Qu'est-ce qu'une demande d'accu00e8s (DSAR) sous la Loi 25?

Une DSAR (Data Subject Access Request) est une demande formelle par laquelle un citoyen exerce ses droits sur ses donnu00e9es personnelles : accu00e8s (voir ce que vous du00e9tenez), rectification (corriger des erreurs), effacement (supprimer les donnu00e9es), portabilitu00e9 (obtenir en format structuru00e9) ou du00e9sindexation (retirer de l'indexation web).

En combien de temps doit-on ru00e9pondre u00e0 une demande d'accu00e8s?

La Loi 25 impose un du00e9lai de 30 jours pour ru00e9pondre u00e0 toute demande d'accu00e8s ou de rectification. Ce du00e9lai peut u00eatre prolongu00e9 de 30 jours supplu00e9mentaires si la demande est complexe, mais l'utilisateur doit u00eatre informu00e9 de la prolongation AVANT l'expiration du premier du00e9lai.

Que se passe-t-il si on du00e9passe le du00e9lai de 30 jours?

Du00e9passer le du00e9lai sans ru00e9ponse est une violation de la Loi 25 en soi, mu00eame si la demande u00e9tait traitu00e9e en bonne foi. La personne peut du00e9poser une plainte u00e0 la CAI, qui peut imposer une SAP. C'est pourquoi un systu00e8me de suivi automatisu00e9 des du00e9lais (comme celui de SiteQC) est essentiel.

Peut-on refuser une demande d'accu00e8s?

Oui, dans des cas limitu00e9s : demande manifestement abusive (ru00e9pu00e9titions excessives), atteinte aux droits de tiers, enquu00eate en cours. Tout refus doit u00eatre u00e9crit, motivu00e9, et informer le demandeur de son droit de porter plainte u00e0 la CAI. Un refus non motivu00e9 est une violation supplu00e9mentaire.

10 min

Leçon 4.4 : Gérer les demandes d’accès aux renseignements (DSAR)

Le droit fondamental d’accès à ses propres données

Tout citoyen québécois a le droit d’accéder aux renseignements personnels qu’une organisation détient sur lui, de demander leur rectification, et d’exiger leur suppression. Ces demandes, connues sous l’acronyme anglophone DSAR (Data Subject Access Request), doivent être traitées dans un délai précis et suivant un processus documenté.

Les types de demandes couvertes

Demande d’accès : « Quelles données détenez-vous sur moi? »
Demande de rectification : « Cette information est erronée, corrigez-la. »
Demande d’effacement : « Supprimez mes données. »
Demande de portabilité : « Fournissez-moi mes données en format structuré. »
Demande de désindexation : « Cessez de diffuser mes informations en ligne. »

Le délai légal : 30 jours

La Loi 25 impose un délai de 30 jours pour répondre à toute demande d’accès ou de rectification. Ce délai peut être prolongé de 30 jours supplémentaires si la demande est complexe, mais l’utilisateur doit être informé de la prolongation avant l’expiration du premier délai.

Un délai dépassé sans réponse est une violation en soi, même si l’organisation traitait la demande en bonne foi. Le processus de suivi automatisé est essentiel.

Vérification de l’identité

Avant de communiquer des données personnelles, l’organisation doit s’assurer de l’identité du demandeur pour prévenir l’usurpation :

Demander une preuve d’identité (copie de pièce, à détruire après vérification).
Vérification par courriel (confirmation via l’adresse enregistrée).
Question de sécurité ou code OTP si disponible.

Ce que la réponse doit contenir

En réponse à une demande d’accès :

Liste des données détenues, catégorie par catégorie.
Finalités pour lesquelles elles sont utilisées.
Tiers à qui elles ont été communiquées.
Source d’obtention (si pas directement de la personne).
Durée de conservation prévue.

Refus possible mais motivé

Le refus d’accès est possible dans des cas limités :

Si la demande est manifestement abusive (répétition excessive, harcèlement).
Si l’accès porterait atteinte aux droits de tiers ou à une enquête en cours.
Tout refus doit être écrit, motivé et informer le demandeur de son droit de plainte à la CAI.

SiteQC : portail DSAR centralisé

SiteQC offre un portail DSAR intégré : formulaire de demande sur votre site, vérification d’identité automatisée, suivi du délai de 30 jours avec alertes, génération du rapport d’accès en format conforme, et archivage de toutes les demandes pour démonstration devant la CAI.

Points clés

5 types de demandes : accès, rectification, effacement, portabilité, désindexation.
Délai légal : 30 jours (prolongeable une fois avec notification).
Vérification d’identité obligatoire avant communication des données.
Refus écrit motivé + information sur droit de plainte à la CAI.