Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 1 mai 2026
Accueil/RGPD/Article 18 RGPD : le droit à la limitation décrypté
RGPD

Article 18 RGPD : le droit à la limitation décrypté

Article 18 RGPD : 4 cas d'ouverture du droit à la limitation, mise en œuvre technique, articulation avec rectification et opposition, sanctions CNIL.

Par Thiebaut DevergrannePublie le 1 mai 2026Mis a jour le 1 mai 202615 min de lecture
Sommaire
  1. Ce que dit l’article 18 du RGPD
  2. Quatre cas d’ouverture, quatre logiques différentes
  3. Que signifie concrètement « limiter » un traitement ?
  4. L’obligation de notification aux destinataires (Art. 19)
  5. La procédure d’exercice : règles communes de l’Art. 12
  6. Information avant levée de la limitation : l’Art. 18(3)
  7. Articulation avec les autres droits
  8. Les sanctions en cas de manquement
  9. Comment formaliser une procédure interne opérationnelle
  10. Le cas particulier de la prospection commerciale
  11. Ce qu’il faut retenir
  12. FAQ

Le droit à la limitation du traitement est probablement le moins compris des droits des personnes consacrés par le RGPD. Mal nommé en français — on devrait plutôt parler de « gel » du traitement —, il intervient dans des situations très précises où la personne ne demande ni la suppression ni la rectification, mais une mise sous cloche temporaire des données. Pourtant, lorsque la CNIL contrôle la procédure des droits des personnes, elle vérifie systématiquement la capacité du responsable de traitement à activer cette limitation. Et l’absence de mécanisme opérationnel pour la mettre en œuvre est une cause récurrente de manquement, sanctionnable au titre du plafond haut de l’Art. 83(5)(b) — jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Ce que dit l’article 18 du RGPD

L’Art. 18(1) RGPD énonce quatre situations dans lesquelles la personne concernée peut obtenir la limitation du traitement :

« a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données ; b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ; c) le responsable du traitement n’a plus besoin des données aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ; d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée. »

L’Art. 18(2) précise les effets de la limitation : les données limitées « ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public ».

L’Art. 18(3) ajoute une obligation procédurale : avant de lever la limitation, le responsable doit en informer la personne concernée.

Quatre cas d’ouverture, quatre logiques différentes

Chacun des quatre cas de l’Art. 18(1) répond à une logique distincte. Les confondre conduit à appliquer la mauvaise procédure.

Cas 1 : la limitation pendant la vérification d’exactitude

C’est l’articulation directe avec l’Art. 16 RGPD sur le droit de rectification. Quand une personne conteste l’exactitude d’une donnée, le RGPD ne lui demande pas d’attendre patiemment la fin de l’instruction : elle peut exiger que la donnée contestée soit gelée le temps de la vérification. Concrètement, pendant que le responsable instruit la demande de rectification, il ne peut plus utiliser la donnée — ni pour adresser un courrier, ni pour calculer un score, ni pour transmettre à un sous-traitant.

Dans mon expérience de conseil auprès de PME, ce mécanisme est presque toujours absent des procédures internes. Les équipes traitent la demande de rectification en plusieurs jours, voire plusieurs semaines, sans suspendre l’usage de la donnée contestée. C’est un manquement caractérisé.

Cas 2 : le traitement illicite avec refus d’effacement

Ce cas est plus rare mais important sur le plan stratégique. Lorsqu’un traitement est illicite — par exemple, données collectées sans base légale valable au sens de l’Art. 6 RGPD — la conséquence normale serait l’effacement (Art. 17(1)(d)). Mais la personne peut préférer la limitation. Pourquoi ? Pour préserver la preuve du manquement en vue d’une action en réparation au titre de l’Art. 82, ou pour pouvoir produire les données dans une procédure ultérieure. La limitation devient alors un outil contentieux.

Cas 3 : la conservation pour la défense de droits en justice

Symétriquement, le responsable peut souhaiter supprimer des données dont il n’a plus l’usage, mais la personne concernée peut avoir besoin qu’elles soient conservées pour faire valoir ses droits. Exemples : un ancien salarié qui prépare une action prud’homale et veut conserver l’accès à son dossier RH ; un client en litige qui souhaite préserver l’historique de ses commandes pour étayer sa demande. Dans ces situations, la limitation se substitue à l’effacement automatique en fin de durée de conservation.

