Comment demander la suppression de mes données personnelles ?

Envoyez un email à l'adresse privacy@ ou dpo@ de l'organisation (cherchez « politique de confidentialité » sur le site) en mentionnant votre droit à l'effacement selon l'article 17 du RGPD, votre identité, et les données à supprimer. L'organisation a 1 mois pour répondre (extensible à 3 mois pour les demandes complexes). En l'absence de réponse ou en cas de refus injustifié, saisissez la CNIL via son formulaire en ligne — c'est gratuit.

Le droit à l'oubli s'applique-t-il à Google ?

Oui, pour les résultats de recherche en Europe. Le droit au déréférencement (distinct du droit à l'effacement) permet de demander à Google de retirer un lien des résultats pour votre nom. Google analyse la demande au regard de l'intérêt public — les personnes publiques ont moins de chances d'obtenir gain de cause. En 2024, Google a accepté 47 % des demandes de déréférencement. Le formulaire est disponible sur support.google.com/legal/contact/lr_eudpa.

Peut-on récupérer toutes ses données Facebook, Instagram, Google ?

Oui, via le droit à la portabilité. Facebook propose « Vos informations Facebook > Télécharger vos informations », Google via takeout.google.com, Instagram via Paramètres > Votre activité > Télécharger vos informations. Les données sont fournies dans un délai de 30 jours, en format ZIP (JSON ou HTML). Le droit à la portabilité ne couvre que les données fournies activement (posts, messages) — pas les données déduites (profil publicitaire, score de risque).

Que fait la CNIL avec les plaintes des particuliers ?

La CNIL reçoit environ 15 000 plaintes par an. Elle priorise les plaintes systémiques (qui concernent beaucoup de personnes) et les secteurs sensibles (santé, enfants, RH). Pour les litiges individuels simples, elle propose d'abord une médiation. En cas de violation avérée, elle peut imposer des amendes jusqu'à 4 % du chiffre d'affaires mondial. En 2024, Google a écopé de 150 M€ pour son système de cookies non conforme.

Le RGPD s'applique-t-il aux applications mobiles gratuites ?

Oui, dès qu'elles collectent des données personnelles de résidents européens. Les applications gratuites sont souvent financées par la publicité ciblée — ce qui est de la collecte de données. Vous avez le droit de savoir quelles données sont collectées (politique de confidentialité), de vous y opposer (paramètres de l'app ou du système), et de demander leur suppression. Sur iOS, le menu Paramètres > Confidentialité > Suivi liste toutes les apps qui vous suivent et permet de tout révoquer en un clic.

RGPD 2026 : vos droits renforcés — interview d'une déléguée à la protection des données

Le RGPD a 8 ans. Pourtant, selon une étude OpinionWay de 2025, 9 Français sur 10 ne savent toujours pas comment exercer leurs droits de manière concrète. Sophie Arnaud est déléguée à la protection des données (DPO) certifiée CIPP/E depuis 9 ans. Elle accompagne des PME et des TPE bordelaises dans leur mise en conformité — et répond aux particuliers qui, chaque semaine, lui posent les mêmes questions sur Facebook, les newsletters, et les données qu'ils ne savaient pas qu'on collectait sur eux.

Sophie Arnaud, DPO certifiée CIPP/E

Déléguée à la Protection des Données indépendante depuis 9 ans, basée à Bordeaux. Certifiée CIPP/E (Certified Information Privacy Professional / Europe). Spécialisée en mise en conformité RGPD pour PME/TPE, droit au déréférencement, transferts hors UE et suivi des sanctions CNIL. Profil éditorial composite — portrait illustratif.

Depuis l'entrée en vigueur du RGPD en mai 2018, les droits des résidents européens sur leurs données personnelles n'ont cessé de s'élargir. Pourtant, l'écart entre les droits théoriques et leur exercice concret reste considérable. Comprendre ce qu'on peut vraiment demander — et comment le faire efficacement — est devenu un enjeu du quotidien numérique. Pour une lecture complémentaire, notre guide complet sur la suppression de vos données et le droit à l'oubli détaille les procédures étape par étape.

Section 1 — Vos 8 droits RGPD : ce que vous pouvez vraiment demander en 2026

Thomas Lebrun : Sophie, commençons par le commencement. Le RGPD donne 8 droits aux personnes concernées. Lesquels sont réellement utilisables au quotidien en 2026 ?

Sophie Arnaud :
La réalité c'est que sur les 8 droits, 4 sont vraiment pratiques pour un particulier. Le droit d'accès (article 15) — vous pouvez demander à n'importe quelle organisation ce qu'elle détient sur vous et dans quel but. Le droit à l'effacement (article 17) — demander la suppression. La portabilité (article 20) — récupérer vos données dans un format réutilisable. Et le droit d'opposition (article 21) — refuser le traitement, notamment pour le profilage publicitaire.

Les autres existent mais sont moins actionnables concrètement : la rectification (corriger des données inexactes), la limitation du traitement (geler les données pendant un litige), les droits liés aux décisions automatisées, et le droit à l'information — ce dernier, vous l'exercez passivement en lisant les politiques de confidentialité que personne ne lit, mais que le RGPD oblige à rédiger clairement.

