Droit à l’oubli RGPD : définition, conditions et mise en œuvre

Qu’est-ce que le droit à l’oubli selon le RGPD ?

Le droit à l’oubli, consacré par l’article 17 du RGPD, désigne le droit à l’effacement des données personnelles. Il permet à toute personne concernée d’obtenir d’un responsable de traitement la suppression de ses données lorsque certaines conditions sont réunies.

Le RGPD définit une donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable : nom, adresse email, identifiant en ligne, adresse IP, données de localisation ou identifiants publicitaires.

Le droit à l’oubli s’inscrit dans la logique de responsabilité du RGPD. Il ne s’agit pas seulement de supprimer des données sur demande, mais de garantir que leur conservation reste justifiée, proportionnée et conforme aux finalités déclarées.

Sur quelle base légale repose le droit à l’effacement ?

Le droit à l’effacement repose directement sur le cadre juridique européen en matière de protection des données.

Article 17 du RGPD

L’article 17 du RGPD impose au responsable de traitement d’effacer les données personnelles « sans retard injustifié » lorsqu’un des fondements prévus par le texte s’applique. Il précise également les cas dans lesquels ce droit peut être limité.

Décision de la CJUE

Avant même l’entrée en application du RGPD, l’arrêt Google Spain rendu par la Cour de justice de l’Union européenne (CJUE) le 13 mai 2014 a reconnu la possibilité pour un individu de demander le déréférencement de résultats de recherche associés à son nom. Cette décision a posé les bases du droit à l’oubli dans le contexte des moteurs de recherche.

Rôle de la CNIL

En France, la CNIL est l’autorité de contrôle chargée de veiller au respect du RGPD. Elle précise les modalités d’exercice du droit à l’effacement et peut être saisie en cas de refus ou d’absence de réponse.

Dans quels cas peut-on exercer le droit à l’oubli ?

L’article 17 du RGPD prévoit six situations principales dans lesquelles une demande d’effacement doit être acceptée :

• Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
• La personne retire son consentement et aucun autre fondement juridique ne justifie le traitement.
• La personne s’oppose au traitement et aucun motif légitime impérieux ne prévaut.
• Le traitement des données était illicite.
• L’effacement est nécessaire pour respecter une obligation légale.
• Les données ont été collectées auprès d’un mineur dans le cadre de services en ligne.

Le retrait du consentement est l’un des motifs les plus fréquents. Pour les entreprises, cela souligne l’importance d’un bandeau de consentement clair : si l’utilisateur retire son accord via vos réglages de confidentialité, vous devez cesser le traitement et, dans bien des cas, procéder à l’effacement.

Comment faire une demande de suppression de données personnelles ?

Pour exercer son droit à l’effacement, la personne concernée doit adresser une demande au responsable de traitement. Cette demande peut être envoyée par email, par courrier ou via un formulaire en ligne dédié aux droits RGPD.

L’organisme dispose d’un délai d’un mois pour répondre. En cas d’absence de réponse ou de refus injustifié, il est possible de saisir la CNIL.

Du côté des entreprises, ces demandes sont considérées comme des demandes d’exercice de droits (DSAR). Elles doivent être documentées, analysées juridiquement et traitées de manière traçable.

Droit à l’oubli et moteurs de recherche (Google)

Le droit à l’oubli prend une dimension particulière lorsqu’il concerne les moteurs de recherche.

Déréférencement

Le déréférencement consiste à retirer un lien des résultats affichés lors d’une recherche effectuée à partir du nom d’une personne. Le contenu reste en ligne, mais il n’apparaît plus dans les résultats associés à cette requête.

Différence entre suppression et désindexation

Il convient de distinguer :

1. La suppression, qui consiste à effacer les données à la source (site web, base interne).
2. La désindexation ou déréférencement, qui concerne uniquement le retrait du lien dans les résultats d’un moteur de recherche.

Ces deux mécanismes produisent des effets juridiques différents.

Formulaire Google

Google met à disposition un formulaire spécifique permettant de demander un déréférencement. Chaque demande est examinée au regard de l’intérêt public et du droit à l’information.

Depuis 2014, Google a reçu plus de 1,2 million de demandes de déréférencement en Europe, couvrant près de 5 millions d’URLs. Environ 45 % de ces demandes aboutissent à un retrait effectif, illustrant l’équilibre complexe entre vie privée et droit à l’information

Quelles sont les exceptions au droit à l’oubli ?

Le droit à l’effacement n’est pas absolu. Une organisation peut refuser la suppression lorsque le traitement est nécessaire :

À l’exercice de la liberté d’expression et d’information

Au respect d’une obligation légale

À l’exécution d’une mission d’intérêt public

À des fins archivistiques, scientifiques ou statistiques

À la constatation, l’exercice ou la défense de droits en justice

Il s’agit d’assurer un équilibre entre protection des données et autres droits fondamentaux.

Quelles sanctions en cas de non-respect ?

La violation des droits des personnes constitue une infraction grave au sens du RGPD. Selon l’article 83(5), les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En 2023, la CNIL a reçu plus de 14 000 plaintes, dont une part majeure concernait l’impossibilité d’exercer ses droits (accès et effacement). Au-delà des sanctions financières, les risques incluent des injonctions, des restrictions de traitement et une atteinte durable à la réputation.

Droit à l’oubli vs droit à l’effacement : quelle différence ?

Le RGPD utilise officiellement l’expression « droit à l’effacement ». Le terme « droit à l’oubli » est davantage employé dans le langage courant et dans les médias, notamment lorsqu’il est question de déréférencement sur les moteurs de recherche.

Dans la pratique, les deux notions sont souvent utilisées comme synonymes, mais le texte juridique parle exclusivement de droit à l’effacement.

Comment les entreprises peuvent anticiper les demandes ?

Anticiper les demandes d’effacement suppose une gouvernance structurée des données.

Cela implique :

Une cartographie claire des traitements

Une documentation des bases légales

Des procédures internes formalisées

Des mécanismes permettant le retrait simple du consentement

Une gestion rigoureuse du consentement, notamment via un bandeau de consentement conforme au RGPD, facilite le traitement ultérieur des demandes et renforce la conformité globale. 

L’une des meilleures façons d’anticiper ces demandes est d’adopter une approche de Privacy by Design. En intégrant une gestion automatisée des préférences via une Consent Management Platform (CMP), vous réduisez le risque d’erreurs humaines et facilitez l’exercice des droits de vos utilisateurs.

Conclusion

Le droit à l’oubli ne se limite pas à une obligation juridique ponctuelle. Il traduit une évolution plus profonde du RGPD : la capacité pour les organisations à maîtriser l’ensemble du cycle de vie des données.

Supprimer des données sur demande suppose de savoir précisément où elles se trouvent, sur quelle base légale elles reposent, combien de temps elles sont conservées et avec quels partenaires elles sont partagées. Autrement dit, le droit à l’effacement est un révélateur du niveau réel de gouvernance des données d’une entreprise.

Dans un environnement où les exigences réglementaires se renforcent et où la confiance numérique devient un avantage compétitif, anticiper ces demandes n’est plus une simple mesure de conformité. C’est un indicateur de maturité en matière de protection des données — et un levier pour construire une relation durable avec les utilisateurs.

Mouna Hrizi

Localization Specialist & Web Editor, Usercentrics GmbH

Lire la biographie