Droit à l'oubli RGPD : le droit à l'effacement de l'article 17 (2026)

Le droit à l'oubli du RGPD vous permet d'exiger qu'une organisation supprime des données à caractère personnel vous concernant lorsque l'un des six motifs spécifiques de l'article 17(1) s'applique, sauf si l'une des cinq exceptions de l'article 17(3) permet au responsable du traitement de refuser. Établi comme un droit juridique par la Cour de justice de l'UE en 2014 et codifié dans le règlement (UE) 2016/679, il couvre à la fois l'effacement direct des bases de données d'entreprise et le déréférencement des résultats des moteurs de recherche. Les responsables du traitement doivent répondre dans un délai d'un mois.
Pour une vue d'ensemble plus large des huit droits des personnes concernées prévus par le RGPD, consultez Droits des personnes concernées au titre du RGPD. Pour un aperçu du règlement dans son ensemble, consultez Qu'est-ce que le RGPD. Pour le droit complémentaire qui vous permet de voir quelles données un responsable du traitement détient avant de décider de demander leur suppression, consultez Demandes d'accès RGPD. Cette page est le guide complet de l'effacement au titre de l'article 17.
Droit à l'oubli RGPD : le droit à l'effacement de l'article 17 (2026)
Ce que dit réellement l'article 17 du RGPD
L'article 17(1) du règlement (UE) 2016/679 énonce que la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant, lorsque l'un des six motifs s'applique. L'expression « dans les meilleurs délais » est précisée concrètement par le délai de réponse d'un mois de l'article 12(3).
Le considérant 65 du règlement en fournit la finalité législative. Il énonce qu'une personne concernée devrait avoir le droit d'obtenir l'effacement et la cessation du traitement de ses données à caractère personnel, en particulier lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, lorsque la personne concernée a retiré son consentement, ou lorsqu'aucun autre motif légal de traitement n'existe. Le considérant 65 identifie l'environnement en ligne comme le contexte où ce droit compte le plus, et cible explicitement les données partagées durant l'enfance comme une préoccupation prioritaire.
Le considérant 66 ajoute la dimension de cascade en ligne : le droit à l'effacement devrait être étendu de manière à ce qu'un responsable du traitement qui a rendu publiques des données à caractère personnel soit tenu d'informer les autres responsables du traitement qui traitent ces données de la nécessité d'effacer tout lien vers ces données, ainsi que toute copie ou reproduction de ces données. Ce considérant est le fondement structurel direct de l'obligation prévue à l'article 17(2) de notifier les responsables tiers du traitement, et il constitue la base législative permettant d'appliquer le droit au déréférencement des moteurs de recherche même lorsque la page source reste en ligne.
Ces considérants ne constituent pas en eux-mêmes des dispositions juridiques contraignantes, mais ils forment le guide interprétatif faisant autorité de l'intention du législateur. Les juridictions et les autorités de contrôle de l'UE utilisent les considérants pour résoudre les ambiguïtés des articles opérationnels.
Les six motifs d'effacement au titre de l'article 17(1)
Une demande d'effacement ne déclenche l'article 17 que si l'un des six motifs suivants, énoncés à l'article 17(1)(a) à (f), s'applique à votre situation. Le tableau ci-dessous fournit une référence rapide ; les sections suivantes expliquent chacun de ces motifs.
| Motif | Article | Déclencheur |
|---|---|---|
| Données non nécessaires | 17(1)(a) | La finalité initiale a pris fin |
| Consentement retiré | 17(1)(b) | Le consentement était l'unique base juridique et vous l'avez retiré |
| Opposition réussie | 17(1)(c) | L'opposition de l'article 21 a réussi, ou opposition au marketing direct |
| Traitement illicite | 17(1)(d) | Les données ont été collectées ou conservées sans base juridique valide |
| Obligation légale d'effacer | 17(1)(e) | Le droit de l'UE ou d'un État membre exige spécifiquement la suppression |
| Données d'enfants pour des services numériques | 17(1)(f) | Données collectées auprès de vous, enfant, pour un service de la société de l'information |
(a) Données non nécessaires à leur finalité initiale
Si une organisation a collecté des données vous concernant pour remplir une finalité spécifique et identifiée et que cette finalité a pris fin, l'organisation n'a plus de base juridique au titre de l'article 5(1)(e) (le principe de limitation de la conservation) pour continuer à les détenir. Un détaillant qui conserve encore des profils comportementaux détaillés d'un achat effectué il y a plusieurs années, sans relation contractuelle ou légale continue justifiant la conservation, en est un exemple clair. La question clé est de savoir si les données sont encore nécessaires à la finalité spécifique pour laquelle elles ont été collectées, et non si le responsable du traitement peut imaginer un usage futur hypothétique.
Ce motif est le plus fréquemment invoqué en pratique car il s'applique à l'éventail le plus large d'activités de traitement. Il ne requiert pas que vous prouviez une faute ou une illicéité de la part du responsable du traitement ; il suffit que la justification initiale ait expiré.
(b) Consentement retiré et absence d'autre base juridique
Si la seule base juridique du traitement de vos données à caractère personnel était votre consentement au titre de l'article 6(1)(a), et que vous retirez ce consentement, le responsable du traitement doit effacer les données. Le qualificatif crucial est « absence d'autre base juridique » : si le responsable du traitement peut invoquer une justification distincte, telle qu'un contrat au titre de l'article 6(1)(b), une obligation légale au titre de l'article 6(1)(c), ou un intérêt légitime au titre de l'article 6(1)(f), il peut refuser l'effacement fondé uniquement sur le retrait du consentement.
Deux points comptent en pratique. Premièrement, le retrait du consentement est prospectif : il ne rend pas illicite le traitement antérieur au retrait. Deuxièmement, la charge incombe au responsable du traitement d'identifier la base juridique alternative. Il ne peut pas simplement affirmer qu'une base existe ; il doit préciser laquelle s'applique et pourquoi.
