Article 19 RGPD : notification des rectifications et effacements

L’article 19 du RGPD est sans doute le plus oublié des articles consacrés aux droits des personnes. Court — un seul paragraphe en deux phrases — il impose pourtant une obligation lourde : informer chacun des destinataires de toute rectification, effacement ou limitation effectués. Dans mon expérience de conseil auprès de PME, plus de 80 % des responsables de traitement n’ont aucune procédure pour exécuter cette obligation. Lorsque la CNIL contrôle une procédure de droits des personnes, l’absence de cette mécanique de notification est presque toujours retenue comme un manquement caractérisé, sanctionnable au titre de l’Art. 83(5)(b) — jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Ce que dit l’article 19 du RGPD

Le texte de l’Art. 19 est volontairement bref :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

Deux obligations distinctes coexistent dans cet article unique. La première — implicite mais centrale — est l’obligation de notifier les destinataires. La seconde, plus rarement exécutée, est l’obligation de fournir à la personne concernée la liste de ces destinataires si elle en fait la demande.

L’obligation de notification : trois déclencheurs, une mécanique

L’Art. 19 ne crée pas un droit autonome ; il prolonge l’effet utile de trois autres articles du RGPD.

Déclencheur 1 : la rectification (Art. 16)

Lorsqu’une donnée est rectifiée au titre de l’Art. 16 RGPD, elle ne doit pas seulement être corrigée chez le responsable de traitement : la version corrigée doit aussi remplacer la version erronée chez tous les destinataires auxquels elle a été transmise. Sans cette notification, la donnée fausse continue de circuler et l’objectif de rectification est neutralisé.

Exemple concret : un client demande la rectification de son adresse postale auprès d’un commerçant en ligne. Le commerçant met à jour son CRM. Mais l’adresse erronée a déjà été transmise à un prestataire logistique, à un courtier en données et à une plateforme de prospection commerciale. Si ces trois destinataires ne sont pas notifiés, le client continuera de recevoir des courriers à la mauvaise adresse — et il pourra saisir la CNIL sur le fondement de l’Art. 19.

Déclencheur 2 : l’effacement (Art. 17(1))

Le mécanisme est symétrique pour l’Art. 17 RGPD sur le droit à l’effacement. Quand une donnée est effacée, tous les destinataires doivent en être informés afin qu’ils l’effacent à leur tour. C’est ce que la Cour de justice a appelé, dans l’arrêt Google Spain (CJUE, C-131/12), l’obligation pour le responsable de traitement de prendre « les mesures raisonnables » pour propager l’effacement.

Attention : l’Art. 19 vise spécifiquement l’Art. 17 paragraphe 1, c’est-à-dire les cas standards d’effacement. L’Art. 17(2), qui impose une obligation supplémentaire de propagation lorsque les données ont été rendues publiques, est une obligation distincte et plus exigeante — elle suppose d’informer même les responsables de traitement tiers que vous ne connaissez pas, dans la mesure du possible.

Déclencheur 3 : la limitation (Art. 18)

L’Art. 18 RGPD sur la limitation du traitement est l’application la plus délicate. Quand le traitement est gelé chez le responsable principal, il doit l’être chez tous les destinataires en aval, sous peine de neutraliser la mesure. Si vos données clients ont été transmises à un prestataire de prospection et qu’une demande de limitation arrive, ne pas notifier ce prestataire revient à laisser la donnée gelée chez vous mais active ailleurs.

C’est la situation la plus régulièrement constatée par la CNIL dans ses contrôles : la limitation est correctement implémentée dans la base de production, mais les sous-traitants continuent d’utiliser la donnée parce qu’aucune notification ne leur a été adressée.

Qui est « destinataire » au sens de l’article 19 ?

La notion de destinataire est définie à l’Art. 4(9) RGPD : « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ». Cette définition est volontairement large. Elle inclut :

• les sous-traitants au sens de l’Art. 28 RGPD (hébergeurs, prestataires SaaS, sociétés de prospection externalisée, cabinets de paie) ;
• les co-responsables de traitement au sens de l’Art. 26 RGPD ;
• les destinataires tiers au sens strict (autres responsables de traitement à qui les données ont été cédées) ;
• les autorités publiques ayant reçu communication des données dans un cadre légal.

