Le droit à l’effacement, souvent appelé « droit à l’oubli », est l’un des droits les plus emblématiques du Règlement Général sur la Protection des Données (RGPD). Pourtant, sa mise en œuvre effective reste encore inégale, voire lacunaire, au sein de nombreuses organisations.
C’est dans ce contexte que la CNIL, en coordination avec les autres autorités européennes de protection des données, a décidé d’intensifier les contrôles.
🟠 1 – Une action coordonnée au niveau européen
En mars 2025, la CNIL a annoncé le lancement d’une série de contrôles ciblés portant sur le droit à l’effacement des données personnelles. Cette initiative s’inscrit dans le cadre d’une action coordonnée du Comité Européen de la Protection des Données (EDPB), qui rassemble les autorités nationales de l’ensemble de l’Espace économique européen.
L’objectif : renforcer l’application du RGPD et garantir que les citoyens puissent exercer pleinement leurs droits, en particulier celui de voir leurs données supprimées lorsqu’il n’existe plus de justification à leur conservation.
🟠 2 – Que veut dire droit à l’effacement ?
Prévu à l’article 17 du RGPD, le droit à l’effacement permet à toute personne concernée de demander à un responsable de traitement la suppression de ses données personnelles dans certaines situations, notamment :
- Lorsque les données ne sont plus nécessaires au regard des finalités initiales ;
- En cas de retrait du consentement ;
- En cas d’opposition légitime au traitement ;
- Lorsque les données ont été traitées de manière illicite ;
- Pour respecter une obligation légale.
Ce droit n’est pas absolu, et certaines exceptions sont prévues, notamment lorsque le traitement est nécessaire à l’exercice du droit à la liberté d’expression, à des fins d’archives ou pour la constatation, l’exercice ou la défense de droits en justice.
🟠 3 – Un signal fort envoyé aux organisations
Ce renforcement des contrôles s’inscrit dans une dynamique plus large de vigilance sur les droits des personnes. Après s’être longtemps concentrées sur les bases légales, les durées de conservation ou les transferts de données, les autorités européennes semblent désormais vouloir recentrer leur action sur les droits opérationnels, en particulier ceux qui restent les plus complexes à mettre en œuvre pour les responsables de traitement.
Les entreprises, associations ou collectivités sont ainsi invitées à réévaluer leurs procédures internes, à former leurs équipes à la gestion des demandes d’effacement et à vérifier l’efficacité technique des processus de suppression.
La CNIL précise que ces contrôles peuvent donner lieu à des mises en demeure, des injonctions ou des sanctions financières, mais aussi à la publication de recommandations destinées à harmoniser les bonnes pratiques au niveau européen.
🟠 Conclusion
Avec cette nouvelle campagne de contrôles, la CNIL et ses homologues européens rappellent que la protection des données ne saurait être une promesse théorique. Le droit à l’effacement, doit être pleinement opérationnel, rapide et conforme aux exigences du RGPD.
Les résultats de cette action coordonnée, attendus dans les prochains mois, pourraient donner lieu à des sanctions exemplaires mais aussi à de nouvelles recommandations visant à renforcer la transparence, la réactivité et l’efficacité des pratiques en matière de suppression des données.
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.