Demande d’exercice de droits : Comment prolonger le délai de réponse d’un mois ?

Demande d’exercice de droits : Comment prolonger le délai de réponse d’un mois ?
Minute RGPD Vidéo

En matière de droits RGPD, le délai de réponse est encadré par un principe clair : un mois. Simple en apparence, ce délai cache pourtant des situations bien plus délicates à gérer au quotidien.


Le cadre légal : un mois, avec possibilité de prolongation

Toute organisation qui reçoit une demande d’exercice de droits RGPD (accès, rectification, effacement, portabilité, etc.) dispose en principe d’un mois pour y répondre à compter de la réception.


Mais la réglementation prévoit une souplesse : en cas de demande complexe ou de volume élevé de demandes, ce délai peut être prolongé de deux mois supplémentaires, soit jusqu’à trois mois au total.


Ce qui est moins souvent dit, c’est que ce n’est pas la règle elle-même qui pose problème aux organisations, c’est la gestion des cas complexes.


Deux critères à qualifier dès le départ

Le réflexe du DPO (Délégué à la Protection des Données) doit être de qualifier immédiatement la demande selon deux axes :


1. La complexité

Une demande est complexe lorsqu’elle implique :

  • Des données dispersées entre plusieurs systèmes ou services,
  • Des recherches dans des emails ou archives,
  • Un tri de documents volumineux,
  • L’expurgation de données relatives à des tiers.

Si ces éléments apparaissent dès le cadrage, la prolongation est justifiée — et doit être anticipée, pas subie.


2. Le volume

Le volume élevé peut résulter :

  • De plusieurs demandes simultanées émanant de personnes différentes,
  • Ou d’une même personne qui multiplie les sollicitations.

Dans les deux cas, ce n’est pas une fatalité : cela se pilote.


La prolongation n’est pas un droit automatique : elle s’accompagne d’une communication obligatoire

Si la prolongation est nécessaire, la communication n’est pas une option — c’est une obligation.

Avant la fin du premier mois, l’organisation doit :

  1. Informer la personne de la prolongation,
  2. Expliquer brièvement la raison (complexité, volume),
  3. Annoncer la nouvelle échéance.

Ce qui est formellement interdit : laisser le délai passer en silence. Une absence de réponse dans les délais constitue une violation des droits de la personne concernée et expose l’organisation à des sanctions de la CNIL.


Gardez la preuve de chaque étape

En cas de contrôle ou de plainte, la traçabilité est votre meilleure défense. Le DPO doit être en mesure de produire :

  • La date de réception de la demande,
  • Les échanges avec la personne concernée,
  • Le cadrage initial de la demande (complexité, volume),
  • La décision de prolongation et sa justification,
  • Les actions réalisées pour y répondre.

Un dossier bien documenté, c’est une organisation qui démontre sa bonne foi et sa maîtrise du processus.


Piloter, pas subir

Un DPO ne subit pas le délai d’un mois. Il le pilote.

Cela suppose de mettre en place des processus clairs : un circuit de réception des demandes, des critères de qualification définis en amont, des modèles de communication prêts à l’envoi, et un outil de suivi permettant de ne jamais laisser une demande sans réponse dans les temps.

Retour aux actualités
Partager l'article

Articles similaires

IA Act & RGPD : 2026, l’année de vérité pour votre conformité ?
Article RGPD Minute RGPD

IA Act & RGPD : 2026, l’année de vérité pour votre conformité ?

Lire la suite
Sous-traitance et RGPD : et si le risque de non-conformité venait de votre prestataire ?
Article RGPD Minute RGPD

Sous-traitance et RGPD : et si le risque de non-conformité venait de votre prestataire ?

L’externalisation est aujourd’hui au cœur du fonctionnement des organisations. Hébergement cloud, solutions SaaS, marketing digital, gestion RH ou support client : de nombreuses activités impliquant des données personnelles sont confiées à des prestataires.
Lire la suite