Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 29 avril 2026
Accueil/RGPD/Article 16 RGPD : le droit de rectification expliqué
RGPD

Article 16 RGPD : le droit de rectification expliqué

Article 16 RGPD : portée du droit de rectification, articulation avec l'exactitude (Art. 5(1)(d)), procédure, délais, sanctions CNIL. Guide pratique.

Par Thiebaut DevergrannePublie le 29 avril 2026Mis a jour le 29 avril 202613 min de lecture
Sommaire
  1. Ce que dit l’article 16 du RGPD
  2. Le lien avec le principe d’exactitude (Art. 5(1)(d))
  3. Quelles données peuvent faire l’objet d’une rectification ?
  4. La procédure de rectification en pratique
  5. Notification aux destinataires : l’obligation de l’Art. 19
  6. Articulation avec les autres droits
  7. Refus de rectification : sur quels motifs ?
  8. Les sanctions en cas de manquement
  9. Comment formaliser une procédure interne
  10. Cas particulier : la rectification des données de santé
  11. Ce qu’il faut retenir
  12. FAQ

Le droit de rectification est l’un des plus anciens droits du RGPD — il figurait déjà dans la directive 95/46 et dans la loi Informatique et Libertés de 1978. Pourtant, c’est aussi l’un des plus négligés en pratique : la CNIL le mentionne dans plus de 30 % de ses mises en demeure publiques sur les droits des personnes, généralement parce que la procédure interne n’a jamais été formalisée. Mal traité, il déclenche cascade : exactitude (Art. 5(1)(d)) compromise, droit d’accès (Art. 15) faussé, durées de conservation (Art. 5(1)(e)) inopérantes. Et l’amende, en cas de manquement caractérisé, relève du plafond haut de l’Art. 83(5)(b) — jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Ce que dit l’article 16 du RGPD

L’Art. 16 RGPD tient en deux phrases :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

Trois éléments à retenir de cette rédaction laconique : le droit s’exerce « dans les meilleurs délais », il couvre deux situations (inexactitude et caractère incomplet), et la complétion peut se faire par déclaration complémentaire — c’est-à-dire sans réécriture de la donnée d’origine.

Le lien avec le principe d’exactitude (Art. 5(1)(d))

L’Art. 16 ne fonctionne pas seul. Il est l’application individuelle d’une obligation collective posée par l’Art. 5(1)(d) du RGPD : les données doivent être « exactes et, si nécessaire, tenues à jour », et « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes (…) soient effacées ou rectifiées sans tarder ».

La conséquence pratique est essentielle : un responsable de traitement peut être sanctionné pour défaut d’exactitude même en l’absence de demande de rectification. La CNIL l’a rappelé dans la délibération SAN-2022-022 (Free Mobile) où la persistance de données erronées dans les systèmes de facturation, sans demande des clients, a constitué un manquement à l’Art. 5(1)(d). Le droit de rectification de l’Art. 16 est donc un droit individuel adossé à une obligation proactive.

Dans mon expérience de conseil auprès de PME, la confusion entre les deux est la première source d’erreur : les équipes attendent une demande pour corriger, alors que le RGPD impose une démarche active de qualité des données.

Quelles données peuvent faire l’objet d’une rectification ?

Le droit de rectification s’applique à toutes les données à caractère personnel, y compris :

  • Données factuelles erronées : adresse postale obsolète, date de naissance fausse, état civil incorrect, numéro SIRET d’un sous-traitant désuet.
  • Données partielles : un dossier client qui ne mentionne pas une réclamation antérieure, un dossier RH sans la dernière qualification professionnelle.
  • Données dérivées ou inférées : un score de risque calculé à partir de données obsolètes peut être contesté si la donnée source est elle-même inexacte (CJUE, C-26/22 et C-64/22, SCHUFA, 7 décembre 2023).
  • Données issues d’un traitement automatisé : c’est là que se joue l’articulation avec l’Art. 22 sur le profilage — la rectification de la donnée d’entrée doit entraîner le recalcul du profil.

En revanche, le droit de rectification ne couvre pas les opinions, appréciations ou jugements de valeur portés sur la personne. La CJUE l’a confirmé (CJUE, C-487/21, F.F. c/ Österreichische Datenschutzbehörde, 4 mai 2023) : ce qui est rectifiable, c’est la donnée objective ; pas l’analyse qu’en a faite un évaluateur. Une note de performance d’un salarié ne peut pas être contestée par la voie de l’Art. 16 — elle relève du droit du travail, pas du droit des données.

