Comment répondre à une demande d’effacement RGPD et éviter les sanctions CNIL ?

Vous avez reçu une demande d’effacement de données personnelles de la part d’un client, d’un salarié ou d’un prospect ? Comme beaucoup d’entreprises, vous pourriez être tenté d’y voir une simple formalité administrative. En réalité, ce type de demande peut avoir des conséquences bien concrètes sur le plan juridique, opérationnel et réputationnel.

Une réponse tardive, incomplète ou fragile juridiquement peut entraîner une réclamation auprès de la CNIL, un contrôle ou, dans certains cas, une sanction. À l’inverse, une gestion rigoureuse des demandes renforce la conformité de votre entreprise et la confiance de vos interlocuteurs.

En 2026, les autorités de contrôle attendent des entreprises qu’elles soient capables de démontrer un traitement réel et efficace des droits prévus par le Règlement général sur la protection des données.

Alors, comment répondre à une demande d’effacement, respecter vos obligations légales et sécuriser votre activité ? Réponse avec TLMR Avocats.

L’essentiel à retenir

• Une demande d’effacement RGPD permet à une personne d’obtenir, dans certains cas, la suppression de ses données personnelles au titre de l’article 17 du Règlement général sur la protection des données.
• Cette procédure est la mise en œuvre concrète du droit à l’oubli.
• L’entreprise doit répondre dans un délai d’un mois, sauf prolongation justifiée par la complexité du dossier.
• En 2026, la CNIL attend des entreprises une conformité concrète : procédure claire de traitement des demandes, traçabilité, délais, réponses motivées. etc.
• Le droit à l’effacement n’est pas absolu : certaines données peuvent être conservées pour respecter une obligation légale ou défendre les droits de l’entreprise.
• Une mauvaise gestion de ces demandes peut entraîner une réclamation, un contrôle de la CNIL, une sanction financière et une atteinte à la réputation de votre entreprise.
• Il est recommandé de faire appel à un avocat RGPD pour vous assister.

Qu’est-ce qu’une demande d’effacement RGPD ?

Le RGPD donne à chacun le droit de demander la suppression de ses données, lorsque leur conservation n’est plus justifiée. C’est ce que l’on appelle une demande d’effacement RGPD.

Définition du droit à l’oubli

La demande d’effacement RGPD correspond à la mise en œuvre concrète du droit à l’oubli, prévu par l’article 17 du Règlement général sur la protection des données (RGPD). Ce droit permet à toute personne de demander la suppression de ses données personnelles dans les cas prévus par le texte.

“La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais.”

Le droit à l’oubli ne date pas du RGPD. Dès 1995, la directive européenne sur la protection des données prévoyait déjà que les données personnelles ne pouvaient pas être conservées au-delà de la durée nécessaire à l’objectif poursuivi.

En 2014, la Cour de justice de l’Union européenne, dans l’arrêt Google Spain c/ AEPD et Costeja González, a renforcé cette logique. Elle a reconnu qu’une personne pouvait demander à un moteur de recherche de ne plus faire apparaître certains résultats associés à son nom. Cette décision a largement installé la notion de droit à l’oubli numérique.

Dans quels cas une personne peut-elle demander l’effacement de ses données ?

Une personne concernée peut demander la suppression de ses données notamment lorsque :

• elles ne sont plus utiles au regard de la finalité initiale ;
• le consentement est retiré et aucun autre fondement légal ne justifie le traitement ;
• les données ont fait l'objet d'un traitement illicite ;
• les données doivent être effacées pour respecter une obligation légale ;
• les informations sont inexactes, périmées ou excessives au regard de la finalité poursuivie ;
• les données portent atteinte à sa réputation ou à sa vie privée.

En pratique, que vise une demande d’effacement ?

Une demande d’effacement peut concerner plusieurs types de données :

• un ancien compte utilisateur resté actif ;
• un CV conservé après un recrutement terminé ;
• un historique client devenu inutile ;
• de données présentes dans un CRM, un logiciel RH ou des archives.

Il est également possible d’obtenir la suppression d’un contenu présent sur Internet qui ne serait plus pertinent ou qui nuirait à la personne concernée (article de presse, photo, message sur un forum, etc.).

Sur internet, la demande prend souvent deux formes :

• la suppression du contenu à la source : retrait d’un article, d’une page profil, d’un commentaire, d’une photo ou d’une annonce ;
• le déréférencement : le contenu reste en ligne, mais n’apparaît plus dans les résultats d’un moteur de recherche à partir du nom de la personne .

