Droit à l'effacement RGPD : procédure et limites

37 % des plaintes reçues par la CNIL en 2024 concernaient le droit à l’effacement. Ce chiffre montre à quel point cette question est devenue centrale dans la gestion quotidienne de la conformité RGPD. Si votre organisation traite des données personnelles — et c’est forcément le cas — vous devez être capable de répondre correctement à ces demandes.

Ce que dit l’article 17 du RGPD

L’article 17 du RGPD consacre le droit à l’effacement, parfois appelé « droit à l’oubli ». Il impose au responsable de traitement de supprimer les données à caractère personnel « dans les meilleurs délais » lorsque certaines conditions sont réunies.

Concrètement, la personne concernée peut demander l’effacement de ses données dans six cas :

• Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.
• La personne retire son consentement et il n’existe pas d’autre base légale pour le traitement.
• La personne exerce son droit d’opposition en vertu de l’art. 21(1) et il n’existe pas de motif légitime impérieux, ou elle s’oppose au traitement à des fins de prospection (art. 21(2)).
• Les données ont fait l’objet d’un traitement illicite.
• L’effacement est nécessaire pour respecter une obligation légale.
• Les données ont été collectées dans le cadre d’une offre de services de la société de l’information à un mineur (art. 8(1)).

À noter : lorsque le responsable de traitement a rendu les données publiques, il doit également prendre des mesures raisonnables pour informer les autres responsables de traitement qui traitent ces données que la personne a demandé l’effacement (art. 17(2)). En pratique, cela concerne notamment les moteurs de recherche et les plateformes qui indexent du contenu.

Délai de réponse et procédure pratique

L’art. 12(3) du RGPD fixe un délai d’un mois maximum pour répondre à une demande d’effacement. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe ou si le nombre de demandes est élevé — mais il faut informer la personne de cette prolongation dans le délai initial d’un mois, en expliquant les motifs du retard.

Dans mon expérience de conseil auprès d’organisations de toutes tailles, voici la procédure qui fonctionne :

1. Vérifier l’identité du demandeur

Avant toute suppression, vous devez vous assurer que la demande émane bien de la personne concernée. Demandez une pièce d’identité uniquement si vous avez un doute raisonnable — l’art. 12(6) vous y autorise, mais la CNIL recommande de ne pas systématiser cette exigence.

2. Analyser le fondement de la demande

Identifiez sur quel motif de l’art. 17(1) la demande repose. Cela détermine si vous pouvez — ou devez — refuser. Par exemple, si les données sont traitées sur la base de l’intérêt légitime, la personne doit exercer son droit d’opposition (art. 21) et vous devez alors vérifier s’il existe des motifs légitimes impérieux.

3. Vérifier les exceptions

L’article 17(3) liste les cas dans lesquels vous pouvez refuser l’effacement (voir section suivante). C’est cette étape qui demande le plus de rigueur juridique.

4. Procéder à l’effacement effectif

L’effacement doit être réel, pas simplement un archivage ou une anonymisation déguisée. Supprimez les données de vos bases actives, de vos sauvegardes accessibles et de vos sous-traitants — car l’art. 28 du RGPD vous oblige à répercuter la demande auprès de vos prestataires.

5. Confirmer par écrit

Informez la personne que ses données ont été effacées. En cas de refus, motivez votre décision en citant l’exception applicable et indiquez les voies de recours (plainte auprès de la CNIL, recours juridictionnel).

Les six exceptions au droit à l’effacement

L’art. 17(3) prévoit que le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire pour :

1. L’exercice de la liberté d’expression et d’information. C’est l’exception la plus fréquemment invoquée, notamment par les médias et les sites d’information. La CJUE a précisé dans l’arrêt Google Spain (C-131/12) que cette exception implique une mise en balance au cas par cas entre le droit à la vie privée et le droit à l’information.

2. Le respect d’une obligation légale. Si une loi impose la conservation des données, l’effacement n’est pas possible. Par exemple, les obligations comptables imposent de conserver les factures pendant 10 ans — les données personnelles figurant sur ces factures ne peuvent donc pas être effacées avant ce délai.

3. Des motifs d’intérêt public dans le domaine de la santé publique (art. 9(2)(h) et (i), art. 9(3)).

4. Des fins archivistiques dans l’intérêt public, de recherche scientifique ou historique, ou des fins statistiques (art. 89(1)), dans la mesure où l’effacement risquerait de rendre impossible ou de compromettre gravement la réalisation de ces objectifs.

5. La constatation, l’exercice ou la défense de droits en justice. Tant qu’un litige est en cours ou raisonnablement prévisible, vous pouvez conserver les données nécessaires à votre défense.

6. L’exercice de l’autorité publique. Les organismes publics traitant des données dans le cadre d’une mission d’intérêt public peuvent s’opposer à l’effacement.

Action coordonnée européenne 2025 : les leçons à tirer

En 2025, le Comité européen de la protection des données (CEPD) a coordonné une action de contrôle impliquant 32 autorités nationales, dont la CNIL, spécifiquement sur le droit à l’effacement. Les conclusions sont instructives pour toute organisation :

• Beaucoup d’organismes ne disposent pas de procédure formalisée pour traiter les demandes d’effacement. Un simple formulaire de contact ne suffit pas — il faut un processus documenté avec des responsabilités claires.
• Le délai d’un mois est fréquemment dépassé, notamment parce que les demandes sont noyées dans les flux de support client.
• L’effacement n’est pas toujours effectif : certaines organisations se contentent de désactiver un compte sans supprimer les données sous-jacentes des bases de données et sauvegardes.