Cas 4 : la limitation pendant l’instruction d’une opposition

Lorsque la personne exerce son droit d’opposition au titre de l’Art. 21, le responsable doit examiner si ses « motifs légitimes » prévalent sur ceux du demandeur. Pendant cet examen, le traitement doit être suspendu — sauf cas exceptionnels énumérés par l’Art. 18(2). C’est un point que la CNIL contrôle particulièrement dans les dossiers de prospection commerciale : la simple opposition à un envoi marketing déclenche une obligation de gel immédiat, pas une « mise en file d’attente » jusqu’à instruction.

Que signifie concrètement « limiter » un traitement ?

Le RGPD définit la limitation à l’Art. 4(3) comme « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ». Le considérant 67 précise les méthodes acceptables :

  • transfert temporaire vers un autre système de traitement ;
  • indisponibilité auprès des utilisateurs (verrouillage d’accès) ;
  • retrait temporaire d’un site web ;
  • ou « tout autre moyen technique permettant de garantir » que les données limitées ne pourront pas faire l’objet d’autres opérations de traitement.

En pratique, trois approches techniques se rencontrent en entreprise.

Le drapeau (« flag ») dans le système : le plus courant. Un attribut « limited » est ajouté à l’enregistrement, et toutes les requêtes applicatives doivent intégrer un filtre excluant les données ainsi marquées. C’est efficace si — et seulement si — toutes les briques applicatives respectent le filtre. Une exception oubliée (un export Excel manuel, une requête de reporting, un sous-traitant marketing branché en API) suffit à neutraliser la mesure.

Le déplacement vers une zone dédiée : la donnée est extraite de la base de production et placée dans une zone d’archivage à accès restreint. Plus robuste techniquement, mais coûteux et difficile à inverser si la limitation est levée.

Le verrouillage par chiffrement : la donnée est conservée chiffrée, sans accès opérationnel possible. C’est l’approche la plus sécurisée, recommandée pour les données sensibles de l’Art. 9.

L’obligation de notification aux destinataires (Art. 19)

C’est le point régulièrement omis. L’Art. 19 RGPD impose au responsable de traitement de notifier toute limitation effectuée à chaque destinataire auquel les données ont été communiquées — sauf si cette notification se révèle impossible ou exige des efforts disproportionnés.

Concrètement : si vos données clients ont été transmises à un prestataire de prospection, à un courtier de données ou à un sous-traitant analytics, vous devez les informer de la limitation pour qu’ils suspendent eux aussi le traitement. Sans cette notification, la donnée gelée chez vous continue d’être exploitée ailleurs, et l’objectif de l’Art. 18 est neutralisé.

Cette obligation suppose de tenir à jour le registre des activités de traitement avec la liste exhaustive des destinataires de chaque flux. C’est l’une des raisons pour lesquelles la CNIL articule systématiquement les contrôles de droits des personnes avec les contrôles de registre — sans registre opérationnel, l’Art. 19 est inapplicable et la limitation perd son effet utile.

La procédure d’exercice : règles communes de l’Art. 12

Comme tous les droits des personnes, le droit à la limitation est gouverné par les modalités procédurales de l’Art. 12 RGPD.

Délai de réponse : un mois, prorogeable de deux mois

L’Art. 12(3) impose une réponse dans le délai d’un mois à compter de la réception de la demande. La prorogation de deux mois est possible en cas de complexité, à condition d’être notifiée à la personne dans le délai initial. Mais attention : pour la limitation, ce délai d’un mois est trompeur. Lorsque la personne demande la limitation pour vérification d’exactitude (cas 1), la limitation doit être mise en œuvre immédiatement, même si la réponse formelle intervient sous un mois. Sinon, le mécanisme protecteur n’a aucun sens — la donnée contestée continuerait d’être utilisée pendant l’instruction.

Forme de la demande : aucun formalisme

La demande peut être faite par tout moyen — courrier, e-mail, formulaire en ligne, oralement avec confirmation. Un responsable ne peut pas exiger un formulaire spécifique ou un envoi recommandé. La CNIL a sanctionné cette pratique dans la délibération SAN-2024-008 (SAF Logistics, 240 000 €), où l’entreprise refusait les demandes envoyées par e-mail sans procédure interne.

Vérification d’identité proportionnée

L’Art. 12(6) autorise une vérification d’identité en cas de doute raisonnable. Mais la CNIL répète qu’on ne peut pas exiger systématiquement une copie de pièce d’identité. La délibération SAN-2024-001 (Hubside, 525 000 €) a sanctionné une entreprise qui exigeait une pièce d’identité par défaut pour tout exercice de droit, dont la limitation.

Information avant levée de la limitation : l’Art. 18(3)

C’est une obligation spécifique qui ne se retrouve dans aucun autre droit. Avant que la limitation ne soit levée, la personne concernée doit en être informée. Cette obligation a deux conséquences pratiques.