Le cas particulier des données générées par IA

L’arrivée des systèmes d’IA générative complique la donne. Lorsqu’un modèle de langage produit une information factuelle erronée sur une personne (« hallucination »), la CNIL et l’EDPB considèrent que cette sortie est une donnée personnelle relevant de l’Art. 16. La plainte NOYB c/ OpenAI (avril 2024) porte précisément sur cette question : ChatGPT inventait une date de naissance fausse pour le plaignant, et OpenAI répondait qu’il n’était pas possible de « rectifier » la sortie d’un modèle. Le débat n’est pas tranché, mais la position des autorités penche pour l’application du droit de rectification — y compris si cela impose au responsable de filtrer les sorties ou de réentraîner le modèle.

La procédure de rectification en pratique

L’Art. 12 RGPD gouverne les modalités d’exercice de tous les droits, y compris la rectification. Trois règles s’appliquent.

Délai de réponse : un mois, prorogeable de deux mois

Le délai de l’Art. 12(3) est d’un mois à compter de la réception de la demande. Il peut être prorogé de deux mois supplémentaires « compte tenu de la complexité et du nombre des demandes ». La prorogation doit être notifiée à la personne concernée dans le délai initial d’un mois, avec motivation.

Attention : le délai de l’Art. 12 est un plafond. L’Art. 16 lui-même impose une rectification « dans les meilleurs délais », ce qui signifie que pour une correction simple (changement d’adresse postale, par exemple), un mois est excessif. La CNIL attend en pratique une réponse sous 7 à 15 jours pour les corrections évidentes.

Forme de la demande : aucun formalisme

La demande peut être faite par tout moyen — courrier, e-mail, formulaire en ligne, oralement avec confirmation. Un responsable ne peut pas exiger un formulaire spécifique ou un envoi recommandé. La CNIL a sanctionné cette pratique dans la délibération SAN-2024-008 (SAF Logistics) où l’entreprise refusait les demandes envoyées par e-mail sans procédure interne, exigeant un courrier postal.

Vérification de l’identité

L’Art. 12(6) autorise le responsable à demander des informations supplémentaires pour confirmer l’identité du demandeur en cas de doute raisonnable. Mais attention : la CNIL répète régulièrement qu’on ne peut pas exiger une copie de pièce d’identité par défaut. La demande de pièce d’identité doit être proportionnée et motivée par un doute concret. La délibération SAN-2024-001 (Hubside) a sanctionné une entreprise qui exigeait systématiquement une pièce d’identité pour traiter les demandes de rectification.

Notification aux destinataires : l’obligation de l’Art. 19

C’est le point le plus oublié de l’Art. 16. L’Art. 19 RGPD impose au responsable de traitement de notifier toute rectification effectuée à chaque destinataire auquel les données ont été communiquées — sauf si cette notification se révèle impossible ou exige des efforts disproportionnés.

Concrètement, si vous transmettez vos données clients à un sous-traitant marketing, à un prestataire de paie ou à une plateforme de prospection, vous devez les informer de la rectification pour qu’ils mettent à jour leur copie. Sinon, la donnée erronée continue de circuler et l’objectif de l’Art. 16 est neutralisé.

Cette obligation impose dans la pratique de tenir à jour le registre des activités de traitement avec la liste des destinataires de chaque traitement. Sans registre opérationnel, l’Art. 19 est inapplicable. C’est l’une des raisons pour lesquelles la CNIL articule systématiquement les contrôles de droits des personnes avec les contrôles de registre.

Articulation avec les autres droits

Le droit de rectification s’inscrit dans un ensemble cohérent.

