Droit à l'oubli : comment faire supprimer ses données en ligne ?

Q: La plateforme peut-elle refuser ma demande ?

Oui, dans certains cas limitativement énumérés par le RGPD : exercice de la liberté d'expression, respect d'une obligation légale, raisons d'intérêt public (santé, archives, recherche), ou constatation et défense de droits en justice. Si le refus n'entre pas dans ces exceptions, il est illégal et la CNIL peut intervenir.

Q: Comment saisir la CNIL ?

Vous pouvez déposer une plainte directement sur le site de la CNIL via le formulaire en ligne disponible sur cnil.fr, rubrique 'Plaintes'. Joignez votre demande initiale à l'organisme et, si vous avez reçu une réponse, la réponse de l'organisme ou la preuve de son silence. La CNIL dispose de 3 mois pour traiter votre plainte.

Oui. L'article 17 du RGPD vous donne le droit d'exiger la suppression de vos données personnelles. Contactez d'abord la plateforme ou l'entreprise — elle a 1 mois pour répondre. En cas de refus ou silence, la CNIL peut la contraindre. Lien Légifrance : RGPD art. 17.

⏳ En cours de vérification juridique — contenu basé sur nos connaissances du droit numérique français (RGPD, Code pénal, Loi Lemaire). Validation par un juriste à venir.

Ce que dit le RGPD

Le droit à l'effacement — aussi connu sous le nom de « droit à l'oubli » — est inscrit à l'article 17 du Règlement général sur la protection des données (RGPD, règlement UE 2016/679), entré en application le 25 mai 2018.

Ce droit s'applique dans plusieurs situations :

Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
Vous retirez le consentement sur lequel se fondait le traitement.
Vous vous opposez au traitement et il n'existe pas de motif légitime impérieux.
Les données ont fait l'objet d'un traitement illicite.
Une obligation légale impose leur effacement.

En droit français, ce droit est également encadré par la loi Informatique et Libertés n° 78-17 du 6 janvier 1978, modifiée pour intégrer le RGPD.

Procédure étape par étape

La démarche se déroule en trois temps progressifs.

Étape 1 — Demande directe à la plateforme ou à l'organisme

Envoyez un courrier ou un e-mail à l'organisme responsable du traitement (identifié dans ses mentions légales ou sa politique de confidentialité). Mentionnez explicitement que vous exercez votre droit à l'effacement en application de l'article 17 du RGPD. Joignez une copie d'une pièce d'identité si nécessaire pour prouver votre identité. L'organisme dispose d'un mois pour vous répondre (délai porté à trois mois en cas de demande complexe, avec information dans le premier mois).

Étape 2 — Saisir la CNIL

En cas de refus injustifié ou de silence au-delà du délai légal, vous pouvez déposer une plainte auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française compétente. Le formulaire de plainte est disponible sur cnil.fr. La CNIL peut mettre en demeure l'organisme et, si nécessaire, lui infliger des sanctions financières pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Étape 3 — Recours judiciaire

Indépendamment ou en parallèle de la plainte CNIL, vous pouvez saisir le tribunal judiciaire de votre domicile pour obtenir la suppression des données et/ou des dommages et intérêts. Le juge peut ordonner des mesures provisoires en référé lorsque l'urgence le justifie.

Cas particulier : les moteurs de recherche (déréférencement)

Le droit à l'oubli comprend également le droit au déréférencement : vous pouvez demander à un moteur de recherche (Google, Bing, etc.) de ne plus afficher certains résultats associés à votre nom, même si la page source reste accessible. Ce droit a été consacré par la Cour de justice de l'Union européenne dans l'arrêt Google Spain c/ AEPD (13 mai 2014), repris dans l'article 17 du RGPD.

Chaque moteur de recherche dispose d'un formulaire dédié. Google met à disposition un formulaire en ligne accessible depuis son centre d'assistance. La décision de déréférencement doit mettre en balance le droit à la vie privée et le droit à l'information du public — les personnalités publiques, les condamnations pénales récentes ou l'intérêt journalistique peuvent justifier un refus.

En cas de refus du moteur de recherche, la CNIL peut être saisie, comme pour tout autre organisme.

Délais et sanctions

Les délais légaux à retenir :

1 mois : délai maximal de réponse de l'organisme à votre demande d'effacement.
3 mois : délai prolongé possible, avec notification obligatoire dans le premier mois.
3 mois : délai indicatif de traitement d'une plainte par la CNIL.

En cas de manquement constaté, les sanctions prévues par le RGPD sont significatives : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). En France, la CNIL a prononcé plusieurs sanctions médiatisées sur ce fondement depuis 2018. Au civil, la victime peut obtenir réparation du préjudice subi devant les tribunaux.

Foire aux questions

Qu'est-ce que le droit à l'effacement ?

Le droit à l'effacement, aussi appelé droit à l'oubli, est consacré par l'article 17 du RGPD. Il permet à toute personne d'exiger qu'une organisation supprime ses données personnelles sans délai injustifié. Il s'exerce dans des cas précis : données devenues inutiles, retrait du consentement, traitement illicite ou opposition légitime.

La plateforme peut-elle refuser ma demande ?

Oui, mais uniquement dans les cas limitativement énumérés par le RGPD : exercice de la liberté d'expression et d'information, respect d'une obligation légale, motifs d'intérêt public (santé publique, archives, recherche), ou défense de droits en justice. Hors de ces exceptions, le refus est illégal et la CNIL peut intervenir.

Comment saisir la CNIL ?

Déposez une plainte sur cnil.fr, rubrique "Plaintes". Joignez votre demande initiale adressée à l'organisme et, si disponible, sa réponse ou la preuve de son silence. La CNIL dispose d'un délai indicatif de 3 mois pour traiter la plainte. La procédure est gratuite.