La définition exclut en revanche les autorités publiques agissant dans le cadre d’une mission d’enquête particulière (perquisition, contrôle fiscal) — ce sont des destinataires du point de vue technique, mais l’Art. 4(9) les exclut explicitement.

En pratique, tenir à jour la liste des destinataires de chaque traitement est une obligation découlant de plusieurs articles cumulés : l’Art. 30 RGPD sur le registre, l’Art. 13(1)(e) et 14(1)(e) sur l’information des personnes, et l’Art. 19 sur la notification. Sans cette liste, l’Art. 19 est inapplicable.

L’exception « efforts disproportionnés »

L’Art. 19 prévoit une soupape : la notification n’est pas exigée si elle « se révèle impossible ou exige des efforts disproportionnés ». L’expression est identique à celle de l’Art. 14(5)(b) sur l’information lors d’une collecte indirecte. La jurisprudence de la CNIL et les Guidelines 05/2020 du CEPD sur le consentement convergent : cette exception doit s’interpréter restrictivement.

Trois cas typiques où l’exception peut jouer :

1. Le destinataire n’existe plus (cessation d’activité, faillite, fusion-absorption sans repreneur identifié). La notification est alors matériellement impossible.
2. L’identification du destinataire serait disproportionnée : par exemple, un fichier prospect ancien transmis à des dizaines de partenaires sans traçabilité fiable, et où retrouver chaque destinataire individuellement supposerait de mobiliser des ressources sans commune mesure avec l’utilité de la notification.
3. Le coût de la notification est manifestement disproportionné par rapport à l’enjeu : par exemple, pour une rectification mineure d’une donnée non sensible transmise à des centaines de petits destinataires.

Dans la pratique, la CNIL fait peser sur le responsable la charge de prouver le caractère disproportionné. Une simple allégation ne suffit pas. Et l’argument du « nous n’avons pas la liste » se retourne contre le responsable : ne pas avoir tenu à jour la liste des destinataires est un manquement à l’Art. 30, pas une excuse pour s’affranchir de l’Art. 19.

La seconde obligation : informer la personne concernée des destinataires

La seconde phrase de l’Art. 19 est régulièrement ignorée : « Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

Cette obligation se cumule avec celle de l’Art. 15(1)© qui impose de communiquer les destinataires lors d’une demande d’accès. Mais l’Art. 19 va plus loin : il oblige à fournir, sur demande, l’identité précise des destinataires effectivement notifiés à la suite de la rectification, l’effacement ou la limitation.

La CJUE a précisé la portée de cette obligation dans l’arrêt RW (CJUE, C-154/21, 12 janvier 2023). La Cour a jugé que le droit d’accès doit permettre à la personne concernée d’obtenir l’identité spécifique de chaque destinataire, et non une simple « catégorie » de destinataires, sauf si l’identification individuelle se révèle impossible ou si la demande est manifestement infondée ou excessive. Cette solution rendue à propos de l’Art. 15 vaut a fortiori pour l’Art. 19, dont la finalité est plus spécifique.

Concrètement : si un client demande qui a été notifié de la rectification de son adresse, vous devez lui répondre par une liste nominative — pas par une formule du type « nos partenaires logistiques et marketing ».

Sanctions CNIL : un manquement régulièrement retenu

L’Art. 19 figure rarement seul dans une décision de sanction, mais il accompagne presque systématiquement les manquements aux Art. 12, 16, 17 et 18. Quelques décisions illustratives :

SAN-2022-022 Free Mobile (300 000 €). L’opérateur n’avait pas mis en place de procédure permettant de propager les rectifications effectuées sur les contrats vers les systèmes de facturation et les bases de prospection. La CNIL a retenu un manquement à la fois à l’Art. 12, à l’Art. 16, et indirectement à l’Art. 19 sur la notification aux destinataires.

SAN-2024-001 Hubside (525 000 €). La société utilisait des fichiers prospects loués auprès de courtiers sans procédure de propagation des oppositions. Lorsqu’un prospect s’opposait, la donnée était bien marquée chez Hubside, mais les courtiers tiers continuaient de la commercialiser. La CNIL a retenu l’absence de notification des destinataires comme aggravant.

