Le Règlement général sur la protection des données existe depuis 2018, mais beaucoup d’internautes ignorent encore comment s’en servir concrètement. Connaître ses droits théoriques, c’est bien. Savoir formuler une demande, identifier le bon interlocuteur, anticiper un refus, et saisir la CNIL en cas de blocage, c’est mieux. Ce guide couvre tout le spectre : des définitions aux étapes pratiques, en passant par les cas où un organisme peut légalement vous dire non.
Comprendre le RGPD et les droits des personnes
Qu’est-ce que le RGPD ? Rappel rapide
Le Règlement général sur la protection des données (RGPD) est la loi européenne qui protège vos données personnelles depuis 2018. Il encadre la façon dont les entreprises, sites web et applications collectent, stockent et utilisent vos informations.
Son ambition centrale :
vous redonner le contrôle sur vos données.
Dans l’Union européenne et en France, vos données personnelles sont protégées par des textes comme le RGPD et la loi Informatique et Libertés.
Ces textes s’imposent à toute entité qui traite des données de résidents européens, qu’il s’agisse d’une startup parisienne, d’une administration publique ou d’une plateforme américaine hébergeant des utilisateurs français. La protection des données personnelles n’est donc pas une option : c’est une obligation légale dont vous êtes le principal bénéficiaire.
Pourquoi ces droits sont essentiels à la protection des données
Afin d’assurer à tous le contrôle de ses données à caractère personnel, le RGPD a défini 7 droits fondamentaux.
Ces droits ne sont pas de simples déclarations d’intention.
Le RGPD ne se limite pas à des principes théoriques : il s’accompagne de pouvoirs de contrôle et de sanction concrets, confiés aux autorités de protection des données, comme la CNIL en France. Lorsqu’un organisme ne respecte pas les droits des personnes ou entrave leur exercice, il s’expose à des conséquences parfois lourdes.
En pratique,
la peur de « mal faire », l’impression que la démarche est longue ou inutile, et l’absence de retours visibles découragent la plupart des citoyens. Tant que ce droit reste perçu comme complexe ou conflictuel, il demeure sous-utilisé, alors qu’il est, en réalité, l’un des plus simples à activer.
Panorama des droits des personnes sous le RGPD
Droit d’accès à ses données personnelles
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD).
Le droit d’accès vous permet de demander à une entreprise, un réseau social, une banque, un opérateur ou même une administration de vous communiquer toutes les données personnelles qu’elle détient à votre sujet.
À cette occasion, le responsable doit lui fournir les informations suivantes : la finalité poursuivie par le traitement (à quoi vont servir les données personnelles collectées) et les destinataires des données personnelles (qui va recevoir et accéder aux données).
Concrètement, cela signifie que vous pouvez demander à votre banque, à un site e-commerce ou à un réseau social exactement quelles informations ils ont sur vous, d’où elles viennent, et à qui elles ont été transmises.
Droit de suppression (ou droit à l’oubli)
Le droit à l’effacement est l’un des droits les plus fréquemment exercés et fait l’objet d’une part très importante des plaintes reçues par la CNIL (37 % en 2024). L’exercice de ce droit permet à une personne de demander à un organisme qu’il supprime ses données personnelles dans les conditions prévues à l’article 17 du RGPD.
Plus connu sous le terme de « droit à l’oubli », il assure aux personnes le droit de demander la suppression de leurs données à caractère personnel dans 6 situations exclusivement, notamment quand les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou quand la personne concernée retire le consentement sur lequel est fondé le traitement.
Attention à une nuance importante :
l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme. Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entraînera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.
Droit d’opposition au traitement des données
Le droit d’opposition vous permet de vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis. Vous devez mettre en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.
Une distinction utile au quotidien :
le droit d’opposition n’implique pas l’effacement des données mais l’arrêt du traitement qui est fait des données personnelles.
Ainsi, si vous recevez des emails publicitaires non désirés, l’opposition suffit à stopper l’envoi sans nécessairement effacer votre adresse de toutes les bases de données de l’entreprise.
Dans le cadre de l’utilisation de services de la société de l’information, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques
, comme un simple lien de désinscription en bas d’un email.