(c) Opposition réussie au titre de l'article 21
L'article 21(1) vous donne le droit de vous opposer à un traitement fondé sur des intérêts légitimes ou une mission d'intérêt public. Le responsable du traitement ne peut passer outre votre opposition qu'en démontrant des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés. Lorsque le responsable du traitement n'a pas de tels motifs, l'opposition réussit et l'article 17(1)(c) est déclenché : l'effacement découle de l'opposition réussie.
L'article 21(2) crée une voie inconditionnelle : s'opposer à un traitement à des fins de marketing direct ne comporte aucun test de mise en balance. Un responsable du traitement recevant une opposition au marketing direct ne peut invoquer ni des motifs d'intérêt public ni aucune exception de l'article 17(3) (autres que celles s'appliquant indépendamment aux données elles-mêmes). L'opposition de l'article 21(2) constitue un obstacle absolu au traitement à des fins de marketing direct, et l'effacement des données détenues spécifiquement à cette fin doit suivre.
(d) Traitement illicite
Lorsque des données ont été traitées en violation du RGPD (collectées sans base juridique valide, conservées au-delà de la période licite, traitées d'une manière incompatible avec la finalité initiale, ou obtenues par des moyens trompeurs), l'effacement est disponible que le responsable du traitement ait ou non encore une « finalité » technique pour ces données. Ce motif couvre à la fois l'illicéité initiale (les données n'auraient jamais dû être collectées) et la conservation devenue illicite par la suite (les données ont été licitement collectées mais conservées au-delà de la période autorisée).
Une application courante : un responsable du traitement s'appuie sur le consentement comme base juridique, le formulaire de consentement était invalide (cases précochées, consentement groupé, absence de finalité spécifique), et le traitement était donc illicite dès l'origine. Le motif (d) s'applique même si le responsable du traitement souhaite désormais invoquer rétrospectivement un intérêt légitime.
(e) Effacement requis par le droit de l'UE ou d'un État membre
Certains règlements de l'UE et lois nationales imposent des périodes de conservation obligatoires suivies d'une suppression obligatoire. Lorsqu'une telle obligation légale exige spécifiquement l'effacement après une période définie, cette obligation elle-même déclenche le motif de l'article 17(1)(e). Les lois de conservation des dossiers de santé dans plusieurs États membres en sont un exemple : elles exigent que les dossiers soient conservés pendant une période légale puis détruits.
Ce motif est relativement étroit : l'obligation légale doit spécifiquement exiger la suppression, et non simplement la permettre ou être silencieuse à ce sujet.
(f) Données collectées auprès d'un enfant pour un service de la société de l'information
L'article 17(1)(f) est le motif des données d'enfants et il est le plus difficile à contester pour un responsable du traitement. Au titre de l'article 8(1) du RGPD, l'âge minimal par défaut de consentement pour les services de la société de l'information (plateformes de réseaux sociaux, applications, jeux en ligne et produits numériques similaires) est de 16 ans. Les États membres peuvent abaisser ce seuil jusqu'à 13 ans au minimum, et nombre d'entre eux l'ont fait.
Toute donnée collectée à votre sujet alors que vous étiez sous le seuil national applicable, sans consentement parental ou tutélaire valide, a été traitée illicitement au titre de l'article 8. Cette collecte illicite déclenche simultanément l'article 17(1)(d) et l'article 17(1)(f). Le considérant 65 cible explicitement ce cas, énonçant que le droit à l'oubli est particulièrement important lorsque la personne concernée était enfant au moment de la collecte.
De manière cruciale, ce motif s'applique même si vous êtes désormais adulte. Le fait pertinent est l'âge auquel les données ont été collectées, et non votre âge actuel. Si vous avez créé un compte de réseau social à 14 ans dans un État membre où l'âge de consentement était de 16 ans, vous pouvez invoquer conjointement l'article 17(1)(f) et (d) en tant qu'adulte demandant la suppression de toutes les données collectées durant cette période. La plateforme ne peut pas s'appuyer sur sa relation actuelle, licite, avec vous en tant qu'adulte pour faire échec à une demande d'effacement visant des données collectées durant l'enfance.
La seule limite pratique réside dans les exceptions de l'article 17(3). Lorsque certaines données doivent être conservées au titre d'une obligation légale (par exemple, des dossiers de transactions financières requis par le droit fiscal), ce sous-ensemble spécifique peut être conservé. Mais les profils comportementaux, les données publicitaires, le contenu que vous avez publié en tant que mineur et les dossiers servant des finalités purement opérationnelles sont peu susceptibles de relever d'une exception de l'article 17(3).
Les cinq exceptions : quand l'effacement peut être refusé au titre de l'article 17(3)
Même lorsque l'un des six motifs de l'article 17(1) s'applique, un responsable du traitement peut licitement refuser d'effacer si la poursuite du traitement est nécessaire à l'une des cinq finalités énumérées à l'article 17(3)(a) à (e). Le tableau suivant résume ces exceptions avant que chacune ne soit expliquée.
| Exception | Article | Application typique |
|---|---|---|
| Liberté d'expression et d'information | 17(3)(a) | Journalisme, archives de presse, commentaire d'intérêt public |
| Obligation légale ou mission d'intérêt public | 17(3)(b) | Dossiers fiscaux, dossiers de santé, conformité réglementaire |
| Santé publique | 17(3)(c) | Surveillance des maladies, recherche médicale |
| Archivage, recherche, statistiques | 17(3)(d) | Archives d'intérêt public, jeux de données de recherche scientifique |
| Actions en justice | 17(3)(e) | Contentieux, enquêtes réglementaires, arbitrage |
Il incombe au responsable du traitement d'identifier l'exception applicable et de vous la communiquer par écrit en cas de refus d'une demande. Un refus général ne citant aucun motif spécifique de l'article 17(3) constitue en soi une violation du RGPD.
(a) Liberté d'expression et d'information
Le journalisme, le commentaire, l'opinion, le reportage d'intérêt public et l'archivage d'informations d'un intérêt public réel peuvent tous relever de cette exception. C'est l'exception la plus souvent contestée en justice dans le contexte des moteurs de recherche, où les exploitants l'invoquent régulièrement pour justifier le maintien de liens vers des articles de presse concernant des personnes.