Cette distinction est essentielle. Supprimer une page et la déréférencer produisent en effet des effets différents.

Qui doit répondre à une demande d’effacement : le responsable du traitement ou le sous-traitant ?

Le premier interlocuteur reste le responsable du traitement, c’est-à-dire l’entité qui détermine les finalités et les moyens du traitement des données personnelles.

Par exemple, une société d'e-commerce qui collecte les données clients pour vendre ses produits reste responsable de traitement, même si certains prestataires de services hébergent ou exploitent les outils.

Les sous-traitants (hébergeur, CRM, emailing, support IT, prestataires cloud) doivent assister l'entreprise. La responsabilité principale demeure toutefois entre les mains du responsable du fichier.

Que risque une entreprise qui ne respecte pas une demande d’effacement RGPD ?

Ne pas tenir compte d’une demande d’effacement, répondre hors délai ou opposer un refus insuffisamment motivé peut exposer l’entreprise à des conséquences juridiques, financières et réputationnelles importantes.

Des risques juridiques, financiers et réputationnels

Le premier risque est une réclamation auprès de la CNIL ou d’une autre autorité de contrôle européenne. La personne concernée peut saisir le régulateur lorsqu’elle estime que ses droits n’ont pas été respectés. Cette saisine peut déclencher des demandes d’explications, un contrôle ou une procédure de sanction.

Le second risque est financier. Le Règlement général sur la protection des données prévoit, selon la gravité du manquement, des amendes administratives pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En pratique, le niveau de sanction dépend notamment :

• de la gravité des faits ;
• de leur durée ;
• du nombre de personnes concernées ;
• du comportement de l’entreprise.

Le troisième risque est contentieux. Une personne concernée peut engager une action judiciaire afin d’obtenir l’effacement, la cessation du traitement litigieux ou encore la réparation d’un préjudice subi.

Enfin, il existe un risque d’image souvent sous-estimé. Une mauvaise gestion des données personnelles, notamment lorsqu’elle concerne des clients, des salariés ou des candidats, peut détériorer durablement la confiance.

En 2026, la CNIL attend une conformité démontrable

En 2026, le cadre applicable au droit à l’effacement n’a pas été bouleversé par de grands revirements jurisprudentiels.

Les principes restent ceux déjà posés par la Cour de justice de l'Union européenne et les juridictions françaises. Pour résumer ces principes : il faut garder en tête que le droit à l’effacement n’est pas absolu et qu’il doit être concilié avec la liberté d’expression, l’intérêt public ou certaines obligations légales de conservation.

En revanche, nous observons un renforcement concret des contrôles menés par la CNIL et le Comité européen de la protection des données. Le régulateur ne se satisfait plus d’une politique théorique ou d’un simple affichage de conformité. Il attend désormais une organisation opérationnelle capable de prouver que chaque demande est réellement traitée.

La plupart des affaires traitées par la CNIL relèvent :

• d’une absence de procédure interne claire ;
• d’information insuffisante des personnes concernées ;
• d’une mauvaise maîtrise des durées de conservation ;
• des délais de réponse trop long ;
• d’une mauvaise coordination avec les sous-traitants ;
• d’une sécurité insuffisante ;
• d’une absence d’authentification ou de mesures organisationnelles adaptées ;
• d’une politique de confidentialité imprécise ;
• d’une incapacité à supprimer certaines données présentes dans les sauvegardes.

Bon à savoir : une entreprise doit-elle toujours supprimer les données ?

Non. Le droit à l’oubli n’est pas absolu.

Une entreprise peut refuser partiellement ou totalement une demande lorsque les données doivent rester conservées pour :

• respecter des obligations légales ;
• exercer ou défendre des droits en justice ;
• répondre à une mission d’intérêt public ;
• garantir certains intérêts légitimes ;
• assurer la sécurité des systèmes ;
• etc.

Mais ce refus doit être motivé, clair et documenté. Un simple message automatique est rarement suffisant.

Comment traiter une demande d’effacement RGPD pour éviter les risques ?

Une réponse improvisée, tardive ou incomplète peut suffire à déclencher une réclamation auprès de la CNIL. Vous devez donc mettre en place une méthode claire pour éviter les sanctions.

Accusez réception rapidement de la demande d’effacement RGPD

Adressez immédiatement un accusé de réception à la personne concernée. Ce premier retour permet de confirmer que la demande d’effacement est bien prise en charge et qu’un traitement est en cours.

