RGPD et CNIL : qu’est-ce que le droit à l’effacement ?
Le droit à l’effacement permet à toute personne de demander à une organisation de supprimer ses données personnelles. Ce droit est un impératif de la protection des données en Europe et repose sur des règles claires établies par le RGPD (Règlement Général sur la Protection des Données).
En France, la CNIL veille à l’application de ce droit et propose des lignes directrices pour aider les entreprises à se conformer.
💡 L’effacement des données et le droit à l’oubli regroupent les mêmes notions pour le RGPD.
🌐 Récap' : Respecter le RGPD et la CNIL dans le cadre d'une demande de droit à l'effacement des données personnelles
📋 Étapes clés | 🔑 Actions à réaliser |
---|---|
1. Recevoir et analyser la demande d'effacement |
|
2. Vérification de l'identité du demandeur |
|
3. Analyser les exceptions au droit à l’effacement |
|
4. Supprimer les données personnelles |
|
5. Informer la personne concernée |
|
6. Respecter les délais légaux |
|
7. Conserver l'email de demande et la réponse pour preuve |
|
8. Sanctions possibles en cas de non-respect |
|
9. Former et sensibiliser les équipes internes |
|
10. Documenter les procédures internes |
|
Définition du droit à la suppression des données : que dit le RGPD ?
Le RGPD, en vigueur depuis mai 2018, définit le droit à l’effacement dans son Article 17. Voici les points clés à connaître par les profils marketing et les Délégués à la Protection des Données :
- Qui peut exercer ce droit ?
Toute personne physique, à condition que les données concernées soient des données personnelles. - Dans quels cas peut-on demander l’effacement ? [visuel]
- Les données ne sont plus nécessaires pour l’objectif initial.
- Le consentement a été retiré.
- Les données ont été collectées ou traitées de manière illégale.
- La personne exerce son droit d’opposition, et il n’existe aucune raison légitime impérieuse pour continuer le traitement.
- Quels sont les types de données concernées ?
Toutes les informations permettant d’identifier directement ou indirectement une personne (nom, email, adresse IP, etc.).
💡A noter :
Le droit à l’effacement n’est pas absolu. Certaines exceptions s’appliquent, comme le respect d’une obligation légale ou la défense d’un droit en justice.
France : Quelles sont les spécificités de la CNIL liées à l’effacement des données personnelles
En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) joue un rôle clé dans l’application du droit à l’effacement. Voici ce qu’il faut savoir :
- Rôle de la CNIL :
- La CNIL accompagne les entreprises dans la mise en conformité.
- Elle fournit des guides pratiques, des modèles de réponse et des outils pour faciliter la gestion des demandes.
- Comment traiter une demande selon la CNIL ?
- Confirmer la réception de la demande dans un délai raisonnable.
- Vérifier l’identité de la personne pour éviter les abus.
- Exécuter la suppression des données dans un délai légal d’un mois (prolongation possible si la demande est complexe).
- Obligations supplémentaires :
- Notifier les sous-traitants concernés pour s’assurer que les données sont également supprimées chez eux.
- Conserver une preuve que la demande a été traitée, sans conserver les données supprimées.
Exemple de cas où vous devez anticiper des demandes de droit à l’oubli :
Une entreprise qui collecte des emails pour une newsletter doit supprimer l’email d’un utilisateur sur demande, mais aussi notifier son partenaire d’emailing pour qu’il fasse de même.

Que faire suite à une demande d’effacement des données personnelles ?
Quelles sont les types de données à supprimer ?
Lorsqu’une demande de suppression de données est reçue,vous devez identifier toutes les données concernées :
- Données personnelles directes :
- Nom, prénom, adresse email, numéro de téléphone, adresse postale.
- Données indirectes :
- Adresse IP, cookies, identifiants d’utilisateur, données comportementales (comme les historiques d’achat ou de navigation).
- Documents contenant des informations personnelles :
- Factures, contrats, rapports, pièces jointes.
- Copies et sauvegardes :
- Vérifiez les bases de données secondaires, les sauvegardes, ou tout outil qui pourrait stocker ces données de manière indirecte.
Les données possédées : Que devez-vous supprimer ?
Cochez les données que vous pensez devoir supprimer suite à une demande :
Localiser la data dans les outils
Pour supprimer correctement les données, il faut savoir où elles sont stockées.
Process pour localiser les données à supprimer :
- Dressez une liste des outils utilisés :
- CRM (ex. : Salesforce, HubSpot).
- Plateformes d’emailing.
- Bases de données internes.
- Applications SaaS ou ERP.
- Utilisez les outils de recherche intégrés :
La plupart des logiciels permettent de rechercher un utilisateur via son email, son ID ou son nom. - Identifiez les sauvegardes et archives :
Certaines données peuvent être conservées dans des archives automatiques. Prévoyez un processus pour les supprimer aussi. - N’oubliez pas les fichiers hors outils :
- Excel ou Google Sheets, parfois utilisés en parallèle des outils principaux.