L'exception n'est pas illimitée. Tout article publié concernant une personne privée ne constitue pas une expression protégée d'intérêt public. La balance penche vers la confidentialité lorsque : les faits sont anciens ; la personne n'a joué aucun rôle public ; l'information ne sert plus de finalité publique actuelle ; ou la personne était mineure à l'époque. Elle penche vers l'expression lorsque : le sujet est une personnalité publique ; l'information concerne l'exercice de fonctions publiques ; les faits sont récents ; ou le public a un intérêt réel et actuel. Les lignes directrices 5/2019 de l'EDPB sur les critères du droit à l'oubli dans les affaires de moteurs de recherche énoncent une liste non exhaustive de critères pour cette évaluation, notamment le rôle de la personne concernée dans la vie publique, la nature de l'information, le temps écoulé et toute considération de réhabilitation.
(b) Obligation légale, mission d'intérêt public ou exercice de l'autorité publique
Lorsque le droit de l'UE ou d'un État membre exige que le responsable du traitement conserve des données, celui-ci ne peut pas simplement les effacer sur demande. Le droit du travail, le droit fiscal, le droit de la sécurité sociale, les exigences en matière de lutte contre le blanchiment d'argent et les règles de conservation des dossiers de santé figurent parmi les sources les plus courantes de périodes de conservation obligatoires. Les autorités publiques et les organismes exerçant des fonctions officielles relèvent également de cette exception lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique au titre de l'article 6(1)(e).
L'exception exige que la conservation soit véritablement nécessaire à l'obligation légale ou à la mission d'intérêt public. Un responsable du traitement ne peut pas invoquer une règle juridique vaguement liée comme prétexte pour conserver des données qu'il souhaite garder pour des raisons commerciales.
(c) Santé publique
Le traitement nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique (surveillance des maladies, épidémiologie, pharmacovigilance, réponse aux menaces sanitaires transfrontalières) peut l'emporter sur une demande d'effacement, en particulier pour les données de santé de catégorie particulière au titre de l'article 9. Cette exception est invoquée moins fréquemment par les entreprises privées et plus couramment par les organismes de santé publique et les prestataires de soins.
(d) Archivage dans l'intérêt public, recherche scientifique, recherche historique ou statistiques
Les demandes d'effacement peuvent être refusées lorsque les données sont traitées à des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques, à condition que l'octroi de la demande d'effacement soit susceptible de rendre impossible ou de compromettre gravement la réalisation de ces objectifs. Les archives nationales, les études de recherche universitaire longitudinales et les jeux de données statistiques officielles sont les bénéficiaires les plus courants de cette exception.
Le qualificatif clé est « compromettre gravement » : un responsable du traitement ne peut pas invoquer cette exception comme bouclier général pour tout jeu de données pouvant potentiellement être utile pour une recherche future. Le préjudice doit être manifestement grave et la finalité de recherche véritablement d'intérêt public.
(e) Constatation, exercice ou défense de droits en justice
Si une organisation doit conserver des données pour engager, mener ou se défendre dans un contentieux, un arbitrage, une procédure réglementaire ou une procédure juridique similaire, elle peut invoquer cette exception. Elle est fréquemment invoquée dans les litiges liés à l'emploi (où les dossiers RH peuvent être nécessaires pour se défendre contre une demande de licenciement abusif), dans le contexte des services financiers (où les dossiers de transactions sont nécessaires pour les enquêtes réglementaires), dans les demandes d'assurance et dans les affaires de faute professionnelle.
L'exception ne couvre que les données nécessaires à l'action ou à la procédure spécifique, et non l'ensemble des dossiers du responsable du traitement. Une fois la procédure terminée, la justification de la conservation continue au titre de cette exception disparaît.
La cascade vers d'autres responsables du traitement : article 17(2)
L'article 17(2) traite de la situation où un responsable du traitement a déjà rendu vos données à caractère personnel publiques, par exemple en les publiant sur un site web, en les partageant avec des partenaires publicitaires ou en les distribuant via une place de marché de données. Lorsque ce responsable du traitement est tenu, au titre de l'article 17(1), d'effacer des données qu'il a rendues publiques, l'article 17(2) l'oblige à prendre des mesures raisonnables, y compris des mesures techniques, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer les autres responsables du traitement qui traitent ces données que vous avez demandé l'effacement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.
C'est cette disposition qui rend le droit à l'oubli structurellement distinct d'une simple demande de suppression adressée à une seule entreprise. Le responsable du traitement qui a publié les données a l'obligation de notifier les responsables du traitement en aval de la demande d'effacement. Ces responsables du traitement en aval sont alors indépendamment responsables de se conformer à l'obligation d'effacement dans leurs propres systèmes.
Dans le contexte des moteurs de recherche, l'article 17(2) crée une base indépendante pour soumettre des demandes de déréférencement directement aux exploitants de moteurs de recherche, séparément de toute demande adressée à l'éditeur d'origine. Lorsqu'un site web héberge un contenu licitement publié vous concernant, vous pouvez demander le déréférencement au moteur de recherche car ce dernier est lui-même un responsable du traitement ayant traité les données publiques au sens de l'article 17(2). Vous n'avez pas à obtenir au préalable la suppression de la page source pour demander le déréférencement.
En quoi l'effacement diffère d'une demande d'accès
Le droit à l'effacement au titre de l'article 17 et le droit d'accès au titre de l'article 15 (demande d'accès de la personne concernée, ou DAP) sont des droits distincts servant des finalités différentes, bien qu'ils soient souvent utilisés successivement.
Une demande d'accès au titre de l'article 15 vous donne le droit d'obtenir la confirmation qu'un responsable du traitement détient des données à caractère personnel vous concernant, une copie de ces données, ainsi que des informations sur la manière dont elles sont traitées. Ces informations couvrent les finalités, la base juridique, les destinataires éventuels et la durée de conservation. Une DAP est un droit d'accès à l'information. Elle vous permet de découvrir ce qu'un responsable du traitement détient avant de décider quoi faire de cette information.
Le droit à l'effacement au titre de l'article 17 est un droit d'action : il ordonne au responsable du traitement de supprimer les données. Les deux droits sont logiquement liés mais distincts sur le plan procédural : une DAP ne déclenche pas d'obligation d'effacement, et une demande d'effacement ne vous donne pas droit à une copie des données avant leur suppression.