D’abord, elle interdit toute reprise « silencieuse » du traitement. Un responsable qui, à l’issue de l’instruction, considère que la rectification n’est pas justifiée et reprend le traitement de la donnée sans en avertir la personne, commet un manquement.

Ensuite, elle permet à la personne d’anticiper et, le cas échéant, d’introduire un recours avant la reprise effective du traitement. C’est un mécanisme de protection contre les décisions unilatérales du responsable.

Articulation avec les autres droits

Le droit à la limitation s’inscrit dans un système cohérent.

  • Droit de rectification (Art. 16) : la limitation accompagne automatiquement toute demande de rectification pendant l’instruction (cas 1 de l’Art. 18(1)). Un responsable qui traite les rectifications sans gel intermédiaire viole l’Art. 18.
  • Droit à l’effacement (Art. 17) : la limitation peut s’y substituer dans deux situations — traitement illicite avec refus d’effacement (cas 2) et fin de finalité avec besoin contentieux (cas 3). Les deux droits sont alternatifs.
  • Droit d’opposition (Art. 21) : la limitation s’active automatiquement pendant l’instruction d’une opposition (cas 4). C’est la règle systématique en matière de prospection commerciale.
  • Droit d’accès (Art. 15) : l’Art. 15(1)(g) impose au responsable d’informer la personne, dans sa réponse à une demande d’accès, du droit de demander la limitation. C’est une mention informative obligatoire, trop souvent oubliée dans les modèles de réponse.

Les sanctions en cas de manquement

Le non-respect du droit à la limitation relève du plafond haut de l’Art. 83(5)(b) RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Dans la pratique, la CNIL ne sanctionne pas spécifiquement et exclusivement le manquement à l’Art. 18 — elle l’inclut presque toujours dans un « bouquet » de manquements aux droits des personnes (Art. 12, 15, 16, 17, 18, 21). Quelques décisions illustrent la logique :

  • SAN-2022-022 (Free Mobile, 300 000 €) : la CNIL a notamment relevé qu’aucune procédure de limitation n’était mise en œuvre pendant l’instruction des contestations de facturation, alors même que les clients contestaient l’exactitude des données.
  • SAN-2024-001 (Hubside, 525 000 €) : sanction globale sur la procédure des droits, incluant l’absence de mécanisme de gel pendant l’instruction des demandes.
  • SAN-2023-013 (Doctissimo) : sanction pour absence de procédure formalisée de traitement des droits, dont la limitation.

L’enseignement opérationnel est clair : la CNIL ne contrôle pas l’Art. 18 isolément, mais l’absence de mécanisme de limitation est un signal de défaillance générale qui aggrave systématiquement la sanction.

Comment formaliser une procédure interne opérationnelle

Une procédure de limitation efficace s’appuie sur cinq éléments.

D’abord, un point d’entrée unique pour les demandes (typiquement dpo@entreprise.fr ou donnees@entreprise.fr), communiqué dans la politique de confidentialité, dans les mentions d’information de l’Art. 13 et dans la signature des e-mails commerciaux. Ce canal doit être surveillé quotidiennement.

Ensuite, un mécanisme technique de marquage dans les systèmes principaux (CRM, ERP, base clients, base RH). Idéalement, un attribut « limited » avec date de mise en œuvre, motif (cas 1 à 4 de l’Art. 18(1)) et identifiant de la demande source. Tous les composants applicatifs qui interrogent la base doivent intégrer un filtre par défaut excluant les enregistrements limités.

Puis, une cartographie des destinataires à notifier au titre de l’Art. 19. Sans registre opérationnel, l’obligation est inapplicable. La cartographie doit distinguer les destinataires automatiques (flux API en temps réel) et les destinataires ponctuels (exports manuels, transmissions occasionnelles).

Ensuite, un workflow d’instruction avec délais : qualification du cas d’ouverture (1 à 4), mise en œuvre immédiate du gel pour les cas 1 et 4, instruction au fond, notification aux destinataires, décision motivée sur la levée.

Enfin, une procédure de levée encadrée : information préalable de la personne (Art. 18(3)), délai de carence avant reprise effective du traitement (typiquement 15 jours pour permettre un recours), traçabilité de la décision.

C’est ce type de procédure que Legiscope automatise : enregistrement de la demande, qualification du cas d’ouverture, marquage automatique dans les systèmes connectés, notification automatique aux sous-traitants enregistrés au registre, gestion des délais et génération de la réponse motivée.