Bonne pratique : Centralisez les informations sur un registre des traitements pour simplifier la localisation des données à l’avenir.
🔗 Aller au-delà des obligations légales : l’intérêt de mettre en place un double opt-in
Ne pas oublier de prévenir les sous-traitants et prestataires de la demande
Si vos données sont partagées avec des partenaires, vous devez les informer de la demande d’effacement :
- Identifiez vos sous-traitants :
- Fournisseurs de services d’emailing.
- Solutions de stockage dans le cloud.
- Agences ou partenaires ayant eu accès aux données.
- Envoyez-leur une notification :
- Expliquez qu’une demande d’effacement a été reçue.
- Fournissez les informations nécessaires pour identifier les données concernées.
- Assurez-vous qu’ils agissent :
- Vérifiez que l’effacement a bien été effectué.
- Demandez une confirmation écrite ou un rapport prouvant la suppression.
💡 Vous restez responsable en cas de non-respect par un prestataire. Assurez-vous d’avoir des clauses de conformité RGPD dans vos contrats.
🔗 Collecte de données, sécurité… Quelles sont les autres obligations légales des équipes marketing ?
Le rôle du DPO dans le cadre d’une demande d’effacement des données
Le Délégué à la Protection des Données (DPO) joue un rôle central dans le traitement des demandes d’effacement des données personnelles. Sa mission est de garantir que l’organisation respecte pleinement les exigences du RGPD tout en protégeant les droits des individus.
Les responsabilités du DPO :
- Être le point de contact principal : Le DPO est souvent le destinataire direct des demandes d’effacement. Il s’assure que celles-ci sont bien documentées et transmises aux équipes concernées.
- Vérifier la validité de la demande : Le DPO analyse si la demande remplit les conditions légales du RGPD, notamment en confirmant l’identité du demandeur et en évaluant les exceptions potentielles.
- Superviser la localisation des données : Il coordonne les actions pour identifier les données à effacer dans tous les systèmes et bases de données de l’entreprise, y compris chez les sous-traitants.
- Conformité et traçabilité : Le DPO s’assure que chaque étape du processus d’effacement est documentée pour garantir la conformité en cas de contrôle ou de litige.
- Former et sensibiliser : Le DPO forme régulièrement les équipes internes pour qu’elles comprennent les implications du droit à l’effacement et les bonnes pratiques à adopter.
Un rôle stratégique :
Le DPO ne se limite pas à un rôle opérationnel. Il agit également en tant que conseiller pour l’organisation. Il alerte sur les risques liés à la conservation excessive des données et veille à ce que des mesures techniques, comme l’automatisation de l’effacement ou la mise à jour des politiques de conservation, soient en place.

Comment valider une demande d’effacement ?
Vérifier l’identité du demandeur
Avant de procéder à l’effacement des données, assurez vous de l’identité de la personne qui fait la demande. Cette étape garantit que seules les personnes légitimes puissent exercer ce droit.
Quels documents demander ?
- Preuve d’identité : Une copie de pièce d’identité (carte d’identité, passeport) peut être exigée pour confirmer l’identité du demandeur.
- Email associé : Vérifiez que l’adresse email utilisée pour la demande correspond à celle enregistrée dans vos systèmes.
Points d’attention :
- Protection des données sensibles : Les documents fournis doivent être traités avec confidentialité et supprimés une fois la vérification effectuée.
- Clarté et transparence : Informez le demandeur des raisons pour lesquelles ces informations sont nécessaires et de la façon dont elles seront traitées.
Cas particuliers : quand les demandes sont spécifiques
Certaines demandes peuvent être effectuées par une autre personne que le titulaire des données. Ces cas nécessitent une vigilance accrue.
Représentant légal :
- Une demande peut être effectuée par un tuteur ou un représentant légal (par exemple, pour un mineur ou une personne sous tutelle).
- Documents nécessaires : Preuve d’identité du représentant légal et justification de son autorité (acte de naissance, jugement de tutelle).
Données d’un mineur :
- Les mineurs ont les mêmes droits que les adultes en matière de protection des données.
- Consentement parental : Si le mineur est en âge de donner son propre consentement (souvent à partir de 15 ans en France), il peut demander directement l’effacement. Sinon, la demande doit venir d’un parent ou tuteur.

Exemple de procédure : formulaire dédié ou demande par email
Mettre en place une procédure claire et accessible facilite le traitement des demandes et réduit les risques d’erreurs.
Quelle procédure adopter ?
- Formulaire en ligne :
- Un formulaire dédié sur votre site web permet aux utilisateurs de détailler leur demande.
- Incluez des champs obligatoires comme le nom, l’adresse email, et une option pour joindre une preuve d’identité.
- Demande par email :
- Fournissez une adresse email spécifique (ex. : privacy@votreentreprise.com) pour ces demandes.
- Indiquez dans la réponse automatique les étapes à suivre et les documents nécessaires.
Avantages d’un formulaire dédié :
- Standardisation des demandes.
- Gain de temps pour les équipes traitantes.
- Réduction des oublis d’informations importantes.