En pratique, de nombreux conseillers en confidentialité recommandent de soumettre d'abord une DAP pour comprendre précisément quelles données un responsable du traitement détient, sa base juridique et sa politique de conservation. Armé de ces informations, vous êtes mieux placé pour identifier le motif de l'article 17(1) applicable et anticiper les exceptions de l'article 17(3) que le responsable du traitement est susceptible d'invoquer.
Les deux droits sont soumis au même délai de réponse d'un mois au titre de l'article 12(3), et les deux sont gratuits au titre de l'article 12(5).
Où le droit est né : Google Spain (C-131/12, 2014)
Le droit à l'oubli tel qu'appliqué aux moteurs de recherche précède le RGPD. Il a été créé par la Cour de justice de l'Union européenne dans l'affaire C-131/12, Google Spain SL et Google Inc. c. Agencia Espanola de Proteccion de Datos (AEPD) et Mario Costeja Gonzalez, grande chambre, jugée le 13 mai 2014. L'affaire relevait de la directive 95/46/CE alors applicable ; le RGPD a ensuite codifié et renforcé le principe à l'article 17.
Les faits : un ressortissant espagnol, Mario Costeja Gonzalez, a demandé à Google de supprimer des résultats de recherche qui, lorsque son nom était saisi, faisaient apparaître un avis de journal de 1998 concernant une vente aux enchères immobilière liée à une dette, depuis longtemps réglée. L'article de journal d'origine avait été licitement publié. La question était de savoir si Google, en indexant et en renvoyant ces résultats, était lui-même soumis à des obligations de protection des données.
La Cour a jugé au paragraphe 33 que l'activité d'un moteur de recherche (trouver des informations publiées ou mises en ligne par des tiers, les indexer automatiquement, les stocker temporairement et les rendre accessibles aux internautes selon un ordre de préférence donné) doit être qualifiée de traitement de données à caractère personnel lorsque ces informations contiennent des données à caractère personnel. Cela a résolu une question fondamentale : les moteurs de recherche ne sont pas de simples canaux passifs.
Au paragraphe 34, la Cour a jugé que l'exploitant d'un moteur de recherche doit être considéré comme le responsable de ce traitement au sens de l'article 2(d) de la directive 95/46/CE (aujourd'hui l'article 4(7) du RGPD), car il détermine les finalités et les moyens de ce traitement. Il s'agissait de la constatation liminaire qui a rendu juridiquement possible le droit au déréférencement : les moteurs de recherche sont des responsables du traitement soumis à des obligations de protection des données.
Sur le fond du droit à l'effacement, la Cour a jugé au paragraphe 88 que l'exploitant d'un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne, même lorsque la publication elle-même sur ces pages est licite. Le droit de suppression des résultats de recherche est donc indépendant de la licéité de la page source.
Le test de mise en balance au paragraphe 81 fournit la norme directrice : les droits d'une personne concernée à la vie privée et à la protection des données, au titre des articles 7 et 8 de la Charte des droits fondamentaux de l'UE, « prévalent, en règle générale, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt du public à trouver ladite information ». L'exception s'applique lorsque, pour des raisons particulières telles que le rôle joué par la personne concernée dans la vie publique, l'ingérence dans les droits fondamentaux est justifiée par l'intérêt prépondérant du public à avoir accès à l'information en question. C'est le fondement de la distinction relative aux personnalités publiques qui demeure au cœur de toutes les décisions de déréférencement aujourd'hui.
Jusqu'où va le déréférencement : Google c. CNIL (C-507/17, 2019)
À la suite de l'entrée en vigueur du RGPD en mai 2018, l'autorité française de protection des données, la Commission nationale de l'informatique et des libertés (CNIL), a ordonné à Google de mettre en œuvre le déréférencement sur toutes les versions de son moteur de recherche dans le monde entier, et pas seulement sur les domaines destinés aux États membres de l'UE. La CNIL a raisonné que limiter le déréférencement aux domaines destinés à l'UE était inefficace car tout utilisateur de l'UE pouvait facilement accéder aux résultats déréférencés via google.com ou un autre domaine hors UE.
Google a contesté la portée mondiale. Dans l'affaire C-507/17, Google LLC c. CNIL, grande chambre, jugée le 24 septembre 2019, la CJUE a jugé que le droit de l'UE n'exige pas un déréférencement mondial.
La décision principale était que l'exploitant d'un moteur de recherche n'est pas tenu d'effectuer le déréférencement sur toutes les versions de son moteur de recherche à l'échelle mondiale, mais sur les versions de ce moteur correspondant à l'ensemble des États membres. Deux raisons fondaient cette conclusion. Premièrement, le champ d'application territorial du RGPD au titre de l'article 3 et le droit à l'oubli au titre de l'article 17 n'imposent pas, selon l'intention législative de l'UE, d'exigences au-delà du territoire de l'UE. Deuxièmement, de nombreux États tiers ne reconnaissent pas le droit au déréférencement ou adoptent une approche substantiellement différente, et imposer les normes de l'UE à l'échelle mondiale reviendrait effectivement à faire prévaloir le droit de l'UE sur les choix juridiques de ces juridictions.
Toutefois, l'arrêt ne laisse pas les utilisateurs de l'UE sans protection sur le plan de l'accès pratique. La Cour a jugé qu'au sein de l'UE, les exploitants procédant au déréférencement doivent mettre en œuvre des mesures suffisamment efficaces pour empêcher les utilisateurs de l'UE d'accéder aux liens déréférencés via des versions hors UE du moteur de recherche. En pratique, cela signifie le géoblocage : lorsqu'un utilisateur en France se rend sur google.com plutôt que google.fr, le résultat déréférencé doit néanmoins être retenu pour cet utilisateur sur la base de sa géolocalisation dans l'UE.
Le résultat pratique : une demande de déréférencement réussie supprime le lien de google.fr, google.de, google.it et de toutes les autres versions du domaine de l'UE. Le géoblocage devrait empêcher les utilisateurs basés dans l'UE de voir le résultat supprimé sur google.com. Le même lien reste visible pour un utilisateur aux États-Unis ou au Japon accédant à google.com depuis l'extérieur de l'UE.
