les systèmes d'accès aux données : 601 millions d'organisations ont signalé une augmentation des demandes d'accès aux données (DSAR) d'une année sur l'autre, 331 millions ont reçu des demandes groupées et 511 millions ont fait l'objet de plaintes concernant le traitement de certaines demandes. Ce dernier point est crucial, car ce sont les plaintes qui vous exposent à un contrôle de l'autorité de régulation. À titre d'exemple, le Bureau du commissaire à l'information du Royaume-Uni a enregistré à lui seul plus de 15 000 plaintes relatives à l'accès aux données en une seule année.
La période de rétrospection s'est également élargie. CPRA, Les employés peuvent demander l'accès à l'intégralité de leurs données personnelles conservées depuis le 1er janvier 2022, et non plus seulement aux douze mois précédents. Il s'agit d'un historique plus long, dispersé dans des systèmes RH fragmentés, et ce, dans des délais très courts. C'est un problème de recherche, et non un problème de formulaires.
Un élément à prendre en compte, par souci de transparence : la loi britannique sur l’utilisation et l’accès aux données stipule que les employeurs ne sont tenus d’effectuer qu’une recherche “ raisonnable et proportionnée ”. Cela représente un certain soulagement. En revanche, cela ne sert à rien si l’on ignore où se trouvent les données.
Ce que les programmes modernes de demande d'accès aux données exigent
Au-delà des tendances individuelles, toutes convergent vers une même cause profonde. La difficulté d'une réponse aux incidents de sécurité numérique (DSR) n'est plus de savoir “ devons-nous réagir ? ”, mais plutôt “ pouvons-nous tout identifier et traiter, partout, suffisamment vite pour être justifiables ? ”. Il s'agit là d'un problème de données avant même d'un problème de protection de la vie privée.
C’est là que le travail doit commencer, et c’est là que BigID est conçu pour fonctionner :
Découverte et classification tenant compte de l'identité
Trouver les données d'une personne dans des systèmes structurés, non structurés et semi-structurés, sur site, dans le cloud, en SaaS et données d'IA. On ne peut accomplir ce que l'on ne voit pas.
Apprenez-en davantage sur la découverte et la classification.
Exécution automatisée des droits
Réception, vérification et exécution des demandes d'accès, de suppression et de désabonnement avec une piste d'audit complète, de sorte que la 800e suppression vous coûte autant que la première.
Apprenez-en davantage sur l'automatisation des droits sur les données.
Gestion centralisée du consentement et du retrait
Capturez et appliquez des signaux comme le GPC sur l'ensemble des canaux, au lieu de découvrir lors d'un contrôle de régulation que vous les ignoriez.
Apprenez-en davantage sur le consentement et les préférences.
Portails de confidentialité qui fonctionnent réellement
Un mécanisme de requête qui applique le choix à chaque point de contact, et non un bouton qui ne mène nulle part.
Apprenez-en davantage sur les portails de confidentialité.
L'essentiel
Le DSR n'est pas devenu optionnel. Il est devenu plus difficile à mettre en œuvre. Suppression massive, en cascade sur des plateformes comme DROP, périmètre s'étendant à des données non structurées et systèmes d'IA, et sont de plus en plus souvent utilisés comme une arme par les employés lors de conflits. Les programmes reposant sur des interventions manuelles et des hypothèses basées sur des données structurées accumulent silencieusement des risques imperceptibles.
Les équipes qui traiteront les demandes à venir ne seront pas celles qui travailleront le plus dur. Ce seront celles qui auront résolu le problème de données sous-jacent à la requête.
Foire aux questions sur le DSR moderne
Qu’est-ce qu’une demande d’accès aux données (DSR) ?
Une demande de personne concernée (DSR) est une demande formulée par une personne pour exercer ses droits en matière de protection de la vie privée, notamment l'accès, la suppression, la correction ou le refus de l'utilisation ou de la vente de ses données personnelles.
Pourquoi les demandes d'accès aux données sont-elles de plus en plus difficiles à obtenir ?
Les DSR s'étendent désormais au-delà des bases de données structurées pour inclure les courriels, les plateformes de collaboration, le stockage en nuage, les systèmes d'IA, l'audio, la vidéo et d'autres sources de données non structurées, ce qui les rend beaucoup plus difficiles à localiser et à satisfaire.
Pourquoi les demandes de suppression sont-elles plus complexes que les demandes d'accès ?
Les demandes de suppression obligent les organisations à localiser les données personnelles dans plusieurs systèmes, à les supprimer le cas échéant, à conserver une piste d'audit et souvent à informer les fournisseurs de services en aval, ce qui les rend beaucoup plus complexes sur le plan opérationnel que le simple fait de fournir un accès.
Comment l'IA transforme-t-elle les demandes d'accès aux données ?
Les systèmes d'IA peuvent stocker, traiter et générer des informations personnelles dans les invites, les résultats, les modèles et les flux de travail. Les organisations doivent de plus en plus déterminer si les données liées à l'IA relèvent du champ d'application d'une analyse des données à caractère personnel (ADCP).
Comment BigID automatise-t-il les demandes des personnes concernées par les données ?
BigID détecte les données personnelles dans les environnements structurés et non structurés, automatise les flux de travail de traitement des demandes de suppression et de retrait, et fournit une piste d'audit complète pour la conformité.
Automatisez les demandes des personnes concernées à l'échelle de l'entreprise.
Les systèmes modernes de gestion des demandes d'accès, de suppression, de correction et de retrait (DSR) nécessitent bien plus que des flux de travail manuels. Il est désormais possible de découvrir, localiser, traiter et documenter ces demandes à travers des données structurées, des contenus non structurés, le cloud, les solutions SaaS et les environnements d'IA, le tout depuis une plateforme unique.