  • Droit d’accès (Art. 15) : la personne ne peut demander la rectification que si elle sait quelles données sont détenues. L’Art. 15 est donc l’antichambre logique de l’Art. 16. Une réponse incomplète à une demande d’accès empêche l’exercice effectif de la rectification — la CNIL le sanctionne au titre des deux articles cumulés.
  • Droit à la limitation (Art. 18) : pendant la vérification d’une demande de rectification, la personne peut exiger la limitation du traitement (Art. 18(1)(a)). Concrètement, les données contestées doivent être « gelées » — conservées sans être utilisées — le temps de l’instruction. C’est un mécanisme protecteur trop rarement mis en œuvre.
  • Droit à l’effacement (Art. 17) : si la donnée est inexacte ET que sa conservation n’est plus nécessaire, la personne peut demander l’effacement plutôt que la rectification. Les deux droits sont alternatifs, pas cumulatifs.
  • Droit d’opposition (Art. 21) : si la donnée est exacte mais que la personne s’oppose au traitement pour motifs légitimes, c’est l’Art. 21 qui s’applique, pas l’Art. 16.

Refus de rectification : sur quels motifs ?

Le RGPD ne prévoit pas de motifs explicites de refus du droit de rectification. Trois situations en pratique justifient un refus.

Premièrement, l’absence d’inexactitude établie. Si la personne affirme que la donnée est fausse mais qu’elle est en réalité exacte (et le responsable peut le démontrer), la rectification peut être refusée. Le responsable doit alors apporter la preuve de l’exactitude — la charge de la preuve lui incombe selon le principe d’accountability (Art. 5(2)).

Deuxièmement, la donnée n’est pas une donnée personnelle. Si l’élément contesté est une opinion, une appréciation ou un fait juridique constaté (la condamnation pénale officiellement enregistrée, par exemple), il échappe à la rectification.

Troisièmement, la demande est manifestement infondée ou excessive. L’Art. 12(5) permet de refuser dans ces cas, mais la CNIL interprète cette exception très strictement. Multiplier les demandes sur des données différentes ne suffit pas : il faut démontrer un caractère abusif ou répétitif sur la même donnée.

Dans tous les cas de refus, l’Art. 12(4) impose d’informer la personne du refus dans le délai d’un mois, en précisant les motifs et les voies de recours (réclamation auprès de la CNIL, recours juridictionnel).

Les sanctions en cas de manquement

Le non-respect du droit de rectification relève du plafond haut de l’Art. 83(5)(b) RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Quelques décisions CNIL marquantes :

  • SAN-2024-001 (Hubside) : 525 000 € d’amende, dont une part significative pour avoir bloqué l’exercice des droits de rectification par exigence systématique de pièce d’identité.
  • SAN-2022-022 (Free Mobile) : 300 000 € pour des inexactitudes persistantes dans les données de facturation — l’Art. 5(1)(d) sur l’exactitude était visé conjointement avec l’Art. 16.
  • SAN-2023-013 (Doctissimo) : sanction notamment fondée sur l’absence de procédure de traitement des demandes de rectification.
  • SAN-2024-008 (SAF Logistics) : 240 000 € pour, entre autres, un refus de traiter les demandes envoyées par e-mail.

Comment formaliser une procédure interne

Un protocole de rectification opérationnel comporte cinq étapes.

  1. Point de contact unique : adresse e-mail dédiée (typiquement donnees@entreprise.fr ou dpo@entreprise.fr) communiquée dans la politique de confidentialité, en bas de chaque mention d’information (Art. 13/14) et dans la signature des e-mails commerciaux. C’est ce que rappelle l’Art. 13 RGPD sur les mentions d’information.
  2. Accusé de réception sous 72 heures : non obligatoire, mais fortement recommandé par la CNIL. Il marque le point de départ du délai d’un mois et clarifie la démarche pour le demandeur.
  3. Vérification de l’identité proportionnée : pas de pièce d’identité par défaut. Vérification par croisement (numéro de client, e-mail enregistré, dernière commande) en première intention.
  4. Instruction de la demande : qualification de l’inexactitude alléguée, vérification dans les bases concernées, identification des destinataires (Art. 19), correction effective.
  5. Réponse motivée et notification aux destinataires : confirmation de la rectification ou refus motivé sous un mois, avec rappel des voies de recours. Notification écrite aux sous-traitants et destinataires identifiés.

C’est ce type de procédure que Legiscope automatise : centralisation des demandes, vérification d’identité, suivi des délais, notification automatique aux sous-traitants enregistrés au registre, génération du courrier de réponse motivée.

Cas particulier : la rectification des données de santé

Les données sensibles de l’Art. 9, notamment les données de santé, suivent des règles spécifiques. Le droit de rectification s’applique pleinement, mais avec deux nuances.