La CNIL a rappelé à cette occasion qu’elle pouvait sanctionner les manquements au droit à l’effacement. Les sanctions RGPD en la matière vont jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Droit à l’effacement et moteurs de recherche

Le « droit à l’oubli » est souvent associé au déréférencement sur les moteurs de recherche. Il s’agit d’une application spécifique de l’art. 17 : vous pouvez demander à un moteur de recherche de supprimer un résultat qui apparaît lorsqu’on recherche votre nom, si les informations sont inexactes, obsolètes ou excessives.

La CJUE a précisé dans l’arrêt C-200/23 (2024) que cette logique s’étend au-delà des moteurs de recherche classiques. Les associés d’une société peuvent, par exemple, demander l’effacement de données les concernant figurant dans des statuts soumis à publicité, dès lors que ces données excèdent ce que la réglementation exige.

Pour exercer ce droit auprès de Google, la personne doit passer par le formulaire dédié. En cas de refus, elle peut saisir la CNIL qui examinera la demande selon les critères posés par les lignes directrices 5/2019 du CEPD.

Cas pratiques : quand accepter, quand refuser

Cas 1 — Un ancien client demande la suppression de ses données. Si vous n’avez plus de relation contractuelle et que la durée de conservation est dépassée, vous devez procéder à l’effacement. Si vous êtes encore dans la période de conservation légale (garantie, obligation comptable), vous pouvez refuser en le motivant.

Cas 2 — Un salarié demande l’effacement de son dossier RH après son départ. Les obligations légales en droit du travail (conservation des bulletins de paie 5 ans, documents sociaux divers) limitent l’effacement. Mais les données non requises par la loi (notes d’entretien, évaluations informelles) doivent être supprimées.

Cas 3 — Un prospect se désabonne et demande la suppression de ses données. Si le traitement reposait sur le consentement et qu’il est retiré, l’effacement s’impose — sauf si vous conservez les données sur une autre base légale (ex. : obligation fiscale pour une facture).

Cas 4 — Un internaute demande la suppression d’un commentaire qu’il a publié. Si vous êtes l’éditeur du site, vous êtes responsable de traitement. Sauf exception (liberté d’expression, intérêt public), vous devez supprimer le commentaire et les données associées.

Mettre en place un processus interne efficace

Pour répondre correctement aux demandes d’effacement, il est recommandé de :

• Désigner un point de contact unique pour les demandes d’exercice des droits — idéalement le DPO ou un référent RGPD identifié.
• Créer un formulaire dédié sur votre site, distinct du support client, pour faciliter l’identification et le suivi des demandes.
• Documenter chaque demande dans un registre des demandes d’exercice des droits : date de réception, identité du demandeur, données concernées, décision prise, date de réponse.
• Cartographier vos données pour savoir exactement où elles se trouvent — bases de production, sauvegardes, sous-traitants. Sans cette cartographie, un effacement effectif est impossible.
• Prévoir des flux automatisés avec vos sous-traitants pour répercuter les demandes d’effacement. Les contrats au titre de l’article 28 doivent prévoir cette obligation explicitement.

C’est précisément ce type d’organisation que des outils comme Legiscope permettent d’automatiser : suivi des demandes, traçabilité des réponses, alertes sur les délais.

Ce qu’il faut retenir

• Le droit à l’effacement (art. 17 RGPD) oblige le responsable de traitement à supprimer les données dans un délai d’un mois sur demande, sauf exception.
• Six exceptions permettent de refuser : obligation légale, liberté d’expression, santé publique, archives/recherche, défense en justice, mission publique.
• 37 % des plaintes CNIL en 2024 portaient sur ce droit — c’est le sujet le plus contentieux avec le droit d’accès.
• L’effacement doit être effectif (pas une simple désactivation) et répercuté auprès de vos sous-traitants.
• Un processus formalisé et documenté est indispensable pour respecter le délai et justifier vos décisions en cas de contrôle.

FAQ

Le droit à l’effacement est-il absolu ?

Non. L’art. 17(3) du RGPD prévoit six exceptions, notamment l’obligation légale de conservation, la liberté d’expression, et la défense en justice. Le responsable de traitement doit analyser chaque demande au cas par cas pour déterminer si une exception s’applique.

Quel est le délai pour répondre à une demande d’effacement ?

Le délai est d’un mois à compter de la réception de la demande (art. 12(3) RGPD). Il peut être prolongé de deux mois supplémentaires en cas de complexité, à condition d’informer la personne dans le premier mois.

Faut-il aussi supprimer les données des sauvegardes ?

En principe, oui. L’effacement doit être effectif sur l’ensemble des supports. Toutefois, si la suppression des sauvegardes est techniquement disproportionnée, la CNIL admet qu’il est possible de marquer les données pour suppression lors de la prochaine rotation de sauvegarde, à condition que les données ne soient pas restaurées entre-temps.

Que risque-t-on en cas de non-réponse à une demande d’effacement ?

Le non-respect du droit à l’effacement expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (art. 83(5)(b) RGPD). La personne peut également saisir la CNIL ou engager un recours juridictionnel.