Application par l'EDPB et l'action coordonnée de 2025
Le Comité européen de la protection des données (EDPB) a publié les lignes directrices 5/2019 sur les critères du droit à l'oubli dans les affaires de moteurs de recherche au titre du RGPD, finalisées après consultation publique en juillet 2020. Ces lignes directrices énoncent treize catégories de cas (allant des personnes concernées ayant joué un rôle dans des procédures pénales aux victimes d'infractions et aux personnalités publiques) et identifient les facteurs que les autorités de contrôle devraient pondérer lors de l'évaluation de l'opportunité d'accorder ou de refuser une demande de déréférencement.
En février 2026, l'EDPB a publié les résultats de son action coordonnée d'application sur le droit à l'effacement (CEF 2025), qui a examiné la manière dont les responsables du traitement à travers l'UE mettaient en œuvre les demandes d'effacement en pratique. L'action coordonnée a constaté des problèmes généralisés : des réponses incomplètes qui accusaient réception des demandes mais ne confirmaient pas si l'effacement avait été effectué ; le recours à des exceptions sans identifier adéquatement laquelle s'appliquait spécifiquement ; et des retards de réponse au-delà du délai d'un mois sans invoquer la prolongation autorisée de deux mois. Le rapport a demandé aux autorités de contrôle des États membres participants de suivre les responsables du traitement présentant des manquements systématiques de conformité.
Le mécanisme d'application coordonnée reflète une maturation dans la manière dont l'EDPB aborde les questions systémiques. Plutôt que de laisser chaque APD nationale identifier indépendamment les manquements, l'EDPB coordonne désormais des campagnes d'application simultanées à travers plusieurs juridictions sur des droits hautement prioritaires. L'effacement a été sélectionné pour la campagne 2025 précisément en raison du volume de plaintes concernant des réponses incomplètes et des refus injustifiés.
Comment soumettre une demande d'effacement à un responsable du traitement
L'article 12(3) exige une réponse dans un délai d'un mois calendaire à compter de la réception de la demande. Il n'existe aucune forme prescrite. Vous pouvez soumettre votre demande par e-mail, via un portail en ligne dédié aux droits en matière de confidentialité, ou par courrier postal. La plupart des grandes organisations opérant sous le régime du RGPD tiennent désormais un portail dédié aux droits en matière de confidentialité, généralement accessible depuis le pied de page de leur site web sous des libellés tels que « Droits en matière de confidentialité », « Demande de la personne concernée » ou « Mes choix de confidentialité ».
Ce qu'il faut inclure dans votre demande
Votre demande doit être suffisamment précise pour permettre au responsable du traitement de vous identifier et de comprendre ce que vous demandez. Incluez :
- Votre nom complet et tout identifiant utilisé par l'organisation vous concernant : adresse e-mail, nom d'utilisateur du compte, numéro client ou numéro de référence.
- Les données spécifiques ou catégories de données que vous souhaitez voir effacées. Plus vous êtes précis, mieux c'est. Si vous avez d'abord effectué une demande d'accès, vous aurez une vision plus claire de ce que le responsable du traitement détient.
- Le motif de l'article 17(1) que vous invoquez. Nommer le motif n'est pas légalement requis, mais cela concentre l'attention du responsable du traitement et rend une réponse vague plus difficile. Par exemple : « Je demande l'effacement au titre de l'article 17(1)(a) du RGPD car les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées » ou « au titre de l'article 17(1)(b) car je retire par la présente mon consentement et aucune autre base juridique n'existe ».
- Une demande de confirmation écrite que l'effacement a été effectué, identifiant les catégories de données supprimées.
- Vos coordonnées pour la réponse.
Au titre de l'article 12(5), la réponse est gratuite. Lorsque les demandes sont manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), le responsable du traitement peut facturer des frais raisonnables ou refuser d'agir, mais la charge de démontrer que ce seuil est atteint incombe entièrement au responsable du traitement. Une demande d'effacement unique et clairement formulée ne peut pas être rejetée comme excessive.
Vérification d'identité
Un responsable du traitement peut vous demander des informations supplémentaires pour vérifier votre identité s'il ne peut pas le faire par des moyens raisonnables sur le plan commercial. Il ne peut pas utiliser cela comme prétexte pour refuser entièrement la demande ou pour prolonger le délai de réponse sans notification. L'article 12(6) permet à un responsable du traitement de demander des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée, mais il doit le faire promptement et ne doit pas utiliser cette étape de vérification pour épuiser le délai de réponse d'un mois.
Que se passe-t-il après votre soumission : délais et escalade
L'article 12(3) accorde au responsable du traitement un mois calendaire à compter de la réception pour répondre. Pour les cas complexes ou les volumes élevés de demandes simultanées, l'article 12(3) autorise une prolongation de deux mois supplémentaires au maximum, mais le responsable du traitement doit vous notifier de la prolongation et de son motif dans le premier mois. Vous devriez recevoir au minimum un accusé de réception substantiel dans un délai d'un mois dans tous les cas ; le silence ne constitue pas une réponse valide.
Si le responsable du traitement fait suite à votre demande, il doit confirmer que l'effacement a été effectué et identifier les données ou catégories de données supprimées. Une réponse indiquant seulement « nous avons pris note de votre demande » sans confirmer l'action n'est pas conforme à l'article 12.
Si le responsable du traitement décide de ne pas agir, l'article 12(4) exige qu'il vous informe sans tarder et au plus tard dans un délai d'un mois à compter de la réception des motifs de son inaction et de deux voies d'escalade : le droit d'introduire une réclamation auprès d'une autorité de contrôle (votre autorité nationale de protection des données, ou APD), et le droit de former un recours juridictionnel directement contre le responsable du traitement devant les juridictions de l'État membre où celui-ci est établi.
Une violation de l'article 17 (y compris le défaut de réponse dans les délais ou un refus injustifié) relève de l'article 83(5)(b) du RGPD en tant que violation des droits des personnes concernées. L'amende administrative maximale est de 20 millions d'euros, ou, dans le cas d'une entreprise, de 4 % du chiffre d'affaires annuel mondial total de l'exercice financier précédent, le montant le plus élevé étant retenu.