D’abord, dans le secteur médical, certaines mentions du dossier patient (diagnostic, observation médicale) ne peuvent être supprimées ou modifiées sans risque pour la traçabilité du soin — la rectification se fait alors par « déclaration complémentaire » (mention rectificative datée et signée), conformément au second alinéa de l’Art. 16.

Ensuite, le code de la santé publique (Art. L.1111-7) prévoit une procédure spécifique d’accès au dossier médical qui se combine avec le droit de rectification du RGPD. La CNIL a publié plusieurs recommandations sur l’articulation des deux régimes — c’est un point délicat pour les établissements de santé visés par NIS2 et le secteur sanitaire.

Ce qu’il faut retenir

  • L’Art. 16 RGPD consacre le droit de rectification des données inexactes ou incomplètes, dans les meilleurs délais et au plus tard sous un mois (Art. 12(3)).
  • Il s’articule avec l’Art. 5(1)(d) sur l’exactitude : le responsable doit corriger proactivement, même sans demande.
  • L’Art. 19 impose de notifier toute rectification aux destinataires des données — c’est le point le plus oublié.
  • Le droit ne couvre pas les opinions, appréciations ou jugements de valeur (CJUE, C-487/21).
  • En cas de manquement, sanction au titre de l’Art. 83(5)(b) : jusqu’à 20 M€ ou 4 % du CA mondial.
  • Une procédure interne formalisée (point de contact, accusé de réception, vérification d’identité proportionnée, notification aux destinataires) est indispensable et systématiquement contrôlée par la CNIL.

FAQ

Quel est le délai pour répondre à une demande de rectification ?

Un mois maximum à compter de la réception de la demande, en application de l’Art. 12(3) RGPD. Ce délai peut être prorogé de deux mois supplémentaires en cas de complexité, à condition de notifier la prorogation à la personne dans le délai initial. Pour une correction simple (changement d’adresse, par exemple), la CNIL attend une réponse beaucoup plus rapide — sous 7 à 15 jours en pratique.

Peut-on exiger une pièce d’identité pour traiter une demande de rectification ?

Non, pas systématiquement. L’Art. 12(6) autorise une vérification d’identité uniquement en cas de doute raisonnable, et la mesure doit être proportionnée. La CNIL a sanctionné plusieurs entreprises (notamment Hubside, SAN-2024-001) qui exigeaient une pièce d’identité par défaut. La vérification doit d’abord se faire par croisement d’éléments connus (numéro de compte, e-mail enregistré, dernière interaction).

Faut-il informer les sous-traitants de la rectification ?

Oui, c’est une obligation prévue par l’Art. 19 RGPD : toute rectification effectuée doit être notifiée à chaque destinataire auquel les données ont été communiquées, sauf si cette notification est impossible ou exige des efforts disproportionnés. Cette obligation suppose de tenir à jour la liste des destinataires dans le registre des activités de traitement.

Le droit de rectification s’applique-t-il aux données générées par une IA ?

Oui, selon la position dominante des autorités de contrôle. Lorsqu’un système d’IA produit une information factuelle erronée sur une personne, cette sortie est une donnée personnelle qui relève de l’Art. 16. La plainte NOYB c/ OpenAI (avril 2024) a précisément posé cette question pour les hallucinations de ChatGPT. Le débat technique sur la faisabilité de la rectification dans un modèle de langage n’est pas tranché, mais le droit s’applique.

Quelle est la différence entre droit de rectification et droit à l’effacement ?

Le droit de rectification (Art. 16) corrige une donnée inexacte sans la supprimer. Le droit à l’effacement (Art. 17) supprime la donnée dans les cas limitativement énumérés. Les deux droits sont alternatifs : si une donnée est inexacte et que sa conservation n’est plus nécessaire, la personne peut choisir l’effacement plutôt que la rectification. En cas d’inexactitude pure (donnée encore utile mais fausse), seule la rectification s’applique.

Articles lies

RGPD

Article 32 RGPD : sécurité du traitement décryptée

29 avril 2026 · 15 min
RGPD

Article 12 RGPD : modalités d'exercice des droits

28 avril 2026 · 16 min
RGPD

Article 17 RGPD : le droit à l'effacement décrypté

28 avril 2026 · 18 min