Comment respecter et appliquer les demandes d’effacement des données ?

Fév 28, 2025

RGPD et CNIL : qu’est-ce que le droit à l’effacement ?

Le droit à l’effacement permet à toute personne de demander à une organisation de supprimer ses données personnelles. Ce droit est un impératif de la protection des données en Europe et repose sur des règles claires établies par le RGPD (Règlement Général sur la Protection des Données).

En France, la CNIL veille à l’application de ce droit et propose des lignes directrices pour aider les entreprises à se conformer.

💡 L’effacement des données et le droit à l’oubli regroupent les mêmes notions pour le RGPD. 

🌐 Récap' : Respecter le RGPD et la CNIL dans le cadre d'une demande de droit à l'effacement des données personnelles

📋 Étapes clés🔑 Actions à réaliser
1. Recevoir et analyser la demande d'effacement
  • Vérifier la validité de la demande (personne concernée ou représentant légal) 📝
  • Identifier les données personnelles concernées 🔍
2. Vérification de l'identité du demandeur
  • Demander une preuve d'identité (ex. : pièce d'identité, email associé) 🆔
  • Confirmer que la demande provient bien de la personne concernée 🔒
3. Analyser les exceptions au droit à l’effacement
  • Vérifier si des exceptions légales s'appliquent, comme les obligations légales 📜
  • Conserver certaines données si nécessaire 🗃️
4. Supprimer les données personnelles
  • Supprimer les données demandées, sauf si une exception légale s'applique 🗑️
  • Vérifier dans tous les outils utilisés (CRM, bases de données, etc.) 💻
  • Inclure sous-traitants et prestataires dans le processus de suppression 🔄
5. Informer la personne concernée
  • Envoyer un email de réponse sur les données supprimées 📧
  • Indiquer les raisons en cas d'impossibilité de suppression 🚫
6. Respecter les délais légaux
  • Répondre sous un délai de 1 mois ⏳
  • Prolongation possible de 2 mois en cas de demande complexe ⚠️
7. Conserver l'email de demande et la réponse pour preuve
  • Conserver une copie de la demande d’effacement et de la réponse pour prouver que le processus a été respecté 📂
8. Sanctions possibles en cas de non-respect
  • Se préparer à des amendes de la CNIL pouvant atteindre 20 millions d'euros ou 4% du chiffre d’affaires annuel mondial 💸
9. Former et sensibiliser les équipes internes
  • Former les équipes sur le respect du RGPD et la gestion des demandes d'effacement 👩‍🏫
  • Sensibiliser sur les exceptions et bonnes pratiques 📚
10. Documenter les procédures internes
  • Mettre en place des procédures écrites et les documenter 📑

Définition du droit à la suppression des données : que dit le RGPD ?

Le RGPD, en vigueur depuis mai 2018, définit le droit à l’effacement dans son Article 17. Voici les points clés à connaître par les profils marketing et les Délégués à la Protection des Données :

  • Qui peut exercer ce droit ?
    Toute personne physique, à condition que les données concernées soient des données personnelles.

     

  • Dans quels cas peut-on demander l’effacement ? [visuel]
    1. Les données ne sont plus nécessaires pour l’objectif initial.
    2. Le consentement a été retiré.
    3. Les données ont été collectées ou traitées de manière illégale.
    4. La personne exerce son droit d’opposition, et il n’existe aucune raison légitime impérieuse pour continuer le traitement.

       

  • Quels sont les types de données concernées ?
    Toutes les informations permettant d’identifier directement ou indirectement une personne (nom, email, adresse IP, etc.).

💡A noter :
Le droit à l’effacement n’est pas absolu. Certaines exceptions s’appliquent, comme le respect d’une obligation légale ou la défense d’un droit en justice.

France : Quelles sont les spécificités de la CNIL liées à l’effacement des données personnelles

En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) joue un rôle clé dans l’application du droit à l’effacement. Voici ce qu’il faut savoir :

  • Rôle de la CNIL :
    • La CNIL accompagne les entreprises dans la mise en conformité.
    • Elle fournit des guides pratiques, des modèles de réponse et des outils pour faciliter la gestion des demandes.
  • Comment traiter une demande selon la CNIL ?
    • Confirmer la réception de la demande dans un délai raisonnable.
    • Vérifier l’identité de la personne pour éviter les abus.
    • Exécuter la suppression des données dans un délai légal d’un mois (prolongation possible si la demande est complexe).
  • Obligations supplémentaires :
    • Notifier les sous-traitants concernés pour s’assurer que les données sont également supprimées chez eux.
    • Conserver une preuve que la demande a été traitée, sans conserver les données supprimées.

