Dans le cadre d’une action coordonnée menée au niveau européen, la CNIL a procédé en 2025 à une série de contrôles visant à vérifier la mise en œuvre du droit à l’effacement. Cette initiative s’inscrit dans le dispositif de coopération du Comité européen de la protection des données (CEPD).
Au-delà du constat chiffré, ces contrôles permettent d’apprécier le niveau réel d’appropriation d’un droit devenu central dans la pratique du RGPD.
🟠 Une action coordonnée à l’échelle européenne
Pour la quatrième année consécutive, plusieurs autorités européennes ont participé à ce mécanisme de contrôle coordonné.
En France, la CNIL a réalisé des contrôles sur place auprès de six organismes, de tailles et secteurs variés, certains identifiés à partir de plaintes reçues. L’objectif : évaluer concrètement la manière dont les demandes d’effacement sont traitées.
🟠 Un droit globalement respecté, mais des fragilités persistantes
Les investigations montrent que les demandes d’effacement sont, dans l’ensemble, prises en compte. Les refus opposés reposent généralement sur les exceptions prévues par le RGPD (obligation légale de conservation, liberté d’expression, etc.).
Toutefois, plusieurs difficultés subsistent :
- absence ou insuffisance de procédures internes dédiées ;
- information incomplète des personnes concernées ;
- complexité liée aux durées de conservation et à la suppression des données issues de sauvegardes ;
- difficultés d’arbitrage lorsque le droit à l’effacement doit être concilié avec d’autres droits et libertés.
Ces constats prolongent ceux déjà formulés en 2024 lors de l’action coordonnée consacrée au droit d’accès.
🟠 Des écarts selon la taille des organismes
La taille et le secteur d’activité influencent le niveau de conformité observé. Les grandes structures, bien que recevant davantage de demandes, disposent plus fréquemment de procédures formalisées et de mesures techniques adaptées.
À l’inverse, certains organismes rencontrent encore des obstacles organisationnels ou juridiques dans la gestion des demandes.
🟠 Des suites concrètes
À l’issue des contrôles, la CNIL a déjà prononcé deux mises en demeure. D’autres procédures sont en cours et pourraient aboutir à des rappels à l’ordre, de nouvelles mises en demeure, voire à des sanctions administratives.
🟠 Conclusion
Ce bilan révèle une mise en œuvre globalement effective du droit à l’effacement, mais encore perfectible sur le plan organisationnel et technique.
Il confirme que l’enjeu ne réside plus seulement dans la connaissance du droit, mais dans sa traduction opérationnelle. Les actions de sensibilisation envisagées à l’échelle européenne pourraient ainsi constituer la prochaine étape vers une application plus homogène et sécurisée du RGPD.