Comment soumettre une demande de déréférencement à un moteur de recherche
Pour le déréférencement des résultats de recherche au titre des articles 17(1) et 17(2), soumettez la demande directement à l'exploitant du moteur de recherche, et non au site web hébergeant le contenu. Le moteur de recherche est un responsable du traitement indépendant.
Votre demande doit identifier :
- Les URL spécifiques que vous souhaitez voir supprimées des résultats de recherche (copiez les liens exacts depuis votre page de résultats de recherche).
- Les requêtes de recherche qui font apparaître ces URL en lien avec votre nom.
- Le motif de l'article 17(1) que vous invoquez.
- Pourquoi les résultats sont non pertinents, obsolètes, excessifs ou autrement injustifiés au regard de votre intérêt en matière de vie privée, par exemple que les faits sont anciens, que vous n'étiez pas une personnalité publique, que l'affaire a été résolue, ou que vous étiez mineur à l'époque.
Les exploitants de moteurs de recherche examinent les demandes de déréférencement individuellement. Ils peuvent refuser lorsqu'ils estiment qu'une exception d'intérêt public au titre de l'article 17(3)(a) s'applique, en particulier pour les personnalités publiques, les événements d'actualité récents ou en cours, ou les informations sur la conduite professionnelle véritablement d'intérêt public. Si un moteur de recherche refuse votre demande, vous pouvez saisir votre APD nationale, qui peut enquêter et, si elle estime le refus injustifié, ordonner à l'exploitant de s'y conformer. Vous pouvez également contester un refus directement devant les juridictions de l'État membre où se situe l'établissement de l'UE de l'exploitant.
UK GDPR : l'équivalent post-Brexit
À la suite du Brexit, le Royaume-Uni a conservé le RGPD sous la forme du UK GDPR au titre de l'European Union (Withdrawal) Act 2018, aux côtés du Data Protection Act 2018. Le droit à l'effacement au titre du UK GDPR reprend la structure fondamentale de l'article 17 du RGPD européen : les mêmes six motifs à l'article 17(1), les mêmes cinq exceptions à l'article 17(3), et le même délai de réponse d'un mois au titre de l'article 12(3).
Différences clés par rapport au RGPD européen :
Le UK GDPR est appliqué par l'Information Commissioner's Office (ICO), et non par les autorités de contrôle des États membres de l'UE ou l'EDPB. Si vous êtes situé au Royaume-Uni et que votre demande d'effacement est refusée, vous vous plaignez à l'ICO, et non à une APD continentale.
L'ICO a publié des orientations détaillées sur le droit à l'effacement tant pour les particuliers que pour les organisations, couvrant la manière d'évaluer si l'effacement est requis, la manière de traiter les demandes émanant d'enfants, et le moment où les exceptions s'appliquent. Ces orientations reposent sur le même cadre de l'article 17, mais peuvent diverger des orientations de l'EDPB avec le temps, à mesure que les deux systèmes juridiques évoluent indépendamment après le Brexit.
Pour les particuliers : un résident britannique exerçant des droits d'effacement contre un responsable du traitement établi au Royaume-Uni se plaint à l'ICO. Un résident britannique exerçant des droits contre un responsable du traitement établi dans l'UE qui traite des données de résidents britanniques au titre du RGPD européen doit néanmoins s'adresser à l'APD compétente de l'État membre de l'UE aux fins d'application du droit de l'UE, bien que la résolution pratique implique souvent les deux autorités.
Aucun équivalent fédéral aux États-Unis
Il n'existe aucun équivalent fédéral américain complet au droit à l'oubli du RGPD. Les États-Unis n'ont aucune loi fédérale générale de confidentialité des données accordant aux consommateurs un droit universel d'exiger l'effacement de données à caractère personnel auprès d'organisations privées.
L'équivalent américain le plus proche au niveau des États est le droit à la suppression au titre du California Consumer Privacy Act tel que modifié par le California Privacy Rights Act (CCPA/CPRA), codifié à la section 1798.105 du California Civil Code. Ce droit ne s'applique qu'aux résidents de Californie traitant avec des entreprises couvertes remplissant des seuils spécifiques de chiffre d'affaires ou de volume de données, et il contient sa propre liste étendue d'exceptions.
Au niveau fédéral, le Children's Online Privacy Protection Act (COPPA), 15 U.S.C. section 6501, donne aux parents le droit de demander la suppression de données personnelles collectées en ligne auprès d'enfants de moins de 13 ans par des exploitants couverts par le COPPA. Le seuil du COPPA est fixé à 13 ans sans marge d'appréciation au niveau des États, il ne couvre que les exploitants destinés aux enfants ou ayant connaissance effective de la collecte auprès d'enfants, et le droit appartient aux parents plutôt qu'aux personnes elles-mêmes.
Les tribunaux américains ont généralement refusé de reconnaître un droit d'exiger le déréférencement par un moteur de recherche de contenu licite, s'appuyant sur le Premier Amendement et la section 230 du Communications Decency Act. Un résident américain ne peut pas reproduire une demande d'effacement de l'article 17 au titre du droit fédéral actuel.
Étapes pratiques : liste de contrôle récapitulative
Que vous soyez un particulier formulant une demande ou une organisation devant en traiter une, les étapes suivantes reflètent le cadre de l'article 17.
Pour les particuliers demandant l'effacement :
- Identifiez lequel des six motifs de l'article 17(1) s'applique à votre situation.
- Envisagez de soumettre d'abord une demande d'accès au titre de l'article 15 pour établir précisément quelles données le responsable du traitement détient et sur quelle base juridique, en particulier si vous n'êtes pas certain que le motif (a) (données non nécessaires) s'applique.
- Soumettez la demande d'effacement par écrit, en indiquant le motif, les données spécifiques et vos coordonnées. Gratuit.
- Notez la date de soumission : le délai d'un mois commence à la réception.