SAN-2024-008 SAF Logistics (240 000 €). La société de fret avait omis d’informer ses sous-traitants asiatiques des effacements demandés par d’anciens salariés. Les données continuaient d’être traitées chez les sous-traitants au-delà de la durée autorisée.

SAN-2023-013 Doctissimo. Au-delà des manquements à l’information et au consentement, la CNIL a relevé l’absence de procédure permettant la propagation des rectifications et effacements vers les multiples partenaires publicitaires de la plateforme.

Ces sanctions montrent un point essentiel : l’Art. 19 n’est pas une obligation théorique. Il est contrôlé, vérifié sur pièces, et son absence d’exécution est aggravante.

Bonnes pratiques : six chantiers opérationnels

Mettre l’Art. 19 en conformité suppose de cascader six chantiers articulés.

Chantier 1 — Tenir à jour le registre des destinataires. Sans liste fiable des destinataires de chaque traitement, l’Art. 19 est inopérant. Le registre des activités de traitement doit, pour chaque traitement, identifier nominativement les destinataires effectifs (sous-traitants, co-responsables, tiers), avec leur coordonnées de contact RGPD.

Chantier 2 — Inscrire la notification dans la procédure d’instruction des droits. L’instruction d’une demande au titre des Art. 16, 17 ou 18 doit comporter une étape obligatoire « notification des destinataires », réalisée avant la clôture de la demande. Le simple fait de cocher cette étape sans la réaliser est un manquement.

Chantier 3 — Industrialiser la notification. Pour les responsables ayant des dizaines ou centaines de destinataires, la notification manuelle n’est pas tenable. Les approches efficaces incluent : un canal API standardisé avec les sous-traitants critiques, un format normalisé (CSV ou JSON) listant les identifiants à corriger/effacer/limiter, et un script de diffusion automatisé.

Chantier 4 — Documenter les exceptions. Lorsque le responsable invoque l’impossibilité ou les efforts disproportionnés, la décision doit être tracée par écrit, motivée, et conservée. Sans cette documentation, l’exception ne sera pas opposable à la CNIL en cas de contrôle.

Chantier 5 — Préparer la réponse à la demande de la personne concernée. Toute demande de droits doit comporter une question standard : « Souhaitez-vous être informé(e) des destinataires notifiés ? » Si oui, la liste nominative doit être préparée et transmise dans le même délai d’un mois (Art. 12(3)).

Chantier 6 — Inscrire l’obligation dans les contrats de sous-traitance. Les contrats de sous-traitance au titre de l’Art. 28 RGPD doivent intégrer une clause imposant au sous-traitant de relayer les notifications reçues vers ses propres destinataires. Sans cette cascade contractuelle, la chaîne se brise au premier maillon.

Dans mon expérience de conseil, ces six chantiers représentent typiquement 30 à 60 jours-homme pour une PME ayant un système d’information moyennement complexe. C’est précisément ce type d’orchestration que Legiscope automatise pour les responsables de traitement n’ayant pas les ressources internes pour le déployer manuellement.

Articulation avec les autres obligations

L’Art. 19 ne se lit jamais seul. Il s’articule avec plusieurs piliers du RGPD.

Avec l’Art. 5(2) sur l’accountability, qui impose au responsable d’être en mesure de démontrer le respect des principes du RGPD. La traçabilité des notifications est l’un des éléments de preuve les plus contrôlés.

Avec l’Art. 24 RGPD sur la responsabilité du responsable de traitement, qui impose de mettre en œuvre des mesures techniques et organisationnelles appropriées. Une procédure de notification des destinataires fait partie de ces mesures.

Avec l’Art. 12 RGPD sur les modalités d’exercice des droits, qui encadre les délais et la qualité de la réponse. La notification des destinataires entre dans le délai d’un mois imparti pour répondre à la demande.

Avec l’Art. 30 RGPD sur le registre des activités de traitement, qui impose la tenue à jour de la liste des destinataires. Sans registre, l’Art. 19 est lettre morte.

Avec l’Art. 28 sur la sous-traitance, qui doit prévoir contractuellement la cascade des notifications.