Exemple de cas où vous devez anticiper des demandes de droit à l’oubli :
Une entreprise qui collecte des emails pour une newsletter doit supprimer l’email d’un utilisateur sur demande, mais aussi notifier son partenaire d’emailing pour qu’il fasse de même.

anticiper_regles_droit_oubli_rgpd_conseils_mindbaz

Que faire suite à une demande d’effacement des données personnelles ?

Quelles sont les types de données à supprimer ?

Lorsqu’une demande de suppression de données est reçue,vous devez identifier toutes les données concernées :

  • Données personnelles directes :
    • Nom, prénom, adresse email, numéro de téléphone, adresse postale.
  • Données indirectes :
    • Adresse IP, cookies, identifiants d’utilisateur, données comportementales (comme les historiques d’achat ou de navigation).
  • Documents contenant des informations personnelles :
    • Factures, contrats, rapports, pièces jointes.
  • Copies et sauvegardes :
    • Vérifiez les bases de données secondaires, les sauvegardes, ou tout outil qui pourrait stocker ces données de manière indirecte.

Les données possédées : Que devez-vous supprimer ?

Cochez les données que vous pensez devoir supprimer suite à une demande :

Localiser la data dans les outils

Pour supprimer correctement les données, il faut savoir où elles sont stockées. 

Process pour localiser les données à supprimer : 

  1. Dressez une liste des outils utilisés :
    • CRM (ex. : Salesforce, HubSpot).
    • Plateformes d’emailing.
    • Bases de données internes.
    • Applications SaaS ou ERP.
  2. Utilisez les outils de recherche intégrés :
    La plupart des logiciels permettent de rechercher un utilisateur via son email, son ID ou son nom.
  3. Identifiez les sauvegardes et archives :
    Certaines données peuvent être conservées dans des archives automatiques. Prévoyez un processus pour les supprimer aussi.
  4. N’oubliez pas les fichiers hors outils :
    • Excel ou Google Sheets, parfois utilisés en parallèle des outils principaux.

Bonne pratique : Centralisez les informations sur un registre des traitements pour simplifier la localisation des données à l’avenir.

🔗 Aller au-delà des obligations légales : l’intérêt de mettre en place un double opt-in

Ne pas oublier de prévenir les sous-traitants et prestataires de la demande

Si vos données sont partagées avec des partenaires, vous devez les informer de la demande d’effacement :

  1. Identifiez vos sous-traitants :
    • Fournisseurs de services d’emailing.
    • Solutions de stockage dans le cloud.
    • Agences ou partenaires ayant eu accès aux données.
  2. Envoyez-leur une notification :
    • Expliquez qu’une demande d’effacement a été reçue.
    • Fournissez les informations nécessaires pour identifier les données concernées.
  3. Assurez-vous qu’ils agissent :
    • Vérifiez que l’effacement a bien été effectué.
    • Demandez une confirmation écrite ou un rapport prouvant la suppression.

💡 Vous restez responsable en cas de non-respect par un prestataire. Assurez-vous d’avoir des clauses de conformité RGPD dans vos contrats.

🔗 Collecte de données, sécurité… Quelles sont les autres obligations légales des équipes marketing ?

Le rôle du DPO dans le cadre d’une demande d’effacement des données

Le Délégué à la Protection des Données (DPO) joue un rôle central dans le traitement des demandes d’effacement des données personnelles. Sa mission est de garantir que l’organisation respecte pleinement les exigences du RGPD tout en protégeant les droits des individus.

Les responsabilités du DPO :

  1. Être le point de contact principal : Le DPO est souvent le destinataire direct des demandes d’effacement. Il s’assure que celles-ci sont bien documentées et transmises aux équipes concernées.
  2. Vérifier la validité de la demande : Le DPO analyse si la demande remplit les conditions légales du RGPD, notamment en confirmant l’identité du demandeur et en évaluant les exceptions potentielles.
  3. Superviser la localisation des données : Il coordonne les actions pour identifier les données à effacer dans tous les systèmes et bases de données de l’entreprise, y compris chez les sous-traitants.
  4. Conformité et traçabilité : Le DPO s’assure que chaque étape du processus d’effacement est documentée pour garantir la conformité en cas de contrôle ou de litige.
  5. Former et sensibiliser : Le DPO forme régulièrement les équipes internes pour qu’elles comprennent les implications du droit à l’effacement et les bonnes pratiques à adopter.