Ce réflexe simple réduit souvent la tension, limite les relances et démontre votre sérieux. Il permet également de fixer un point de départ clair dans le suivi du dossier.

Vérifiez l’identité du demandeur

Avant de supprimer ou de communiquer des données à caractère personnel, vous devez vous assurer que vous traitez bien avec la bonne personne.

Lorsqu’un doute raisonnable existe, il est possible de demander un justificatif adapté et proportionné. Il s’agit ici de protéger les données personnelles et d’éviter qu’un tiers malveillant obtienne la suppression ou l’accès à des informations qui ne le concernent pas.

Cette vérification doit rester mesurée. Il n’est généralement pas nécessaire d’exiger davantage d’informations que celles strictement utiles au contrôle d’identité.

Identifiez précisément les données concernées

Une erreur fréquente consiste à ne traiter que la base la plus visible, par exemple le CRM, en oubliant les autres emplacements où les données sont également conservées.

Or, les informations peuvent se trouver dans plusieurs outils : base clients, logiciel RH, compte utilisateur, historique commercial, newsletters, dossiers internes, archives, sauvegardes ou encore chez certains sous-traitants et prestataires externes.

Avant toute réponse, il convient donc de cartographier les traitements et de localiser les données de manière complète. Sans cette étape, l’effacement risque d’être partiel et donc contestable.

Vérifiez si certaines données doivent être conservées

Le droit à l’effacement n’impose pas la suppression automatique de toutes les informations. Certaines données peuvent continuer à être conservées lorsqu’une base juridique le justifie.

C’est notamment le cas lorsqu’elles restent nécessaires à l’exécution du contrat, au respect d’une obligation légale, à la tenue de documents comptables, à la prévention de fraude, à la sécurité des systèmes ou à la défense des droits de l’entreprise en justice.

La bonne approche consiste donc à distinguer les données à supprimer immédiatement de celles pouvant être conservées de manière limitée et justifiée. Cette analyse doit, en revanche, être documentée.

Effacez les données, toutes les données

Lorsqu’aucun motif légitime de conservation ne subsiste, vous devez procéder à la suppression réelle des données concernées.

Cela suppose souvent plus qu’une simple désactivation de compte. Les informations peuvent subsister dans un export, une sauvegarde, un outil tiers ou une base secondaire.

En 2026, la CNIL est particulièrement attentive à cette effectivité. L’entreprise doit donc pouvoir démontrer que les mesures raisonnables, y compris techniques, ont été mises en place.

Lorsque les données ont été communiquées à des tiers, le responsable du traitement doit en outre, au titre de l'article 19 du RGPD, notifier la demande d'effacement à chaque destinataire, sauf si cela se révèle impossible ou exige des efforts disproportionnés. La personne concernée peut demander à connaître l'identité de ces destinataires.

Répondez dans les délais prévus par le RGPD

Vous disposez d’un délai d’un mois à compter de la réception de la demande pour répondre.

Ce délai peut être prolongé de deux mois supplémentaires lorsque la demande est complexe ou lorsqu’un nombre important de demandes doit être traité, à condition d’en informer la personne concernée dans le premier mois.

Le silence, l’absence de suivi ou la réponse standardisée constituent aujourd’hui des signaux de non-conformité particulièrement sensibles.

Conservez une preuve du traitement de la demande d’effacement

Enfin, chacune des étapes précédentes doit être tracée et documentée.

En cas de contrôle ou de contestation, cette traçabilité constitue souvent la meilleure défense du responsable du traitement.

Bon à savoir : faut-il nommer un DPO ?

Selon la taille de l’organisation ou la nature des traitements, un DPO (délégué à la protection des données) peut être obligatoire ou fortement recommandé. Même lorsqu’il n’est pas imposé, disposer d’un référent RGPD facilite :

• la mise à jour de la politique de protection ;
• le suivi des durées de conservation des données ;
• le traitement des demandes d’effacement ;
• la sécurité des données ;
• la relation avec la CNIL.

Cas particuliers : prospection commerciale, cookies et marketing digital

Les demandes d’effacement concernent très souvent les activités marketing. Les entreprises collectent en effet un volume important de données personnelles, parfois pendant une longue période, via des formulaires, des newsletters, des campagnes publicitaires ou des outils d’analyse.