Sanctions encourues en cas de manquement

Un manquement à l’Art. 19 relève du régime de l’Art. 83(5)(b) — le plafond le plus élevé : jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. À cela peuvent s’ajouter :

• des sanctions accessoires : injonction de mise en conformité, astreinte journalière, publication de la décision sur le registre des sanctions de la CNIL ;
• des actions en réparation au titre de l’Art. 82 par les personnes concernées dont la donnée a continué à circuler ;
• une atteinte réputationnelle, particulièrement coûteuse pour les acteurs B2C.

L’Art. 19 est donc un risque majeur dont la maîtrise est étonnamment peu coûteuse — il suffit en réalité de tenir un registre à jour et d’ajouter une étape à la procédure d’instruction des droits.

Ce qu’il faut retenir

• L’Art. 19 RGPD impose au responsable de traitement de notifier toute rectification, effacement ou limitation à chaque destinataire des données — sauf impossibilité ou efforts disproportionnés.
• L’obligation s’applique aux trois articles déclencheurs : Art. 16 (rectification), Art. 17(1) (effacement) et Art. 18 (limitation).
• La notion de destinataire est large (Art. 4(9)) : sous-traitants, co-responsables, tiers — à l’exception des autorités d’enquête particulière.
• La seconde phrase de l’Art. 19 oblige à informer la personne concernée des destinataires effectivement notifiés, sur sa demande, par une liste nominative (CJUE, C-154/21).
• Sans registre des destinataires tenu à jour, l’Art. 19 est inapplicable — et l’absence du registre est un manquement aggravant.
• Sanctions : plafond haut de l’Art. 83(5)(b) — 20 M€ ou 4 % du CA mondial.

FAQ

Faut-il notifier toutes les modifications ou seulement celles demandées par la personne concernée ?

L’Art. 19 vise les rectifications, effacements et limitations « effectués conformément à » Art. 16, 17(1) et 18. La CNIL retient une lecture extensive : la notification est due que la modification résulte d’une demande de la personne ou d’une initiative spontanée du responsable (correction proactive d’une erreur, par exemple).

À quel moment la notification doit-elle intervenir ?

Aucun délai spécifique n’est fixé par l’Art. 19. En pratique, la notification doit intervenir dans le délai global d’un mois imparti par l’Art. 12(3) pour répondre à la demande, et idéalement avant la réponse de clôture envoyée à la personne concernée. Pour les rectifications et effacements proactifs (sans demande), la notification doit intervenir « dans les meilleurs délais » selon le standard général de l’Art. 12.

Comment notifier un sous-traitant qui ne répond pas ?

Si un sous-traitant n’accuse pas réception de la notification, le responsable doit conserver la preuve de l’envoi (e-mail horodaté, lettre recommandée). En cas de blocage persistant, la responsabilité du sous-traitant peut être engagée au titre de l’Art. 28(3)(h) sur l’obligation de coopération. La résiliation du contrat est l’ultima ratio. Mais l’envoi de la notification, même non suivi d’effet, libère le responsable de sa propre obligation.

Que se passe-t-il si le destinataire est dans un pays tiers ?

L’Art. 19 ne distingue pas selon la localisation du destinataire : un destinataire situé hors UE doit être notifié comme un destinataire européen. Cela suppose au passage de vérifier que le transfert vers ce pays tiers repose sur un mécanisme valide (clauses contractuelles types, décision d’adéquation). La notification d’effacement doit s’accompagner, dans certains cas, d’une demande explicite de destruction des copies de sauvegarde.

L’Art. 19 s’applique-t-il aux données rendues publiques ?

L’Art. 19 vise tous les destinataires identifiés, y compris ceux qui auraient consulté ou réutilisé une donnée publiée. Pour les données rendues publiques, l’Art. 17(2) impose en outre une obligation renforcée de prendre des mesures raisonnables pour informer les responsables de traitement tiers qui auraient indexé, copié ou répliqué la donnée — au-delà même des destinataires connus. C’est l’application directe de la jurisprudence Google Spain (CJUE, C-131/12).

---

Vous souhaitez fiabiliser la procédure de notification des destinataires dans votre organisation ? Recevez nos analyses conformité chaque semaine pour rester à jour des décisions CNIL et CJUE qui font évoluer la pratique.