Autres droits à connaître (rectification, portabilité, limitation)
Le responsable du traitement doit garantir des droits aux personnes dont les données sont collectées : droit d’accès, droit de rectification, droit d’effacement, droit à la portabilité des données ainsi que le droit d’opposition au traitement.
Le droit à la portabilité, souvent méconnu, est particulièrement utile lors d’un changement de prestataire.
Il permet à toute personne de recevoir dans un format structuré, couramment utilisé et lisible par machine les données personnelles la concernant déjà fournies à un responsable de traitement, et de faire transmettre directement ces données à un autre responsable de traitement lorsque c’est techniquement possible.
Le droit à la limitation du traitement, lui, est précieux en cas de litige.
Utilisé en attente de la réponse à une demande de rectification ou d’opposition, il permet à la personne de demander la suspension du traitement de ses données pendant l’examen de sa requête : les données sont conservées, mais non traitées.
Qui peut exercer ces droits et dans quels contextes ?
Individus concernés et types d’organisations visées
Tous types d’organisation et toutes les activités, dès lors qu’elles traitent des données à caractère personnel, doivent faciliter l’exercice des droits des personnes prévus par le RGPD.
Cela couvre aussi bien les entreprises privées que les administrations publiques.
Chaque organisme privé ou public doit vous permettre d’exercer vos droits gratuitement.
Exemples concrets : entreprises, administrations, web, réseaux sociaux
Le droit d’accès s’applique à votre banque qui détient votre historique de transactions, à un site e-commerce qui conserve vos adresses de livraison, à votre employeur qui gère votre dossier salarial, ou encore à un réseau social qui profile vos habitudes de navigation. Pour les fichiers liés à la sécurité intérieure ou à la police, la démarche est différente :
pour certains fichiers, vous devez vous adresser à la CNIL. Les fichiers pour lesquels vous devez vous adresser à la CNIL sont majoritairement mis en œuvre par des personnes publiques dans le cadre de certaines activités : sécurités intérieure/extérieure, police, justice, etc.
La question de la cybersécurité, protection des données, phishing et vie privée se pose aussi sur les réseaux sociaux : vous pouvez demander à n’importe quelle plateforme une copie de vos données, puis en demander la suppression si vous souhaitez quitter le service.
Comment exercer ses droits RGPD : les étapes pratiques
Identifier le responsable du traitement (DPO, service client, etc.)
Dans tous les cas, avant de saisir la CNIL, vous devez exercer votre droit auprès de la société, de l’association, ou encore de l’administration qui détient vos données.
La première étape consiste donc à identifier à qui vous adresser.
Identifiez l’organisme puis rendez-vous sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique de confidentialité », « politique vie privée », « mentions légales », etc.).
Adressez un courrier ou un e-mail au responsable du traitement des données de la société (ou au délégué à la protection des données, ou, à défaut d’information, au service client) afin de demander l’effacement de vos données personnelles.
Le délégué à la protection des données (DPO) est l’interlocuteur privilégié quand il en existe un.
Les informations à fournir pour une demande légale efficace
Vous devez justifier de votre identité, par exemple en communiquant votre numéro de client ou d’abonnement en plus de votre identité et de votre adresse, ou en exerçant vos droits à partir d’un compte en ligne sur lequel vous vous êtes préalablement authentifié.
Une bonne demande RGPD contient : votre identité complète, le droit que vous souhaitez exercer (accès, suppression, opposition…), les données concernées si vous pouvez les identifier, et une copie de pièce d’identité si l’organisme a des doutes légitimes sur votre identité.
Si et seulement si l’organisme a des doutes raisonnables sur l’identité du demandeur, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.
Outils, modèles de courrier/email et ressources en ligne
La Commission nationale de l’informatique et des libertés (CNIL) met à votre disposition des modèles de courriers pour exercer vos droits auprès des organismes qui détiennent vos données personnelles. La CNIL propose une douzaine de modèles, appelés « courriers pour agir », couvrant différents domaines.
