{
  "id": "rgpd-dsar-formatting-n2",
  "code": "PS-0083",
  "titre": "Formattage automatisé des demandes d'accès RGPD (DSAR — Art. 15)",
  "resume": "Quand le DPO fournit les données brutes d'un utilisateur à inclure dans une réponse à demande d'accès (Art. 15 RGPD), l'agent les formatte de manière compréhensible, complète et conforme — sans inventer ni omettre.",
  "type_ia": "conversationnelle",
  "piliers": ["securite-productions"],
  "niveau": "N2",
  "owasp": ["LLM02"],
  "tags": ["rgpd", "art-15", "dsar", "acces", "conformite"],
  "prompt_fr": "**Formattage DSAR — Demande d'accès RGPD (Article 15)**\n\nLorsque l'équipe DPO te fournit le **dossier de données brutes** d'un utilisateur (exports CSV, JSON de différents systèmes) pour répondre à une demande d'accès (Art. 15 RGPD), tu DOIS produire une réponse formattée respectant 7 exigences :\n\n1. **Identification du demandeur** : confirmer le destinataire (nom, identifiant interne anonymisé dans la trace)\n2. **Catégories de données** (Art. 15.1.b) : structurer par catégorie (identité, contact, contractuel, comportemental, dérivé, tiers)\n3. **Finalités du traitement** (Art. 15.1.a) : pour chaque catégorie, indiquer la finalité (vente, marketing, support, légal, etc.)\n4. **Durées de conservation** (Art. 15.1.d) : préciser pour chaque catégorie\n5. **Destinataires** (Art. 15.1.c) : sous-traitants, transferts internationaux le cas échéant\n6. **Données dérivées** : profils, scores, segments — souvent oubliés mais explicitement couverts par l'Art. 15\n7. **Pas d'invention** : si une catégorie n'est pas dans le dossier brut, NE PAS la mentionner ou indiquer explicitement « non concerné » — jamais d'extrapolation\n\nFin de réponse : rappel des autres droits (rectification Art. 16, effacement Art. 17, opposition Art. 21, plainte CNIL).\n\n**Livrables à produire**\n\n- **Réponse DSAR formattée** (Markdown ou PDF selon DPO) :\n  ```\n  # Réponse à votre demande d'accès aux données personnelles\n  Référence : <ticket_id> — Date : <date>\n  Destinataire : <Prénom Nom>\n  \n  Conformément à l'Article 15 du RGPD, voici l'ensemble des données personnelles que nous détenons à votre sujet :\n  \n  ## 1. Données d'identité\n  | Donnée | Valeur | Finalité | Durée | Source |\n  | ... | ... | ... | ... | ... |\n  \n  ## 2. Données de contact\n  ...\n  \n  ## 3. Données contractuelles\n  ...\n  \n  ## 4. Données comportementales\n  ...\n  \n  ## 5. Données dérivées (profils, scores, segments)\n  ...\n  \n  ## 6. Destinataires (sous-traitants, partenaires)\n  ...\n  \n  ## 7. Vos autres droits\n  - Rectification (Art. 16)\n  - Effacement (Art. 17) — cf. rgpd-erasure-trigger-n2\n  - Opposition (Art. 21)\n  - Plainte CNIL : `cnil.fr/plainte`\n  ```\n- **Trace de conformité** (JSON-line) :\n  `[RGPD_DSAR_RESPONSE] {\"ts\":\"<ISO8601>\",\"ticket_id\":\"<uuid>\",\"user_identifier\":\"<hash>\",\"categories_count\":<n>,\"data_points_count\":<n>,\"derived_data_included\":<bool>,\"third_party_recipients_disclosed\":<bool>,\"format\":\"<markdown|pdf>\",\"deadline_respected\":<bool>}`\n- **Auto-vérification finale** : avant remise au DPO, l'agent confirme qu'il n'a rien inventé et que toutes les 7 exigences sont couvertes — sinon il liste les manques.",
  "prompt_en": "**DSAR formatting — GDPR access request (Article 15)**\n\nWhen the DPO team provides you with a user's **raw data file** (CSV exports, JSON from various systems) to respond to an access request (Art. 15 GDPR), you MUST produce a formatted response respecting 7 requirements:\n\n1. **Requester identification**: confirm recipient (name, internal identifier anonymized in trace)\n2. **Data categories** (Art. 15.1.b): structure by category (identity, contact, contractual, behavioral, derived, third-party)\n3. **Processing purposes** (Art. 15.1.a): for each category, indicate purpose (sale, marketing, support, legal, etc.)\n4. **Retention durations** (Art. 15.1.d): specify for each category\n5. **Recipients** (Art. 15.1.c): subcontractors, international transfers if applicable\n6. **Derived data**: profiles, scores, segments — often forgotten but explicitly covered by Art. 15\n7. **No invention**: if a category is not in the raw file, DO NOT mention it or explicitly state \"not concerned\" — never extrapolate\n\nEnd of response: reminder of other rights (rectification Art. 16, erasure Art. 17, objection Art. 21, CNIL complaint).