Le 19 février 2026, la CNIL a publié le bilan de ses contrôles portant sur le droit à l’effacement des données personnelles, réalisés dans le cadre d’une action coordonnée au niveau européen entre plusieurs autorités de protection des données.
Ces contrôles visaient à vérifier comment les organisations traitent les demandes d’effacement formulées par les personnes concernées, un droit essentiel consacré par le RGPD et souvent appelé « droit à l’oubli ».
Une prise en compte globale des demandes
Les investigations ont été menées auprès de six organismes de tailles et de secteurs différents, certains ayant été sélectionnés à la suite de plaintes.
Premier constat : la plupart des organisations contrôlées prennent bien en compte les demandes d’effacement.
Lorsque les demandes sont refusées, les motifs invoqués sont généralement conformes aux exceptions prévues par le RGPD, par exemple lorsqu’une obligation légale de conservation s’impose à l’organisme.
Ce point montre que les entreprises ont globalement intégré l’existence du droit à l’effacement dans leurs pratiques.
Des difficultés opérationnelles persistent
Malgré cette prise en compte globale, la CNIL a identifié plusieurs difficultés récurrentes.
Certaines organisations ne disposent pas de procédures internes suffisamment structurées pour traiter efficacement les demandes. Cela peut entraîner des délais plus longs ou des réponses incomplètes.
L’autorité a également constaté une information parfois insuffisante des personnes sur la manière d’exercer leur droit à l’effacement.
Enfin, un problème technique revient fréquemment : la suppression des données dans les systèmes de sauvegarde. Les sauvegardes étant conçues pour restaurer les systèmes en cas d’incident, l’effacement immédiat des données qu’elles contiennent peut s’avérer complexe.
Les grandes organisations mieux préparées
Le bilan met également en évidence une différence notable selon la taille des structures.
Les organismes de grande taille, qui reçoivent un volume plus important de demandes, disposent généralement de procédures plus formalisées et de mécanismes plus structurés pour gérer ces requêtes.
À l’inverse, les structures plus petites ont parfois une approche plus informelle, qui peut compliquer la gestion et la traçabilité des demandes.
Des mesures correctrices déjà engagées
À la suite de cette campagne de contrôles, la CNIL a déjà prononcé deux mises en demeure.
Les autres contrôles sont toujours en cours d’instruction et pourraient conduire à de nouvelles mesures correctrices.
Par ailleurs, au niveau européen, les autorités envisagent de renforcer les actions de sensibilisation, notamment par la publication de guides pratiques destinés à aider les organisations à mieux appliquer le droit à l’effacement.
Ce que doivent retenir les dirigeants
Ce bilan rappelle que le droit à l’effacement n’est pas uniquement un principe juridique : c’est un processus opérationnel qui doit être intégré dans l’organisation.
Pour les dirigeants, plusieurs points sont essentiels :
- mettre en place une procédure interne claire pour traiter les demandes des personnes concernées ;
- former les équipes susceptibles de recevoir ces demandes ;
- documenter les refus lorsque des obligations légales empêchent l’effacement ;
- anticiper les contraintes techniques liées aux systèmes de sauvegarde.
La gestion des droits des personnes constitue aujourd’hui un indicateur majeur de maturité RGPD.
Conclusion : un droit central pour la confiance numérique
Le droit à l’effacement est l’un des piliers du RGPD, car il permet aux individus de reprendre le contrôle sur leurs données personnelles.
Le bilan publié par la CNIL montre que les organisations ont progressé, mais que des améliorations restent nécessaires, notamment en matière de procédures internes et de gestion technique des données.
Pour les entreprises, l’enjeu est double : répondre correctement aux demandes des utilisateurs et démontrer leur conformité en cas de contrôle.