Voici une check-list avant d’envoyer votre demande :
- Précisez clairement le droit exercé (accès, effacement, opposition) en citant l’article RGPD correspondant (art. 15, 17 ou 21)
- Identifiez les données concernées si possible (nom, email, numéro de client, profil…)
- Indiquez vos coordonnées complètes
- Mentionnez le délai légal d’un mois et le recours CNIL en cas de non-réponse
- Conservez une preuve de votre envoi :
si vous exercez cette démarche par courrier, demandez un accusé de réception qui prouvera la date de votre démarche. - Pour une demande par email :
réalisez une capture d’écran de votre demande ou de la réponse.
Voici un modèle de mail adapté au droit d’opposition, inspiré des formulations officielles :
Objet : Exercice de mon droit d’opposition – Article 21 du RGPD
Madame, Monsieur,
En application de l’article 21.1 du RGPD, je m’oppose au traitement de mes données à caractère personnel par votre organisme car [précisez votre situation particulière, ex. : je ne souhaite plus faire l’objet de prospection commerciale / je conteste le profilage utilisé à mon égard].
Je vous demande de supprimer mes données de vos fichiers et de notifier ma demande aux organismes auxquels vous les auriez communiquées (art. 17.1.c et 19 du RGPD), et de m’en informer au plus tard dans un délai d’un mois (art. 12.3 du RGPD).
À défaut de réponse dans ce délai, je saisirai la CNIL d’une réclamation.
Cordialement,
[Votre nom, coordonnées, numéro de client si applicable]
Délais de réponse et recours en cas de non-respect
Le délai de réponse est de 1 mois maximum à compter de la réception de la demande. En cas de demande complexe, ce délai peut être prolongé de deux mois supplémentaires, mais la personne concernée doit en être informée dans le premier mois.
Ce n’est pas facultatif :
lorsqu’elles exercent leurs droits, les personnes doivent obtenir une réponse avant un mois.
En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez saisir la CNIL.
La saisine se fait directement en ligne sur le site officiel de la CNIL via leur formulaire de plainte.
Pièges, limites et points d’attention courants
Quand un organisme peut refuser une demande (motifs, exemples)
L’organisme peut refuser d’honorer une demande uniquement si celle-ci est manifestement excessive, infondée ou répétitive. Ce refus doit être motivé, et la personne concernée doit être informée de la possibilité de recours auprès de la CNIL ou d’une autre autorité de protection compétente.
Pour le droit à la suppression, les motifs de refus légaux sont précisément définis.
L’effacement peut être refusé dans certains cas, notamment lorsque le traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information, au respect d’une obligation légale ou à l’exécution d’une mission d’intérêt public.
Par exemple,
l’employeur a l’obligation de conserver les bulletins de paie de ses employés même après leur départ. Dans ce cas, l’employeur doit refuser une demande de suppression.
Autre exemple concret :
les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente.
Pour le droit d’opposition hors prospection commerciale,
l’organisme doit prouver que des motifs légitimes et impérieux lui imposent de continuer à traiter vos données malgré votre demande, ou justifier que vos données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice.
Risques de mauvaise utilisation ou d’usurpation d’identité
Le droit d’accès est puissant, mais il attire aussi des tentatives d’usurpation. Une personne malveillante pourrait tenter d’obtenir vos données personnelles en se faisant passer pour vous. C’est pourquoi
si vous avez des doutes sur l’identité de la personne à l’origine de la demande, vous pouvez demander des informations supplémentaires pour confirmer l’identité de la personne concernée. Par exception, le responsable de traitement peut refuser d’accéder à une demande d’exercice des droits s’il démontre qu’il n’est pas en mesure d’identifier la personne concernée. Cela permet d’éviter qu’un tiers accède à des informations personnelles qui ne seraient pas les siennes.
Corollaire pour vous : si un organisme vous demande une pièce d’identité, c’est légal dans la mesure où il a des doutes légitimes. Mais si cette demande semble disproportionnée (par exemple, notaire assermentée pour accéder à votre historique de commandes), signalez-le à la CNIL.
Quels types de données ne peuvent pas toujours être supprimés ou modifiés
Certaines données échappent partiellement ou totalement au droit à l’effacement. Les données nécessaires à un contentieux en cours, les archives journalistiques ou historiques, les données de santé publique, et les données fiscales ou comptables font partie des catégories protégées.
