Article 17 du RGPD : Droit à l’effacement (droit à l’oubli)

Texte original du RGPD

1.La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3.Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

a) à l’exercice du droit à la liberté d’expression et d’information;

b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;

d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e) à la constatation, à l’exercice ou à la défense de droits en justice.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 12

Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1;

b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 40

Version en vigueur du 25 mai 2018 au 01 juin 2019

Modifié par LOI n°2018-493 du 20 juin 2018 – art. 24

I.— Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

Lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l’article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu’il a effectuées conformément au premier alinéa.

Article 51

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I.-Le droit à l’effacement s’exerce dans les conditions prévues à l’article 17 du règlement (UE) 2016/679 du 27 avril 2016.

II.-En particulier, sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu’il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

En cas de non-exécution de l’effacement des données à caractère personnel ou en cas d’absence de réponse du responsable du traitement dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

Article 52

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d’accès, de rectification et d’effacement s’exercent dans les conditions prévues à l’article 118, si de telles restrictions ont été prévues par l’acte instaurant le traitement.

Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l’application des dispositions du titre III.

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d’une procédure juridictionnelle, le droit d’accès peut être limité dans les conditions prévues aux e et h du 1 de l’article 23 du règlement (UE) 2016/679 du 27 avril 2016.

Analyse des 3 textes qui précèdent 

Le RGPD consacre expressément le droit à l’effacement des données personnelles, appelé aussi droit à l’oubli numérique. Il fixe les conditions précises d’exercice de ce droit, par exemple quand les données ne sont plus nécessaires, si le consentement est retiré, ou si les données ont été traitées illicitement. Une nouveauté majeure est l’obligation du responsable du traitement, lorsqu’il a rendu publiques ces données, d’informer les tiers pour qu’ils effacent aussi les copies ou liens vers ces données. Ce droit connaît des limites (liberté d’expression, obligations légales, santé publique, archivage, exercice des droits en justice) qui traduisent la nécessaire recherche d’un équilibre entre intérêts individuels et collectifs. L’effacement doit être réalisé sans délai injustifié et la personne concernée doit être informée des suites données à sa demande.

La Directive 95/46/CE contenait déjà, en germe, le droit à l’effacement dans ses articles sur la rectification et l’opposition (article 12 b) notamment). La jurisprudence de la Cour de justice (notamment arrêt Google Spain C-131/12) a confirmé le principe du « droit au déréférencement », en considérant que les responsables du traitement (comme les moteurs de recherche) doivent répondre aux demandes des personnes lorsqu’elles s’opposent au traitement, prolongeant ainsi l’idée d’un droit à l’effacement. Cependant, ce droit n’était pas aussi détaillé ni uniformisé qu’avec le RGPD, laissant une large marge de manœuvre aux États membres pour sa mise en œuvre.

La Loi Informatique et Libertés prévoyait déjà un droit à l’effacement dans ses dispositions sur la rectification (article 40) et la limitation du traitement, mais ce droit restait moins complet que sous le RGPD. La Loi Informatique et Libertés imposait au responsable de traitement l’obligation de supprimer ou modifier les données inexactes ou collectées illégalement, tout en obligeant à notifier les tiers lorsqu’ils ont reçu ces données. Ce droit était cependant souvent lié à la qualification des données comme inexactes ou obsolètes, avec moins d’exceptions détaillées et moins de mécanismes d’information des tiers que ce que précise l’article 17 RGPD

Jurisprudences 

Européennes 

Sanction de 2 000 euros d’amende : Affaire République Tchèque (ETid-2811) – 30 novembre 2020. Le responsable du traitement a été condamné pour ne pas avoir supprimé des données personnelles qui n’étaient plus nécessaires au regard des finalités du traitement.(https://uoou.gov.cz/media/poskytnute-informace/2024/2592024/153-cj-uoou-0305820-9-dokument-c-153.pdf) 

Sanction de 200 000 euros d’amende à ASNEF-EQUIFAX en Espagne : Affaire Espagne – ASNEF-EQUIFAX (ETid-2734) – 19 mai 2025. Cette affaire concerne une importante sanction infligée à ASNEF-EQUIFAX pour manquement aux principes de licéité du traitement des données (article 6 du RGPD) et au droit à l’effacement des données personnelles prévues à l’article 17. L’entreprise, qui gère des informations sensibles sur la solvabilité des clients, a été sanctionnée pour des pratiques illégales dans le traitement et la conservation des données, notamment le refus ou la mauvaise gestion des demandes d’effacement. (https://www.aepd.es/documento/ps-00157-2024.pdf)

C-131/12 (Google Spain, 13 mai 2014)

Arrêt fondamental qui a reconnu le droit au déréférencement par les moteurs de recherche, base juridique de ce qui deviendra l’article 17 du RGPD en matière d’effacement et d’oubli numérique. Cet arrêt équilibre le droit à la vie privée avec le droit à l’information.

C-141/12; C-372/12 (YS e.a., 17 juillet 2014)

Portant sur l’accès et la rectification de données, il contribue à affiner les contours du droit à l’effacement en matière de protection des données.

C-398/15 (Manni, 9 mars 2017)

Décision précisant les limites du droit à l’effacement, notamment concernant la conservation des données dans l’intérêt public, ce qui correspond aux exceptions prévues à l’article 17 RGPD.

C-26/22 et C-64/22 (7 décembre 2023)

Traitent des conflits entre les droits individuels à l’effacement et des intérêts publics étatiques.

Françaises 

CE Fr., n°148975 (9 juillet 1997)

Ancienne décision sur la rectification des données personnelles, fondatrice en droit français

Cass. Fr., n° 13-25.156 (19 novembre 2014) – Cass. Fr., n°17-10.499 (14 février 2018)

Précisent les limites et modalités d’application du droit à l’effacement

CE Fr., n°405939 (3 octobre 2018)

Met en lumière le manquement au droit de rectification et par extension au droit à l’effacement, en renforçant le contrôle juridique des autorités

Recommandations 

CNIL 

Le droit à l’effacement : supprimer vos données en ligne

CEPD 

Lignes directrices sur les critères du droit à l’oubli au titre du RGPD dans le cas des moteurs de recherche – 5/2019 (7 juillet 2020)

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 – wp251rev.01  (6 février 2018)