Un rôle stratégique :

Le DPO ne se limite pas à un rôle opérationnel. Il agit également en tant que conseiller pour l’organisation. Il alerte sur les risques liés à la conservation excessive des données et veille à ce que des mesures techniques, comme l’automatisation de l’effacement ou la mise à jour des politiques de conservation, soient en place.

delegue_protection_dpo_droit_oubli_donnees_personnelles_rgpd_conseils_mindbaz

Comment valider une demande d’effacement ?

Vérifier l’identité du demandeur

Avant de procéder à l’effacement des données, assurez vous de l’identité de la personne qui fait la demande. Cette étape garantit que seules les personnes légitimes puissent exercer ce droit.

Quels documents demander ?

  • Preuve d’identité : Une copie de pièce d’identité (carte d’identité, passeport) peut être exigée pour confirmer l’identité du demandeur.
  • Email associé : Vérifiez que l’adresse email utilisée pour la demande correspond à celle enregistrée dans vos systèmes.

Points d’attention :

  • Protection des données sensibles : Les documents fournis doivent être traités avec confidentialité et supprimés une fois la vérification effectuée.
  • Clarté et transparence : Informez le demandeur des raisons pour lesquelles ces informations sont nécessaires et de la façon dont elles seront traitées.

Cas particuliers : quand les demandes sont spécifiques

Certaines demandes peuvent être effectuées par une autre personne que le titulaire des données. Ces cas nécessitent une vigilance accrue.

Représentant légal :

  • Une demande peut être effectuée par un tuteur ou un représentant légal (par exemple, pour un mineur ou une personne sous tutelle).
  • Documents nécessaires : Preuve d’identité du représentant légal et justification de son autorité (acte de naissance, jugement de tutelle).

Données d’un mineur :

  • Les mineurs ont les mêmes droits que les adultes en matière de protection des données.
  • Consentement parental : Si le mineur est en âge de donner son propre consentement (souvent à partir de 15 ans en France), il peut demander directement l’effacement. Sinon, la demande doit venir d’un parent ou tuteur.
limites_droit_effacement_donnees_personnelles_rgpd_conseils_mindbaz

Exemple de procédure : formulaire dédié ou demande par email

Mettre en place une procédure claire et accessible facilite le traitement des demandes et réduit les risques d’erreurs.

Quelle procédure adopter ?

  1. Formulaire en ligne :
    • Un formulaire dédié sur votre site web permet aux utilisateurs de détailler leur demande.
    • Incluez des champs obligatoires comme le nom, l’adresse email, et une option pour joindre une preuve d’identité.
  2. Demande par email :
    • Fournissez une adresse email spécifique (ex. : privacy@votreentreprise.com) pour ces demandes.
    • Indiquez dans la réponse automatique les étapes à suivre et les documents nécessaires.

Avantages d’un formulaire dédié :

  • Standardisation des demandes.
  • Gain de temps pour les équipes traitantes.
  • Réduction des oublis d’informations importantes.

Exemple de formulaire en ligne pour facilier les demandes de droit à l’oubli : 

Demande d'effacement des données

Veuillez remplir ce formulaire pour demander l'effacement de vos données personnelles.







Formats acceptés : JPG, PNG, PDF. Taille maximale : 2 Mo.





Copier le code HTML

Attention : Pour envoyer une demande de droit à l’oubli à Mindbaz, passez par ce formulaire de contact.

Quels sont les délais et obligations à respecter ?

Délais légaux : en combien de temps dois-je supprimer les données ?

Le Règlement Général sur la Protection des Données (RGPD) impose un délai strict pour répondre aux demandes d’effacement des données personnelles :

  • Délai de réponse : Une fois la demande d’effacement reçue, vous devez répondre dans un délai de 1 mois. Ce délai peut être prolongé de 2 mois supplémentaires si la demande est complexe ou si vous avez reçu plusieurs demandes.
  • Cas de prolongation : Si le délai doit être prolongé, vous devez informer la personne concernée de ce retard dans le mois suivant la demande initiale.
  • Exceptions : Certaines exceptions peuvent prolonger ou rendre impossible l’effacement des données (par exemple, pour respecter une obligation légale ou pour l’exercice de droits en justice).

