anonym.legal

By · Last updated 2026-05-24

Retour au blogGDPR & Conformité

Conformité DSAR GDPR à grande échelle...

Les DSAR de l'article 15 du GDPR augmentent de 40 à 60 % chaque année. Les organisations reçoivent des centaines de demandes chaque mois.

May 24, 20268 min de lecture
DSAR processingGDPR Article 15data subject access requestright of accessbatch redaction

Conformité RGPD aux DSARs à grande échelle : 200 demandes par mois

Mis à jour pour 2026

L'article 15 du RGPD donne aux personnes le droit d'obtenir des copies de leurs données. Le délai de réponse de 30 jours est obligatoire. Des prolongations jusqu'à 90 jours sont possibles pour les demandes complexes. Les amendes sont réelles : Vodafone Espagne a payé 1,2 million d'euros en 2021. Une entreprise allemande a payé 225 000 euros en 2023. Les deux ont été sanctionnées pour des manquements aux DSARs.

Le volume de DSARs ne cesse de croître. Les groupes de défense de la vie privée aident les personnes à soumettre des demandes en masse. Des extensions de navigateur facilitent l'envoi de demandes à de nombreuses entreprises. Des organisations qui recevaient 10 demandes par an en reçoivent désormais 200 par mois. Un workflow manuel conçu pour 10 ne peut pas gérer 200. Une multiplication par 20 ne peut pas être absorbée sans automatisation. Consultez notre page sur les entités pour la liste des catégories de données que nous traitons pour votre compte.

Consultez notre aperçu de conformité et nos pratiques de sécurité pour notre soutien au RGPD.

Ce qu'implique le traitement des DSARs

L'article 15 exige plus que de dire « oui, nous avons vos données ». Vous devez envoyer une copie. Trois étapes sont nécessaires.

Trouver toutes les données personnelles. Recherchez dans chaque système — CRM, e-mail, tickets de support, outils marketing, RH. Les équipes juridiques et informatiques doivent exécuter ensemble des requêtes intersystèmes.

Supprimer les données de tiers. La copie envoyée ne doit pas contenir les informations personnelles d'autres personnes. Si un ticket de support contient l'adresse e-mail d'un agent, noircissez-la. Si un enregistrement de commande indique le nom d'un autre client, supprimez-le. Pour les programmes à fort volume, c'est là que les outils de traitement par lots font le plus gagner du temps.

Respecter les règles de format et de délai. Le RGPD exige un format électronique courant. PDF ou texte brut conviennent tous deux. Le délai commence dès réception de la demande. Les délais manqués sont la principale cause de mesures d'exécution.

Les chiffres du traitement des DSARs

Prenons une entreprise européenne de commerce en ligne avec 200 DSARs par mois.

Chaque demande implique généralement :

  • 8 à 12 enregistrements de commandes
  • 3 à 7 tickets de support
  • 2 à 4 enregistrements de compte
  • Moyenne : environ 18 documents par demande

Cela représente 3 600 documents par mois nécessitant une anonymisation des tiers.

Temps de traitement manuel :

  • 7 à 15 minutes par document
  • 3 600 documents = 420 à 900 heures par mois
  • Environ 3 à 6 équivalents temps plein, rien que pour l'anonymisation

Traitement par lots :

  • Téléchargement de tous les 3 600 documents en une fois
  • Application d'un preset d'anonymisation DSAR
  • Traitement nocturne : 4 à 8 heures
  • Révision humaine des cas limites (~10 %) : environ 90 heures
  • Effort total : 150 à 200 heures par mois — environ un équivalent temps plein

Consultez notre page de tarifs pour les offres de traitement par lots.

Chiffrer puis noircir pour les archives internes

Certaines équipes ont besoin d'archives internes réversibles mais de réponses externes propres. Une approche en deux étapes résout ce problème.

Étape 1 : Stocker les documents avec les données personnelles chiffrées à l'aide d'une clé contrôlée. L'accès est limité aux utilisateurs autorisés. Vous pouvez récupérer le texte original si nécessaire.