- Si le responsable du traitement n'a pas répondu dans un délai d'un mois, ou a refusé sans invoquer une exception spécifique de l'article 17(3), déposez une réclamation auprès de votre APD nationale (au Royaume-Uni : l'ICO).
- Pour le déréférencement des moteurs de recherche, soumettez directement via le formulaire de droits en matière de confidentialité de l'exploitant, avec les URL spécifiques et vos motifs.
Pour les organisations traitant des demandes d'effacement :
- Vérifiez l'identité du demandeur par des moyens proportionnés et répondez rapidement.
- Évaluez si l'un des six motifs s'applique.
- Si un motif s'applique, évaluez si une exception de l'article 17(3) justifie la conservation continue. Documentez l'évaluation.
- En cas d'effacement, confirmez par écrit quelles données ont été supprimées.
- En cas de refus, précisez l'exception exacte de l'article 17(3) dans la lettre de refus et informez le demandeur de son droit de se plaindre auprès de l'autorité de contrôle et de former un recours juridictionnel.
- Si les données ont été rendues publiques, respectez l'obligation de cascade de l'article 17(2) et notifiez les responsables du traitement en aval de la demande d'effacement.
- Répondez dans un délai d'un mois ; si une prolongation est nécessaire, notifiez-en le demandeur ainsi que le motif avant l'expiration du premier mois.
Avertissement : cette page fournit des informations juridiques générales sur le droit à l'effacement du RGPD et ne constitue pas un avis juridique. Le droit de la protection des données implique des évaluations complexes propres aux faits et varie de manière importante entre les États membres de l'UE. Si vous êtes confronté à une situation d'effacement spécifique en tant que personne concernée ou en tant que responsable du traitement, consultez un avocat spécialisé en protection des données ou votre autorité nationale de protection des données.
Guides associés
- Transferts internationaux de données RGPD : les règles du chapitre V (2026)
- Le RGPD s'applique-t-il aux entreprises américaines ? Un guide de conformité
- AI Act européen et protection des données : l'intersection avec le RGPD expliquée
- Lois européennes sur la protection des données : RGPD, AI Act et les réformes numériques 2025-2026
- Qu'est-ce que le RGPD ? Guide complet de la protection des données de l'UE (2026)
Frequently Asked Questions
Qu'est-ce que le droit à l'oubli au titre du RGPD ?
Le droit à l'oubli est le nom courant du droit à l'effacement au titre de l'article 17 du règlement (UE) 2016/679 (RGPD). Il donne aux personnes le droit de demander qu'un responsable du traitement (toute organisation traitant leurs données à caractère personnel) supprime ces données dans les meilleurs délais, lorsque l'un des six motifs spécifiques s'applique. Ces motifs incluent : les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées ; le consentement a été retiré ; la personne s'est opposée avec succès au traitement ; le traitement était illicite ; une obligation légale exige la suppression ; ou les données ont été collectées auprès de la personne alors qu'elle était enfant pour un service numérique. Le droit n'est pas absolu : cinq exceptions à l'article 17(3) permettent aux responsables du traitement de refuser lorsque la poursuite du traitement est nécessaire pour la liberté d'expression, des obligations légales, la santé publique, des finalités de recherche ou la défense de droits en justice.
Comment demander l'effacement au titre du RGPD ?
Soumettez une demande d'effacement écrite au contact de protection des données du responsable du traitement ou à son portail de droits en matière de confidentialité, généralement accessible depuis le pied de page du site web de l'organisation. Incluez votre nom et vos identifiants de compte, précisez quelles données ou catégories de données vous souhaitez voir supprimées, indiquez le motif de l'article 17(1) que vous invoquez, et demandez une confirmation écrite d'exécution. La demande est gratuite. Le responsable du traitement doit répondre dans un délai d'un mois calendaire. En cas de refus, il doit en donner les motifs et vous indiquer comment déposer une plainte auprès de votre autorité nationale de protection des données. S'il ne répond pas du tout dans un délai d'un mois, cela constitue en soi une violation du RGPD et vous pouvez vous plaindre à votre APD nationale.
Quelles sont les exceptions au droit à l'oubli au titre du RGPD ?
L'article 17(3) énonce cinq exceptions permettant à un responsable du traitement de refuser une demande d'effacement même lorsque l'un des six motifs de l'article 17(1) est rempli. Ces exceptions sont : (a) la liberté d'expression et d'information, couvrant le journalisme, le commentaire et les archives d'intérêt public ; (b) le respect d'une obligation légale ou l'exécution d'une mission d'intérêt public, couvrant les périodes de conservation obligatoires au titre du droit du travail, fiscal, de la santé et financier ; (c) la santé publique, couvrant la surveillance des maladies et la recherche médicale ; (d) l'archivage dans l'intérêt public, la recherche scientifique ou historique, ou les statistiques, lorsque l'effacement compromettrait gravement la recherche ; et (e) la constatation, l'exercice ou la défense de droits en justice, couvrant le contentieux et les procédures réglementaires. Le responsable du traitement doit identifier l'exception spécifique applicable et vous la communiquer par écrit. Un refus général sans citer de motif constitue en soi une violation du RGPD.
Le droit à l'oubli s'applique-t-il aux résultats de recherche Google ?
Oui. La Cour de justice de l'UE a jugé dans l'arrêt Google Spain (affaire C-131/12, 2014) que les moteurs de recherche sont des responsables du traitement et doivent supprimer des liens des résultats sur demande lorsque l'un des motifs de l'article 17(1) s'applique, même si la page web sous-jacente reste licitement publiée. Vous soumettez une demande de déréférencement directement à l'exploitant du moteur de recherche. Toutefois, l'arrêt Google c. CNIL (affaire C-507/17, 2019) a confirmé que le droit de l'UE n'exige pas un déréférencement mondial : l'obligation se limite aux versions du moteur de recherche destinées aux États membres de l'UE (google.fr, google.de, etc.), bien que le géoblocage doive empêcher les utilisateurs de l'UE d'accéder aux résultats déréférencés via des domaines hors UE tels que google.com.
Combien de temps une entreprise a-t-elle pour supprimer mes données après ma demande d'effacement ?