Exemple de formulaire en ligne pour facilier les demandes de droit à l’oubli :
Copier le code HTML
Attention : Pour envoyer une demande de droit à l’oubli à Mindbaz, passez par ce formulaire de contact.
Quels sont les délais et obligations à respecter ?
Délais légaux : en combien de temps dois-je supprimer les données ?
Le Règlement Général sur la Protection des Données (RGPD) impose un délai strict pour répondre aux demandes d’effacement des données personnelles :
- Délai de réponse : Une fois la demande d’effacement reçue, vous devez répondre dans un délai de 1 mois. Ce délai peut être prolongé de 2 mois supplémentaires si la demande est complexe ou si vous avez reçu plusieurs demandes.
- Cas de prolongation : Si le délai doit être prolongé, vous devez informer la personne concernée de ce retard dans le mois suivant la demande initiale.
- Exceptions : Certaines exceptions peuvent prolonger ou rendre impossible l’effacement des données (par exemple, pour respecter une obligation légale ou pour l’exercice de droits en justice).
Points clés :
- 1 mois pour répondre (en général)
- Prolongation possible jusqu’à 3 mois en cas de complexité
- Information de l’utilisateur en cas de prolongation
🔗 Lutte contre le spam : Le partenariat Orange / Abusix expliqué
Communication : Informer la personne de l’état d’avancement
Maintenez une bonne communication avec la personne ayant fait la demande d’effacement des données. Les bonnes pratiques de communication à suivre :
- Accusé de réception : Dès la réception de la demande, informez la personne concernée que vous avez bien pris en compte sa demande d’effacement.
- État d’avancement : Si vous avez besoin de plus de temps (par exemple, si la demande est complexe ou si vous devez vérifier l’identité du demandeur), tenez la personne informée du statut de la demande.
- Confirmation d’effacement : Une fois les données effacées, envoyez une notification ou un email confirmant l’action réalisée. Mentionnez explicitement que les données ont été supprimées, sauf si une exception légale les empêche.

Que risque-t-on en cas de non-respect des demandes d’effacement ?
Quels sont les montants des amendes du RGPD
Le non-respect des demandes d’effacement des données personnelles peut entraîner des amendes sévères sous le régime du RGPD. Voici les principaux montants à connaître :
- Amende maximale : Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé des deux.
- Amende pour non-respect du droit à l’effacement : Si une entreprise ne respecte pas une demande d’effacement, l’amende peut être appliquée en fonction de la gravité de la violation, de l’intention de l’entreprise et des conséquences pour les personnes concernées.
Points clés :
- 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial : amende maximale
- Amendes ajustées selon la gravité de l’infraction
Exemples d’amendes du RGPD et de la CNIL
La CNIL et le RGPD mettent régulièrement leurs menaces à exécutions. Les sanctions sont communiquées et partagées. Voici quelques exemples concrets d’amendes infligées en raison du non-respect des obligations du RGPD, notamment en ce qui concerne l’effacement des données:
- Google (2019) : Google a été condamné par la CNIL à une amende de 50 millions d’euros pour ne pas avoir respecté les règles de consentement et de transparence, bien que cela ne concerne pas directement l’effacement des données. Cependant, cet exemple montre l’importance de respecter les droits des utilisateurs, y compris leur droit à l’effacement.
- H&M (2020) : H&M a été condamné à une amende de 35,3 millions d’euros pour avoir collecté et conservé des informations personnelles de manière excessive, sans respecter le droit des employés à l’effacement de leurs données.
- Clearview AI (2022) : La CNIL a ordonné à Clearview AI de supprimer les données collectées illégalement et lui a imposé une amende de 20 millions d’euros pour la collecte non autorisée de données biométriques.
Exemple de demande de droit à l’effacement
Objet : Demande de suppression de mes données personnelles
Madame, Monsieur,
Conformément à l’article 17 du RGPD, je souhaite exercer mon droit à l’effacement concernant les données personnelles que vous détenez à mon sujet.
Veuillez confirmer par retour d’email que ma demande a été traitée.
Cordialement,
[Nom complet, email associé, preuve d’identité]
Exemple d'email de réponse suite à une demande d'effacement des données personnelles
Objet : Réponse à votre demande d'effacement de données personnelles
Bonjour [Prénom],
Nous avons bien pris en compte votre demande de suppression des données personnelles vous concernant.
Nous vous informons que, conformément aux dispositions du RGPD, toutes les données suivantes ont été supprimées de nos systèmes :
- [Liste des données supprimées]
Néanmoins, certaines informations ont été conservées, conformément aux exceptions prévues par la loi, notamment :
- [Exemples d'exceptions]
Vous pouvez nous contacter pour toute question supplémentaire.
Cordialement,
[Nom de l'entreprise]
[Coordonnées de l'entreprise]
Quiz : Avez-vous compris le droit à l'effacement des données ?
Voir le résumé des bonnes pratiquesNous ne collectons pas les informations renseignées dans les quiz de cet article ✅
Source : CNIL | Comprendre mes droits