donnees vie privee

Droit à l'oubli RGPD : faire supprimer ses données en France

Le RGPD côté particulier : modèle de courrier, délais légaux, recours CNIL pour faire supprimer vos données personnelles.

Par Étienne Aubry · · 9 min de lecture
Illustration : exercer son droit à l'oubli RGPD

Droit à l’oubli RGPD : faire supprimer ses données en France

Vous avez créé un compte sur un site il y a 5 ans et vous voulez le supprimer ? Une ancienne photo de vous circule encore sur un site oublié ? Une entreprise refuse de supprimer vos données alors que vous ne voulez plus en faire partie ? Le droit à l’oubli — plus précisément le droit à l’effacement prévu par l’article 17 du RGPD — vous donne des outils concrets et opposables.

Cet article vous explique vos droits réels, la procédure pratique, le modèle de courrier à utiliser, les délais légaux, et les recours en cas de refus. Tout est gratuit. Tout est documenté. Et la CNIL peut vous donner gain de cause quand le service refuse.

Vos droits, en deux phrases

L’article 17 du RGPD vous donne le droit d’obtenir l’effacement de vos données personnelles auprès de tout responsable de traitement, dans plusieurs cas : si elles ne sont plus nécessaires, si vous retirez votre consentement, si vous vous opposez au traitement, ou si elles ont été traitées illégalement.

L’article 21 vous donne le droit d’opposition à certains traitements (notamment au marketing direct). Ce droit s’exerce sans avoir à justifier de motifs particuliers — c’est absolu pour le marketing.

Vous pouvez exercer ces droits gratuitement, à tout moment, auprès de toute entreprise européenne (et toute entreprise qui traite des données de résidents européens, même si elle est hors UE).

Quand le droit à l’oubli s’applique-t-il vraiment ?

Le droit à l’effacement n’est pas absolu. Il s’applique typiquement dans ces cas :

Cas 1 — Vos données ne sont plus nécessaires. Vous avez créé un compte sur un site marchand il y a 7 ans, vous n’y avez plus commandé depuis 5 ans. Le site garde encore vos coordonnées. Vous pouvez exiger leur effacement.

Cas 2 — Vous retirez votre consentement. Vous vous étiez inscrit·e à une newsletter, vous voulez désormais que vos données soient supprimées (pas seulement « être désinscrit »).

Cas 3 — Vous vous opposez au traitement. Vous ne voulez plus que vos données soient utilisées à des fins de marketing. Vous pouvez exiger l’arrêt et l’effacement.

Cas 4 — Données traitées illégalement. Le service a collecté ou utilisé vos données sans base légale valable.

Cas 5 — Obligation légale d’effacement. Par exemple, des données collectées sur un mineur sans accord parental.

Le droit ne s’applique PAS dans certains cas : obligation légale de conservation (par exemple, comptabilité d’une facture pendant 10 ans), exercice de la liberté d’expression et d’information (presse), motifs d’intérêt public, recherche scientifique. Un service peut donc légitimement refuser dans ces cas — mais il doit motiver son refus.

La procédure pas à pas

Étape 1 — Identifier le destinataire (5 minutes)

Trouvez le délégué à la protection des données (DPD ou DPO) du service. Vous le trouvez généralement :

  • Dans les mentions légales du site (obligatoire).
  • Dans la politique de confidentialité (obligatoire).
  • Au pied de page « Contact RGPD » ou « Vos droits ».

S’il n’y a pas de DPO clairement identifié, écrivez à l’adresse « contact » ou « service client » en mentionnant explicitement le sujet RGPD.

Étape 2 — Rédiger la demande (15 minutes)

Voici un modèle simple et efficace :

Objet : Demande d’exercice de mon droit à l’effacement (article 17 du RGPD)

Madame, Monsieur,

Conformément à l’article 17 du Règlement général sur la protection des données (RGPD), je vous demande de procéder à l’effacement complet de l’ensemble des données personnelles me concernant que vous détenez.

Mes données ont été collectées dans le cadre suivant : [décrire — par exemple « inscription sur votre site marchand le 15 mars 2018 », « inscription à votre newsletter », « compte client n° XXXX »].

Conformément à l’article 12 du RGPD, je vous remercie de me confirmer la suppression effective dans un délai d’un mois à compter de la réception de la présente demande.

Je vous rappelle qu’en l’absence de réponse satisfaisante dans ce délai, je saisirai la Commission Nationale de l’Informatique et des Libertés (CNIL) conformément à l’article 77 du RGPD.

Pour vérifier mon identité, je joins une copie de ma pièce d’identité (avec mention « pour usage exclusif de la demande RGPD »).

Cordialement, [Prénom Nom] [Adresse]

Envoi recommandé : lettre recommandée avec accusé de réception (5 € environ), ou e-mail avec accusé de réception lu et copie cachée à vous-même. La lettre recommandée a plus de poids juridique en cas de litige ultérieur.

Étape 3 — Attendre la réponse (jusqu’à 1 mois)

Le RGPD prévoit que le responsable a 1 mois maximum pour répondre, prolongeable de 2 mois en cas de complexité (avec motivation). Au-delà, il est en violation.

Trois réponses possibles :

Réponse positive : « Vos données ont été supprimées le [date]. » Vérifiez en tentant de vous reconnecter au service avec votre ancien identifiant — le compte ne doit plus exister.

Réponse motivée de refus : « Nous ne pouvons accéder à votre demande car [motif légal]. » Si le motif est valable (obligation légale de conservation par exemple), c’est juridiquement opposable. Sinon, contestez.

Absence de réponse : au bout d’un mois sans réponse, vous pouvez saisir la CNIL.

