Demande d’exercice de droits : Comment prolonger le délai de réponse d’un mois ?

En matière de droits RGPD, le délai de réponse est encadré par un principe clair : un mois. Simple en apparence, ce délai cache pourtant des situations bien plus délicates à gérer au quotidien.

Le cadre légal : un mois, avec possibilité de prolongation

Toute organisation qui reçoit une demande d’exercice de droits RGPD (accès, rectification, effacement, portabilité, etc.) dispose en principe d’un mois pour y répondre à compter de la réception.

Mais la réglementation prévoit une souplesse : en cas de demande complexe ou de volume élevé de demandes, ce délai peut être prolongé de deux mois supplémentaires, soit jusqu’à trois mois au total.

Ce qui est moins souvent dit, c’est que ce n’est pas la règle elle-même qui pose problème aux organisations, c’est la gestion des cas complexes.

Deux critères à qualifier dès le départ

Le réflexe du DPO (Délégué à la Protection des Données) doit être de qualifier immédiatement la demande selon deux axes :

1. La complexité

Une demande est complexe lorsqu’elle implique :

• Des données dispersées entre plusieurs systèmes ou services,
• Des recherches dans des emails ou archives,
• Un tri de documents volumineux,
• L’expurgation de données relatives à des tiers.

Si ces éléments apparaissent dès le cadrage, la prolongation est justifiée — et doit être anticipée, pas subie.

2. Le volume

Le volume élevé peut résulter :

• De plusieurs demandes simultanées émanant de personnes différentes,
• Ou d’une même personne qui multiplie les sollicitations.

Dans les deux cas, ce n’est pas une fatalité : cela se pilote.

La prolongation n’est pas un droit automatique : elle s’accompagne d’une communication obligatoire

Si la prolongation est nécessaire, la communication n’est pas une option — c’est une obligation.

Avant la fin du premier mois, l’organisation doit :

1. Informer la personne de la prolongation,
2. Expliquer brièvement la raison (complexité, volume),
3. Annoncer la nouvelle échéance.

Ce qui est formellement interdit : laisser le délai passer en silence. Une absence de réponse dans les délais constitue une violation des droits de la personne concernée et expose l’organisation à des sanctions de la CNIL.

Gardez la preuve de chaque étape

En cas de contrôle ou de plainte, la traçabilité est votre meilleure défense. Le DPO doit être en mesure de produire :

• La date de réception de la demande,
• Les échanges avec la personne concernée,
• Le cadrage initial de la demande (complexité, volume),
• La décision de prolongation et sa justification,
• Les actions réalisées pour y répondre.

Un dossier bien documenté, c’est une organisation qui démontre sa bonne foi et sa maîtrise du processus.

Piloter, pas subir

Un DPO ne subit pas le délai d’un mois. Il le pilote.

Cela suppose de mettre en place des processus clairs : un circuit de réception des demandes, des critères de qualification définis en amont, des modèles de communication prêts à l’envoi, et un outil de suivi permettant de ne jamais laisser une demande sans réponse dans les temps.

Articles similaires

Minute RGPD Vidéo

Droit à l’effacement : base active, archivage et sauvegardes ?

« Je l'ai supprimé, c'est réglé. » Cette phrase, nous l'entendons souvent. Et pourtant, le droit à l'effacement est l'un des droits RGPD les plus mal appliqués en pratique. Non par mauvaise volonté, mais parce que l'effacement ne fonctionne pas comme un simple bouton « supprimer ». Il se gère par couches et confondre ces couches expose votre organisation à des risques réels.

Lire la suite

Article RGPD Minute RGPD

IA Act & RGPD : 2026, l’année de vérité pour votre conformité ?

Adopté en août 2024, le Règlement européen sur l'intelligence artificielle (IA Act) marque un tournant pour toutes les organisations qui conçoivent, utilisent ou intègrent de l'intelligence artificielle.

Lire la suite