Le cas particulier de la prospection commerciale

L’application la plus fréquente de l’Art. 18 en pratique concerne la prospection commerciale. Lorsqu’une personne demande à ne plus recevoir d’e-mails marketing, elle exerce son droit d’opposition au titre de l’Art. 21. Le responsable doit alors :

  1. cesser immédiatement d’envoyer des messages — c’est l’effet automatique de la limitation au titre du cas 4 de l’Art. 18(1) ;
  2. instruire la demande pour vérifier si des « motifs légitimes » justifient la poursuite du traitement (extrêmement rare en matière de prospection commerciale) ;
  3. confirmer la suppression de la liste de prospection sous un mois ;
  4. notifier les destinataires (régies publicitaires, plateformes d’emailing tierces) au titre de l’Art. 19.

Dans 99 % des cas, la « limitation » se transforme rapidement en effacement. Mais la phase intermédiaire — pendant laquelle le traitement est gelé sans être encore effacé — est juridiquement obligatoire et techniquement contrôlable. La CNIL vérifie systématiquement, lors des contrôles de marketing direct, le délai entre la réception de l’opposition et la cessation effective des envois.

Ce qu’il faut retenir

  • L’Art. 18 RGPD consacre le droit à la limitation du traitement, un mécanisme de gel temporaire des données dans quatre situations précises (Art. 18(1)(a) à (d)).
  • La limitation s’applique automatiquement pendant l’instruction d’une demande de rectification (Art. 16) ou d’une opposition (Art. 21) — c’est le manquement le plus fréquent.
  • Une fois limitées, les données ne peuvent être traitées qu’avec le consentement de la personne ou pour des motifs strictement énumérés à l’Art. 18(2).
  • L’Art. 19 impose de notifier la limitation à tous les destinataires des données — point régulièrement omis et systématiquement contrôlé par la CNIL.
  • Avant de lever la limitation, le responsable doit informer la personne (Art. 18(3)) — interdiction de reprise silencieuse du traitement.
  • En cas de manquement, sanction au titre de l’Art. 83(5)(b) : jusqu’à 20 M€ ou 4 % du CA mondial, le plus souvent dans un « bouquet » de manquements aux droits des personnes.

FAQ

Quelle est la différence entre droit à l’effacement et droit à la limitation ?

L’effacement (Art. 17) supprime définitivement la donnée, dans les cas limitativement énumérés. La limitation (Art. 18) gèle temporairement la donnée sans la supprimer, le temps d’une instruction (rectification, opposition) ou pour préserver des droits ultérieurs. La limitation est souvent une étape intermédiaire avant l’effacement, mais elle peut aussi être permanente si la personne souhaite conserver la donnée à des fins contentieuses.

Quel délai pour mettre en œuvre une limitation ?

Le délai formel de réponse est d’un mois (Art. 12(3) RGPD), prorogeable de deux mois en cas de complexité. Mais le gel technique doit être immédiat lorsque la limitation accompagne une demande de rectification (cas 1) ou une opposition (cas 4) : la donnée contestée ne peut plus être utilisée pendant l’instruction. Un délai de plusieurs jours entre la demande et le gel effectif constitue un manquement.

Faut-il informer les sous-traitants d’une limitation ?

Oui, c’est une obligation prévue par l’Art. 19 RGPD : toute limitation effectuée doit être notifiée à chaque destinataire auquel les données ont été communiquées, sauf si cette notification se révèle impossible ou exige des efforts disproportionnés. Cette obligation suppose de tenir à jour la liste des destinataires dans le registre des activités de traitement.

Peut-on lever une limitation sans en informer la personne ?

Non. L’Art. 18(3) impose explicitement que la personne concernée soit informée avant la levée de la limitation. Une reprise silencieuse du traitement constitue un manquement, même si l’instruction au fond conclut à l’absence de bien-fondé de la demande initiale. Cette information préalable permet à la personne d’introduire un recours avant la reprise effective du traitement.

La limitation s’applique-t-elle automatiquement à toute demande de rectification ?

Oui, selon l’Art. 18(1)(a) : pendant la période permettant au responsable de vérifier l’exactitude des données contestées, la personne a le droit d’obtenir la limitation du traitement. Concrètement, dès qu’une demande de rectification est reçue, le responsable doit suspendre l’usage de la donnée contestée jusqu’à la fin de l’instruction. Traiter la rectification sans gel intermédiaire est un manquement régulièrement relevé par la CNIL dans ses contrôles.

Articles lies

RGPD

Fuites de données de l'État : modèle gratuit de plainte au procureur (art. 226-17 du Code pénal)

1 mai 2026 · 15 min
RGPD

Article 24 RGPD : l'obligation d'accountability décryptée

30 avril 2026 · 17 min
RGPD

Article 25 RGPD : privacy by design et by default

30 avril 2026 · 18 min