Étape 4 — Saisir la CNIL si nécessaire (gratuit)

Si le service refuse sans motif valable, ou ne répond pas, vous pouvez saisir gratuitement la CNIL :

  1. Allez sur cnil.fr → « Mes services » → « Plaintes en ligne ».
  2. Remplissez le formulaire dédié au droit à l’effacement.
  3. Joignez : votre demande initiale, l’accusé de réception, la réponse du service (ou la preuve de non-réponse).

La CNIL traite typiquement les plaintes en 3 à 6 mois. Elle peut adresser une mise en demeure au service, lui imposer une amende (jusqu’à 4 % du chiffre d’affaires mondial pour les manquements graves), ou ordonner l’effacement.

En pratique : la simple mention « je vais saisir la CNIL » dans votre demande initiale suffit souvent à débloquer la situation. Les services européens savent que la CNIL a des dents.

Le cas particulier de Google et des moteurs de recherche

Le droit à l’oubli a une variante spécifique pour les moteurs de recherche : le droit au déréférencement, consacré par l’arrêt « Google Spain » de la CJUE en 2014.

Vous pouvez demander à Google (ou Bing, ou Qwant) de retirer de ses résultats certains contenus vous concernant, même si le contenu reste en ligne sur le site source. Le formulaire Google : support.google.com/legal → « Demande de suppression légale ».

Google examine chaque demande et arbitre entre votre droit à la vie privée et l’intérêt public à l’information. Les demandes les plus souvent acceptées concernent :

  • Informations bancaires ou financières privées.
  • Adresse personnelle, numéro de téléphone, e-mail.
  • Coordonnées de mineurs.
  • Anciens contenus injurieux ou diffamatoires.
  • Anciennes condamnations pour des affaires mineures et anciennes.

Les demandes plus souvent refusées :

  • Articles de presse récents d’intérêt public.
  • Informations sur des fonctions publiques actuelles.
  • Anciennes condamnations pour affaires graves (corruption, violence, criminalité grave).

Pour le détail spécifique aux résultats Google, voyez aussi notre article sur la suppression de ses traces Google.

Le cas des fuites de données

Quand un service vous notifie une fuite de données (RGPD article 33-34), vous pouvez :

1. Exercer votre droit à l’effacement immédiatement pour ne plus être dans les futurs traitements (n’élimine pas les copies déjà fuitées, mais vous retire des traitements futurs).

2. Signaler la fuite à la CNIL si elle ne l’a pas déjà été par le responsable (obligatoire dans les 72 heures pour le responsable).

3. Demander réparation si vous avez subi un préjudice (perte financière, atteinte à la vie privée). Une action en responsabilité est possible — quoique souvent complexe à monétiser.

4. Renforcer votre vigilance. Vos données circulent désormais. Voyez notre tutoriel Have I Been Pwned pour vérifier régulièrement vos expositions et activer la 2FA partout — voyez notre guide 2FA.

Ce que le droit à l’oubli ne couvre PAS

Quelques limites à connaître pour éviter les déceptions :

1. Les contenus archivés à des fins légales. Une facture, un contrat, un compte bancaire fermé : la loi impose souvent une conservation pendant 5 à 10 ans. Vous ne pouvez pas forcer la suppression avant ce délai.

2. Les copies déjà piratées. Une fois que vos données sont sur des forums illégaux du dark web, aucun droit RGPD ne peut les en faire disparaître. Vous pouvez signaler aux moteurs de recherche, demander la désindexation, mais pas garantir la suppression effective.

3. Les services hors UE non soumis au RGPD. Les services basés dans des pays sans réglementation équivalente peuvent ignorer votre demande. En pratique, la majorité des services internationaux respectent désormais le RGPD pour leurs clients européens — mais il y a des exceptions.

4. La diffamation et le contenu illégal. Pour ces sujets, le bon canal n’est pas le RGPD mais la plainte pénale (article 226-4-1 du Code pénal pour l’usurpation d’identité, articles sur la diffamation, signalement Pharos).

Une démarche d’hygiène à faire au moins une fois

Je recommande, lors des Audits Sérénité, de prendre 2 heures pour exercer son droit à l’oubli sur les 10 à 15 services les plus anciens qu’on n’utilise plus. Souvent : un site marchand abandonné, une newsletter ancienne, un forum d’adolescence, un site de petites annonces, un compte sur un service défunt mais qui existe encore.

Cette démarche réduit la surface d’attaque en cas de futur piratage. Plus vos données circulent sur des services obsolètes, plus le risque d’apparaître dans une fuite augmente.

En résumé

Droit à l’oubli RGPD : article 17 du règlement européen, exercice gratuit auprès de tout service traitant vos données, modèle de courrier simple, délai légal de réponse d’1 mois, saisine CNIL gratuite si refus injustifié. Variante moteur de recherche via le formulaire Google « demande de suppression légale ». Limites : pas de suppression rétroactive des copies fuitées, pas de contournement des obligations légales de conservation, services hors UE difficiles. Démarche d’hygiène à faire au moins une fois sur ses 10-15 services les plus anciens.

Si vous êtes au Mans ou en Sarthe et que vous voulez un accompagnement complet (audit des comptes en ligne, identification des services à supprimer, rédaction des demandes RGPD), je propose un Audit Sérénité Solo à 149 € (74,50 € après crédit d’impôt service à la personne) en 1h30 à votre domicile. Détail sur la page audit. Premier contact gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Audit Sérénité Solo

Un état des lieux complet de votre hygiène numérique, à votre rythme, à votre domicile. Repartez avec un plan d'action clair et une checklist papier signée.

Réserver un audit Solo

149 € — 74,50 € après déduction fiscale