Étape 2 : Appliquer un noircissement irréversible avant d'envoyer la réponse DSAR. La personne reçoit un document propre sans jetons ni marqueurs.

Cela préserve vos archives tout en respectant la norme légale pour les réponses externes. Vous pouvez retraiter les documents à tout moment si vos règles d'anonymisation changent.

Documentation de conformité

L'article 5(2) — le principe de responsabilité — signifie que vous devez prouver votre conformité. Vous avez besoin de preuves. Les mots ne suffisent pas. Pour chaque DSAR, enregistrez :

  • Date de réception et méthode de vérification d'identité
  • Systèmes consultés et résultats
  • Type d'anonymisation et types d'entités utilisés
  • Date et format de la réponse
  • Traitement des cas particuliers

Les outils de traitement par lots créent une piste d'audit naturelle. Notre FAQ répond aux questions courantes sur les exigences en matière de piste d'audit. Consultez le glossaire pour les termes clés comme « responsable du traitement » et « sous-traitant ».

Le coût des manquements aux DSARs

L'amende contre Vodafone Espagne (AEPD, 2021) est due à des délais manqués, des réponses incomplètes et de mauvaises vérifications d'identité. L'amende allemande (autorité bavaroise de protection des données, 2023) est liée à des réponses tardives et à des données manquantes.

Les deux cas montrent ce qui se passe quand le volume dépasse la capacité manuelle. Les retards deviennent systématiques. L'automatisation élimine le goulot d'étranglement. Lisez notre déclaration du fondateur sur la conformité by design.

Risques liés à l'automatisation

Les outils par lots réduisent le travail mais introduisent de nouveaux risques. Prenez-en connaissance avant de déployer.

Vérifier la précision de la détection

Un taux de manqués de 2 % est faible sur 100 documents. Sur 50 000 demandes annuelles, cela représente des milliers d'erreurs. Testez votre preset sur de vrais échantillons.

Cartographier la chaîne de traitement

Les systèmes par lots utilisent souvent des outils OCR, des API NLP et du stockage cloud. Chacun ajoute des obligations au titre de l'article 28. Cartographiez d'abord le flux complet des données.

Maintenir les humains dans la boucle

L'article 22 limite les décisions automatisées ayant des effets juridiques sur les personnes. Ajoutez des étapes de révision humaine pour éviter l'exposition à l'article 22.

Prévoir la charge administrative

Les systèmes par lots nécessitent des registres de traitement mis à jour, de nouveaux schémas de flux de données et des DPA fournisseurs. Planifiez ce travail dès le départ.

Liste de contrôle d'implémentation

Avant d'automatiser :

  • Documenter votre processus de réception des DSARs
  • Lister tous les systèmes contenant des données personnelles
  • Créer une cartographie des données pour les requêtes intersystèmes

Étapes de configuration :

  • Configurer un preset d'anonymisation DSAR avec les bons types d'entités
  • Définir les règles déclenchant la révision humaine
  • Tester sur 5 à 10 demandes types

En cours de fonctionnement :

  • Télécharger les documents quotidiennement ou par demande
  • Acheminer les éléments signalés vers la file de révision humaine
  • Préparer la réponse finale à partir du traitement
  • Enregistrer les dates et formats de réponse
  • Réviser les journaux mensuellement
  • Mettre à jour le registre de traitement en cas de changement

Consultez nos études de cas pour voir des exemples de workflows DSAR à grande échelle.

Conclusion

Le volume de DSARs continuera d'augmenter. Les outils de confidentialité, les extensions de navigateur et la couverture médiatique alimentent plus de demandes. Attendez-vous à une croissance annuelle de 40 à 60 %.

Les processus manuels ne peuvent pas suivre. Les outils par lots gèrent le travail d'anonymisation pour que le personnel se concentre sur les cas particuliers. C'est un modèle évolutif. Le manuel seul ne l'est pas. Les organisations qui automatisent maintenant seront mieux placées à mesure que les volumes augmentent.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.