Droit à l'effacement des données : obligations RGPD, procédures et contrôle des autorités en 2025
2025-04-03
Sommaire
- Droit à l’effacement : dans quels cas peut-il être exercé ?
- Une priorité réglementaire en 2025 : contrôle coordonné des autorités
- Canaux de réception d’une demande d’effacement
- Étapes de traitement d’une demande d’effacement
- Délais réglementaires de réponse
- Documentation et traçabilité des demandes
- Conclusion
Le droit à l’effacement, aussi connu sous le nom de droit à l’oubli, est un droit fondamental garanti par l’article 17 du Règlement Général sur la Protection des Données (RGPD). Il permet à toute personne de demander la suppression de ses données personnelles, sous certaines conditions.
Ce droit vise à redonner aux individus la maîtrise de leurs données, en leur offrant la possibilité de faire effacer des informations devenues inutiles, inexactes, ou traitées de manière illicite. En 2025, il fait l’objet d’une action coordonnée des autorités de protection des données à l’échelle européenne, soulignant son importance stratégique pour les entreprises.
Dans cet article, découvrez :
- les conditions d’exercice du droit à l’effacement,
- les exceptions prévues par le RGPD,
- les modalités de traitement des demandes,
- les obligations de réponse des responsables de traitement,
- et les bonnes pratiques pour se conformer aux exigences de la CNIL et du CEPD.
Droit à l’effacement : dans quels cas peut-il être exercé ?
Conformément à l’article 17 du RGPD, les personnes concernées peuvent solliciter la suppression de leurs données personnelles lorsque l’un des cas suivants s’applique :
🗃️ Les données ne sont plus nécessaires au regard des finalités initiales du traitement.
❌ Le consentement a été retiré, sans qu’aucune autre base juridique ne justifie le traitement.
🚫 La personne s’oppose au traitement, et aucun intérêt légitime supérieur ne prévaut.
⚠️ Le traitement est illicite.
📋 Les données doivent être effacées pour se conformer à une obligation légale.
👶 Les données ont été collectées auprès d’un mineur dans le cadre de l’offre d’un service en ligne.
Exceptions prévues à l’article 17 §3 du RGPD :
L’effacement peut être refusé dans certains cas, notamment lorsque le traitement est nécessaire :
📰 A l’exercice du droit à la liberté d’expression et d’information ;
📜 Au respect d’une obligation légale ou à l’exécution d’une mission d’intérêt public ;
🏥 A des fins de santé publique ;
📂 A des fins archivistiques dans l’intérêt public, ou à des fins scientifiques, historiques ou statistiques ;
⚖️ A la constatation, l’exercice ou la défense de droits en justice.
Une priorité réglementaire en 2025 : contrôle coordonné des autorités
Le droit à l’effacement constitue le fondement de nombreuses réclamations : il représentait à lui seul 37 % des plaintes enregistrées par la CNIL en 2024.
En 2025, le CEPD a lancé une action coordonnée visant à évaluer la conformité des organismes publics et privés à l’article 17 du RGPD. Trente-deux autorités de protection des données, dont la CNIL, participent à cette initiative européenne d’envergure.
🔗 En savoir plus sur l’action du CEPD
Les entreprises doivent ainsi s’attendre à des vérifications ciblées sur leurs pratiques et procédures en matière de droit à l’effacement, avec des risques accrus de sanctions en cas de manquements.
Canaux de réception d’une demande d’effacement
Les responsables de traitement doivent permettre aux personnes concernées d’exercer leur droit par différents moyens :
📧 Courrier électronique via une adresse dédiée ;
🌐 Formulaire en ligne accessible sur le site web de l’organisme (optionnel, mais appréciable) ;
📬 Courrier postal adressé au service compétent.
La demande doit être rédigée de manière claire et compréhensible, en précisant l’identité du demandeur et les données concernées.
Étapes de traitement d’une demande d’effacement
Pour garantir une gestion conforme, les étapes suivantes sont recommandées :
📩 Réception et enregistrement de la demande dans le registre interne.
🔐 Vérification de l’identité du demandeur (avec demande d’informations complémentaires si nécessaire).
🔍 Analyse de la recevabilité de la demande au regard des critères définis par l’article 17 du RGPD.
🗑️ Effacement effectif des données dans tous les systèmes concernés, si la demande est jugée fondée.
📤 Notification des tiers auxquels les données ont été communiquées (conformément à l’article 19 du RGPD).
📧 Réponse formelle au demandeur, justifiant les actions mises en œuvre ou les motifs de refus.
Dans le cas où les données ont été rendues publiques, l’organisme doit, en tenant compte des moyens techniques disponibles, informer les autres responsables de traitement du retrait des données ou de tout lien, copie ou reproduction (article 17 §2 RGPD).
Délais réglementaires de réponse
Le responsable de traitement dispose d’un délai d’un mois maximum pour répondre à la demande.
Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de volume important, à condition d’en informer le demandeur dans le mois suivant la réception.
➡️ Consultez également notre schéma pratique des délais applicables à l’exercice des droits !
Documentation et traçabilité des demandes
Chaque demande d’effacement doit faire l’objet d’un enregistrement précis comprenant :
- La date de réception ;
- L’identité du demandeur ;
- Les catégories de données concernées ;
- La décision prise et sa justification ;
- La date de suppression effective ou de refus.
Une documentation rigoureuse permet au responsable de traitement de prouver sa conformité en cas de contrôle par la CNIL ou une autre autorité compétente.
Conclusion
Le droit à l’effacement constitue un levier important pour les personnes concernées, mais aussi un enjeu de conformité majeur pour les entreprises en 2025.
La mise en place de procédures claires, traçables et réactives pour gérer ces demandes est indispensable pour éviter les sanctions, démontrer sa responsabilité et maintenir un lien de confiance durable avec les clients, patients, usagers ou partenaires.
Autres articles susceptibles de vous intéresser :
- Exercice de droits : les délais de réponse en schéma !
- Comment valablement collecter le consentement d'une personne au traitement de ses données ?
- Qu'est-ce que l'anonymisation au sens du RGPD ?
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