Ce droit n’est pas absolu : il peut être refusé si les données doivent être conservées pour respecter une obligation légale, exercer la liberté d’expression, agir pour des motifs d’intérêt public en santé, faire des recherches archivistiques ou pour la défense de droits en justice.
Pour la protection de ses données personnelles sur internet, il vaut mieux prévenir que guérir : ne partagez que ce qui est nécessaire, et vérifiez régulièrement ce que les plateformes détiennent sur vous grâce au droit d’accès.
Focus pratiques : cas réels et FAQ
Exemples de demandes d’accès / suppression / opposition
Demande d’accès sur un réseau social : Vous souhaitez savoir exactement ce que Facebook, Instagram ou LinkedIn détient sur vous. Rendez-vous dans les paramètres du compte, section « confidentialité » ou « télécharger mes données ». Si la plateforme ne propose pas de solution intégrée, envoyez un email à leur DPO en citant l’article 15 du RGPD.
Suppression sur un site e-commerce : Après votre dernier achat, vous voulez que le site efface votre compte et vos données. Contactez le service client en mentionnant l’article 17 du RGPD. Le site pourra conserver vos données de facturation pendant dix ans, mais devra supprimer le reste.
Seule une rupture de contrat permet la suppression d’un compte chez votre opérateur mobile ou un site de e-commerce.
Opposition à la prospection : Vous recevez des SMS publicitaires non désirés.
Si le traitement est réalisé dans le cadre d’une prospection, aucun motif ne peut être réclamé par le responsable du traitement à la personne qui en fait la demande.
Un simple email citant l’article 21 du RGPD suffit.
Que faire si un organisme ne répond pas ou refuse ?
La procédure est claire et progressive :
- Attendez le délai légal d’un mois (ou trois en cas de demande complexe)
- Conservez toutes les preuves : emails envoyés, accusés de réception, captures d’écran
- Si le responsable de traitement ne donne pas suite à une demande d’exercice de droit, les personnes concernées peuvent introduire une réclamation auprès de l’autorité de contrôle et former un recours juridictionnel. L’organisme s’expose, d’une part à un contrôle de l’autorité, et d’autre part à une sanction.
- Saisissez la CNIL en ligne via son formulaire de plainte (cnil.fr)
En cas de fuite de données personnelles, les démarches sont légèrement différentes, mais le recours à la CNIL reste le pivot central de toute action.
Coordonnées utiles : CNIL et autres autorités
La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité française compétente. Elle est joignable via son site officiel (cnil.fr) pour :
- Déposer une plainte en ligne
- Accéder aux modèles de courriers officiels
- Consulter des fiches pratiques sur chaque droit
- Exercer certains droits indirects (fichiers police, renseignement…)
Pour les fichiers souverains,
selon la complexité de la demande, ces démarches peuvent prendre jusqu’à 6 mois et, exceptionnellement, plus.
Si vous résidez dans un autre pays de l’Union européenne, vous pouvez aussi contacter l’autorité de protection des données de votre pays de résidence.
Ressources et liens pour aller plus loin
Pour approfondir chaque droit et accéder aux modèles de courriers officiels, plusieurs ressources font référence :
- cnil.fr/fr/comprendre-mes-droits : fiches pratiques sur chaque droit, rédigées dans un langage accessible
- cnil.fr/fr/modeles/courrier :
la CNIL propose un grand nombre de modèles de courriers pour aider les personnes à exercer leurs droits sur leurs données personnelles. - service-public.fr : synthèse des obligations des entreprises et des droits des particuliers, mise à jour régulièrement
- Le texte officiel du RGPD (Règlement UE 2016/679), disponible en français sur EUR-Lex
En 2025,
la CNIL procède à des vérifications portant sur le respect du droit à l’effacement
, et
le Comité européen de la protection des données (CEPD) a lancé une action coordonnée visant à évaluer la conformité des organismes publics et privés à l’article 17 du RGPD. Trente-deux autorités de protection des données, dont la CNIL, participent à cette initiative européenne d’envergure.
Le moment est donc particulièrement bien choisi pour vérifier vos propres données et tester la réactivité des organismes qui les traitent. La question n’est plus de savoir si vous avez ces droits, mais combien de temps vous attendrez encore avant de les exercer.