Points clés :

  • 1 mois pour répondre (en général)
  • Prolongation possible jusqu’à 3 mois en cas de complexité
  • Information de l’utilisateur en cas de prolongation

🔗 Lutte contre le spam : Le partenariat Orange / Abusix expliqué

Communication : Informer la personne de l’état d’avancement

Maintenez une bonne communication avec la personne ayant fait la demande d’effacement des données. Les bonnes pratiques de communication à suivre :

  • Accusé de réception : Dès la réception de la demande, informez la personne concernée que vous avez bien pris en compte sa demande d’effacement.
  • État d’avancement : Si vous avez besoin de plus de temps (par exemple, si la demande est complexe ou si vous devez vérifier l’identité du demandeur), tenez la personne informée du statut de la demande.
  • Confirmation d’effacement : Une fois les données effacées, envoyez une notification ou un email confirmant l’action réalisée. Mentionnez explicitement que les données ont été supprimées, sauf si une exception légale les empêche.
communication_droit_oubli_donnees_personnelles_rgpd_conseils_mindbaz

Que risque-t-on en cas de non-respect des demandes d’effacement ?

Quels sont les montants des amendes du RGPD 

Le non-respect des demandes d’effacement des données personnelles peut entraîner des amendes sévères sous le régime du RGPD. Voici les principaux montants à connaître :

  • Amende maximale : Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé des deux.
  • Amende pour non-respect du droit à l’effacement : Si une entreprise ne respecte pas une demande d’effacement, l’amende peut être appliquée en fonction de la gravité de la violation, de l’intention de l’entreprise et des conséquences pour les personnes concernées.

Points clés :

  • 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial : amende maximale
  • Amendes ajustées selon la gravité de l’infraction

reglement_europeen_droit_oubli_donnees_personnelles_rgpd_conseils_mindbaz

Exemples d’amendes du RGPD et de la CNIL

La CNIL et le RGPD mettent régulièrement leurs menaces à exécutions. Les sanctions sont communiquées et partagées. Voici quelques exemples concrets d’amendes infligées en raison du non-respect des obligations du RGPD, notamment en ce qui concerne l’effacement des données:

  1. Google (2019) : Google a été condamné par la CNIL à une amende de 50 millions d’euros pour ne pas avoir respecté les règles de consentement et de transparence, bien que cela ne concerne pas directement l’effacement des données. Cependant, cet exemple montre l’importance de respecter les droits des utilisateurs, y compris leur droit à l’effacement.
    • H&M (2020) : H&M a été condamné à une amende de 35,3 millions d’euros pour avoir collecté et conservé des informations personnelles de manière excessive, sans respecter le droit des employés à l’effacement de leurs données.
      • Clearview AI (2022) : La CNIL a ordonné à Clearview AI de supprimer les données collectées illégalement et lui a imposé une amende de 20 millions d’euros pour la collecte non autorisée de données biométriques.

        Exemple de demande de droit à l’effacement

        Objet : Demande de suppression de mes données personnelles  

        Madame, Monsieur,  

        Conformément à l’article 17 du RGPD, je souhaite exercer mon droit à l’effacement concernant les données personnelles que vous détenez à mon sujet.  

        Veuillez confirmer par retour d’email que ma demande a été traitée.  

        Cordialement,  

        [Nom complet, email associé, preuve d’identité]  

        Exemple d'email de réponse
        Quiz : Avez-vous compris le droit à l'effacement des données ?

        Quiz : Avez-vous compris le droit à l'effacement des données ?

        1️⃣ Qu'est-ce que le droit à l'effacement ?

        2️⃣ Qui peut exercer le droit à l'effacement ?

        3️⃣ Quel est le délai pour effacer des données ?

        4️⃣ Quelles données peuvent être effacées ?

        5️⃣ Quel droit est lié à l'effacement des données ?

        6️⃣ Qui doit répondre aux demandes d'effacement ?

        7️⃣ Quelles conséquences si la demande d'effacement est refusée ?

        8️⃣ Quelles données ne peuvent pas être effacées ?

        Voir le résumé des bonnes pratiques

        Nous ne collectons pas les informations renseignées dans les quiz de cet article

        Source  : CNIL | Comprendre mes droits