Au titre de l'article 12(3) du RGPD, le responsable du traitement doit agir et confirmer l'action dans un délai d'un mois calendaire à compter de la réception de votre demande. Le mois court à partir de la date de réception de la demande, et non à partir d'un quelconque accusé de réception. Le responsable du traitement peut prolonger ce délai de deux mois supplémentaires au maximum pour les cas complexes ou les volumes élevés de demandes, mais il doit vous notifier de la prolongation et en expliquer le motif dans le premier mois. Un silence de plus d'un mois constitue une violation du RGPD. Si vous ne recevez aucune réponse dans un délai d'un mois, déposez une plainte auprès de votre autorité nationale de protection des données.
Puis-je demander l'effacement de données collectées alors que j'étais enfant ?
Oui, et c'est l'un des motifs d'effacement les plus solides disponibles. L'article 17(1)(f) du RGPD vous donne le droit de demander l'effacement de données à caractère personnel collectées auprès de vous en tant qu'enfant pour un service de la société de l'information (une plateforme de réseau social, une application, un jeu ou un service numérique similaire). Le RGPD fixe l'âge minimal de consentement pour de tels services à 16 ans, bien que les États membres puissent l'abaisser jusqu'à 13 ans au minimum. Si des données ont été collectées auprès de vous alors que vous étiez sous le seuil d'âge applicable, cette collecte était illicite, et vous disposez de motifs au titre de l'article 17(1)(d) (traitement illicite) et de l'article 17(1)(f) à la fois. Vous pouvez formuler cette demande en tant qu'adulte ; ce qui compte est votre âge au moment de la collecte, et non votre âge actuel.
Quelle est la différence entre une demande d'effacement RGPD et une demande d'accès ?
Une demande d'accès (DAP) au titre de l'article 15 du RGPD est un droit d'information : elle vous permet de découvrir quelles données à caractère personnel un responsable du traitement détient à votre sujet, pourquoi il les détient et comment il les traite. Une demande d'effacement au titre de l'article 17 est un droit d'action : elle ordonne au responsable du traitement de supprimer les données. Les deux droits sont souvent utilisés successivement, une DAP en premier pour identifier quelles données existent et sur quelle base juridique, puis une demande d'effacement une fois cette information obtenue. Les deux sont gratuites et soumises à un délai de réponse d'un mois au titre de l'article 12. Formuler une DAP ne déclenche pas automatiquement l'effacement, et formuler une demande d'effacement ne vous donne pas droit à une copie des données avant leur suppression.
Le droit à l'oubli s'applique-t-il mondialement ou uniquement dans l'UE ?
Le droit à l'effacement du RGPD s'applique aux personnes concernées situées dans l'UE et aux responsables du traitement établis dans l'UE ou ciblant des résidents de l'UE. Il ne s'étend pas automatiquement au traitement de personnes non européennes par des entreprises non européennes. Pour le déréférencement des moteurs de recherche en particulier, la CJUE a jugé dans l'arrêt Google c. CNIL (C-507/17, 2019) que le droit de l'UE n'exige le déréférencement que des versions du moteur de recherche destinées aux États membres de l'UE, et non à l'échelle mondiale. Un résident américain n'a aucun droit RGPD d'exiger qu'une entreprise américaine efface des données, bien qu'il puisse disposer de droits au titre de lois d'États américains telles que le droit à la suppression du CCPA californien.
Que puis-je faire si une entreprise refuse ma demande d'effacement ?
Si un responsable du traitement refuse votre demande d'effacement, il doit vous fournir des motifs écrits citant une exception spécifique de l'article 17(3), et il doit vous indiquer comment escalader la situation. Vous disposez de deux voies principales : premièrement, déposer une réclamation auprès de votre autorité de contrôle nationale (au Royaume-Uni, l'ICO ; en France, la CNIL ; en Allemagne, l'APD du land compétent ou le BfDI ; en Irlande, la DPC), qui peut enquêter et ordonner au responsable du traitement de se conformer ; deuxièmement, former un recours juridictionnel directement contre le responsable du traitement devant les juridictions de l'État membre où celui-ci est établi, au titre de l'article 79 du RGPD. Les refus injustifiés, ainsi que l'absence totale de réponse, peuvent entraîner des amendes administratives allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Existe-t-il un droit à l'oubli aux États-Unis ?
Il n'existe aucun équivalent fédéral américain au droit à l'oubli du RGPD. L'équivalent le plus proche est le droit à la suppression au titre du CCPA/CPRA californien, codifié à la section 1798.105 du California Civil Code, qui ne s'applique qu'aux résidents de Californie traitant avec des entreprises couvertes et contient de larges exceptions. Au niveau fédéral, le COPPA donne aux parents le droit de demander la suppression de données collectées auprès d'enfants de moins de 13 ans, mais sa portée est plus étroite et il ne s'applique qu'aux exploitants de services destinés aux enfants. Les tribunaux américains ont généralement refusé d'exiger des moteurs de recherche qu'ils déréférencent du contenu licite, s'appuyant sur le Premier Amendement et la section 230 du Communications Decency Act.
Sources and References
- Règlement (UE) 2016/679 (RGPD), Journal officiel de l'Union européenne, texte intégral incluant les articles 12, 17, 21 et les considérants 65-66(eur-lex.europa.eu)
- CJUE, affaire C-131/12, Google Spain SL et Google Inc. c. AEPD et Mario Costeja Gonzalez, grande chambre, 13 mai 2014(eur-lex.europa.eu)
- CJUE, affaire C-507/17, Google LLC c. Commission nationale de l'informatique et des libertés (CNIL), grande chambre, 24 septembre 2019(eur-lex.europa.eu)
- Lignes directrices 5/2019 de l'EDPB sur les critères du droit à l'oubli dans les affaires de moteurs de recherche au titre du RGPD, adoptées le 7 juillet 2020 après consultation publique(edpb.europa.eu)
- EDPB, action coordonnée d'application : mise en œuvre du droit à l'effacement par les responsables du traitement (rapport CEF 2025, 18 février 2026)(edpb.europa.eu)
- California Civil Code section 1798.105 (droit à la suppression CCPA/CPRA), California Legislative Information(leginfo.legislature.ca.gov)