En la matière, la vigilance s’impose notamment parce que plusieurs règles se cumulent (RGPD, prospection commerciale, consentement aux cookies, droit d’opposition, etc.).

En pratique, une personne peut demander à ne plus recevoir de newsletters, à être retirée d’une base marketing, à cesser tout profilage publicitaire ou à voir supprimées les données utilisées pour personnaliser les campagnes.

Une erreur fréquente consiste à supprimer l’adresse email dans un seul outil, tout en la laissant active ailleurs (plateforme emailing, CRM, outil d’automatisation, etc.). La personne continue alors à recevoir des sollicitations malgré sa demande. Ce type de dysfonctionnement génère des plaintes auprès de la CNIL et peut dégrader l’image de votre entreprise.

Lorsqu’une demande vise la prospection ou les cookies, pensez à mettre à jour l’ensemble de vos outils afin que la demande soit réellement effective.

Paradoxalement, certaines données peuvent devoir être conservées de manière minimale afin d’éviter une réinscription accidentelle. C’est le cas des listes de suppression ou listes d’opposition, utilisées pour garantir qu’une personne ne sera plus recontactée.

En résumé, en matière marketing, une demande d’effacement ne doit jamais être traitée outil par outil. Elle doit être envisagée globalement, en cartographiant l’ensemble des flux de données liés à la prospection et à la publicité digitale.

Pourquoi se faire accompagner par un avocat en données personnelles ?

Certaines demandes d’effacement paraissent simples en apparence, mais soulèvent en réalité des enjeux juridiques plus complexes. Une réponse trop rapide, incomplète ou juridiquement fragile peut créer davantage de risques que la demande initiale elle-même.

C’est notamment le cas lorsqu’un ancien salarié sollicite la suppression de documents RH. L’entreprise doit alors concilier le droit à l’effacement avec ses obligations sociales, comptables, probatoires ou la nécessité de conserver certains éléments en cas de litige devant les Prud’hommes.

La vigilance est également renforcée lorsqu’un client menace d’introduire une réclamation auprès de la CNIL. À ce stade, la réponse adressée devient stratégique. Elle peut apaiser la situation ou, au contraire, préparer un contrôle.

Certaines demandes portent sur des données sensibles au sens du RGPD (informations de santé, des données biométriques, etc.). Le niveau d’exigence est alors plus élevé et les conséquences d’une erreur peuvent être importantes.

Un accompagnement par un avocat RGPD est aussi recommandé lorsque les données ont fait l’objet d’un transfert hors Union européenne, lorsque plusieurs entités d’un même groupe sont impliquées, ou lorsqu’il existe un contentieux commercial parallèle avec la personne concernée.

Enfin, les litiges liés à la réputation en ligne exigent souvent une approche sur mesure. Une demande d’effacement peut toucher à la fois au RGPD, au droit de la presse, à la liberté d’expression, à la concurrence déloyale ou à la protection de la vie privée.

Dans toutes ces hypothèses, le bon réflexe consiste à sécuriser la réponse avant son envoi. L’enjeu n’est pas seulement de répondre dans les délais, mais de défendre durablement les intérêts de l’entreprise.

Chez TLMR Avocats, nous accompagnons les entreprises confrontées aux demandes d’effacement sensibles, aux plaintes CNIL et aux contentieux liés aux données personnelles. Notre approche est à la fois juridique, stratégique et opérationnelle. Nous protégeons votre conformité sans freiner votre activité.

FAQ sur la demande d’effacement RGPD

Une entreprise doit-elle toujours supprimer les données demandées ?

Non. Le droit à l’effacement connaît plusieurs exceptions. Certaines données peuvent être conservées lorsqu’elles restent nécessaires, par exemple, au respect d’une obligation légale.

Quel est le délai pour répondre à une demande d’effacement de données à caractère personnel ?

Le principe est un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe, à condition d’en informer la personne concernée dans le premier mois.

Peut-on demander une pièce d’identité au demandeur ?

Oui, lorsqu’un doute raisonnable existe sur l’identité de la personne. La vérification doit toutefois rester proportionnée et limitée aux éléments strictement nécessaires.

Que faire en cas de demande d’effacement RGPD sensible ou conflictuelle ?

Lorsqu’un ancien salarié, un client menaçant de saisir la CNIL ou un dossier impliquant des données sensibles est en cause, il est recommandé de sécuriser la réponse en amont avec un avocat données personnelles. Cela permet de protéger les intérêts de votre entreprise tout en respectant vos obligations légales.