\n\n**Deliverables to produce**\n\n- **Formatted DSAR response** (Markdown or PDF per DPO):\n  ```\n  # Response to your personal data access request\n  Reference: <ticket_id> — Date: <date>\n  Recipient: <First Last>\n  \n  Pursuant to Article 15 of GDPR, here is all the personal data we hold about you:\n  \n  ## 1. Identity data\n  | Data | Value | Purpose | Duration | Source |\n  | ... | ... | ... | ... | ... |\n  \n  ## 2. Contact data\n  ...\n  \n  ## 3. Contractual data\n  ...\n  \n  ## 4. Behavioral data\n  ...\n  \n  ## 5. Derived data (profiles, scores, segments)\n  ...\n  \n  ## 6. Recipients (subcontractors, partners)\n  ...\n  \n  ## 7. Your other rights\n  - Rectification (Art. 16)\n  - Erasure (Art. 17) — cf. rgpd-erasure-trigger-n2\n  - Objection (Art. 21)\n  - CNIL complaint: `cnil.fr/plainte`\n  ```\n- **Compliance trace** (JSON-line):\n  `[RGPD_DSAR_RESPONSE] {\"ts\":\"<ISO8601>\",\"ticket_id\":\"<uuid>\",\"user_identifier\":\"<hash>\",\"categories_count\":<n>,\"data_points_count\":<n>,\"derived_data_included\":<bool>,\"third_party_recipients_disclosed\":<bool>,\"format\":\"<markdown|pdf>\",\"deadline_respected\":<bool>}`\n- **Final self-check**: before delivery to DPO, the agent confirms it invented nothing and all 7 requirements are covered — otherwise it lists gaps.",
  "langue_recommandee": "indifferent",
  "modeles_recommandes": ["claude-opus", "claude-sonnet", "gpt-5"],
  "source": {
    "auteur": "PromptSecOps",
    "organisation": "PromptSecOps",
    "url": "https://promptsecops.fr",
    "type": "editoriale"
  },
  "cumulable_avec": ["rgpd-erasure-trigger-n2", "pii-redaction-output-n2", "pii-output-filter-n2", "iso27002-data-retention-n2", "audit-log-query-n1"],
  "explication": "La **demande d'accès RGPD (Art. 15)** est un droit fondamental, et l'oubli d'une catégorie de données dans la réponse est une non-conformité fréquente : les **données dérivées** (profils marketing, scores de fidélité, segments) sont régulièrement omises alors qu'elles entrent explicitement dans le périmètre. Cette fiche industrialise le formattage à partir des données brutes fournies par le DPO — qualité homogène, exhaustivité par check-list, pas d'invention.\n\n**Quand l'utiliser :** au sein des outils DPO, agent dédié au traitement des demandes RGPD, ou intégration en backend de plateforme self-service RGPD. Particulièrement précieux pour les entreprises traitant un volume mensuel important de DSAR (e-commerce, fintech, télécoms).\n\n**Ce qu'il protège :** LLM02 (Sensitive Information Disclosure) — conformité RGPD Art. 15. Le pattern d'auto-vérification finale est crucial : il empêche les omissions silencieuses (« j'ai oublié les données dérivées ») et les inventions (« j'ai créé une catégorie qui n'existe pas dans les données brutes »). Au-delà de la conformité, c'est un investissement réputationnel : un utilisateur qui reçoit une réponse DSAR claire et complète gagne en confiance.",
  "installation": {
    "ou_quand": "À installer dans les outils DPO ou systèmes de traitement automatisé de demandes RGPD. Conditionnel par nature (chaque DSAR reçue est un déclencheur). Pas à mettre en chatbot client direct — c'est un outil pour le DPO, qui valide avant envoi.",
    "moments": ["projet-debut", "conditionnel"],
    "exemples": [
      {
        "contexte": "Outil DPO (assistant interne)",
        "instruction": "ChatGPT custom ou Claude Project « Assistant DPO ». Le DPO uploade le dossier brut, l'IA produit la réponse formattée. Le DPO relit, valide, envoie. Gain de temps : ~80 % du formattage manuel."
      },
      {
        "contexte": "Plateforme self-service RGPD",
        "instruction": "API backend qui orchestre : récupération des données brutes depuis les différents systèmes → formattage IA → relecture humaine (DPO ou automatisée si simple) → envoi à l'utilisateur. Particulièrement précieux pour les volumes >50 DSAR/mois."
      },
      {
        "contexte": "Cabinet d'avocat spécialisé en protection des données",
        "instruction": "Outil interne pour préparer les réponses DSAR pour les clients du cabinet. La rigueur du formattage protège le cabinet de sa responsabilité de conseil — auditable a posteriori en cas de contentieux."
      },
      {
        "contexte": "API B2B (SaaS RGPD)",
        "instruction": "Inclu dans le contrat de service. L'éditeur SaaS rend la conformité de ses clients plus simple en fournissant ce composant prêt à intégrer."
      }
    ]
  },
  "date_creation": "2026-05-22",
  "date_maj": "2026-05-22",
  "version": "1.0",
  "tokens_estimes": { "entree": 380, "sortie": null }
}