Ce que beaucoup ignorent, c'est que vous pouvez exercer ces droits sans justification particulière. Vous n'avez pas à expliquer pourquoi vous voulez supprimer vos données. Vous n'avez pas à prouver un préjudice. C'est votre droit — point.

Tableau récapitulatif des 8 droits RGPD avec exemples pratiques et délais de réponse

Section 2 — Droit à l'effacement : quand ça marche, quand ça échoue

Thomas Lebrun : Le droit à l'effacement est celui que les gens demandent le plus. Mais j'ai souvent entendu dire qu'il ne fonctionne pas. Quelle est la réalité ?

Sophie Arnaud :
Il fonctionne très bien dans certains cas, et pas du tout dans d'autres — et la frontière est précise. Le droit à l'effacement s'applique quand le traitement n'est plus nécessaire à la finalité initiale (exemple : vous vous êtes désinscrit d'un service, vos données de contact n'ont plus de raison d'être conservées), quand vous retirez votre consentement, ou quand le traitement était illicite dès le départ.

Concrètement, les cas où ça marche bien : newsletters marketing, données de profil sur des réseaux sociaux, historique d'achats sur des e-commerces dont vous n'êtes plus client. Les entreprises sérieuses respectent ces demandes sous 30 jours — et les moins sérieuses le font sous pression d'une plainte CNIL.

Là où ça échoue, c'est quand l'organisation peut invoquer une obligation légale de conservation. Un comptable doit garder vos factures 10 ans. Un employeur doit garder vos bulletins de salaire 5 ans. Votre banque doit conserver les traces de vos transactions 5 à 10 ans selon la nature. Dans ces cas, votre demande d'effacement sera légitimement refusée — mais l'organisation doit vous expliquer pourquoi, par écrit, et dans le délai d'un mois. Et c'est là que ça devient intéressant : même si les données ne peuvent pas être supprimées, vous pouvez souvent obtenir leur limitation — elles sont archivées mais plus utilisées activement.

Section 3 — Droit à la portabilité : récupérer VOS données chez Facebook, Google, LinkedIn

Thomas Lebrun : Parlons de la portabilité. Comment récupère-t-on concrètement ses données chez les grands plateformes ?

Sophie Arnaud :
C'est devenu bien plus accessible qu'on ne le croit. Chez Google, c'est takeout.google.com — vous sélectionnez les services dont vous voulez les données (Gmail, Drive, Photos, recherches, YouTube, Maps), et Google vous prépare une archive ZIP dans les 24 à 48 heures selon le volume. Chez Facebook et Instagram, c'est dans les paramètres du compte, section « Vos informations Facebook » ou « Télécharger vos informations ». LinkedIn a le même mécanisme dans Paramètres > Confidentialité et sécurité > Obtenir une copie de vos données.

Ce que la portabilité couvre, c'est les données que vous avez fournies activement : vos posts, vos messages, vos photos, votre liste d'amis, vos abonnements. Ce qu'elle ne couvre pas, ce sont les données déduites — votre score de fiabilité de crédit selon Facebook, votre profil publicitaire selon Google, les scores de risque que ces plateformes établissent sur vous. Ces données existent, elles vous concernent, mais la portabilité ne les inclut pas. Pour y avoir accès, c'est le droit d'accès (article 15) qu'il faut exercer, par courrier recommandé en général, et les réponses sont souvent très vagues.

Un conseil pratique : exercez le droit à la portabilité avant de fermer un compte. Une fois le compte supprimé, vous perdez aussi l'accès aux données. J'ai eu des cas de personnes qui avaient supprimé leur compte Facebook sans récupérer leurs photos — des années de souvenirs définitivement perdus.

Section 4 — Droit d'opposition au profilage publicitaire : comment l'exercer

Thomas Lebrun : Le profilage publicitaire, c'est un sujet qui irrite beaucoup de gens. Peut-on vraiment s'y opposer ?

Sophie Arnaud :
Oui, et le RGPD est explicite là-dessus : l'article 21 donne un droit d'opposition au traitement à des fins de marketing direct et de profilage lié à ce marketing. Quand vous exercez ce droit, l'organisation doit cesser d'utiliser vos données à ces fins — sans qu'elle puisse invoquer un intérêt légitime pour outrepasser votre objection. C'est l'un des rares cas où votre droit est absolu.

Concrètement : sur les sites e-commerce, le bandeau de cookies vous permet d'exercer ce droit à chaque visite — et depuis les rappels de la CNIL en 2024, refuser doit être aussi simple qu'accepter. Sur les réseaux sociaux, les paramètres publicitaires permettent de limiter le ciblage. Sur LinkedIn, c'est dans Paramètres > Publicités. Sur Facebook/Instagram, c'est dans les paramètres publicitaires de chaque application.

Là où beaucoup de gens se font avoir, c'est sur la distinction entre « refuser les cookies » et « opposer au traitement de ses données déjà collectées ». Vous pouvez avoir cliqué sur « Accepter » des années, et exercer aujourd'hui votre droit d'opposition pour que l'entreprise arrête d'utiliser ce profil qu'elle a construit. Ce sont deux actions distinctes. Protéger votre vie privée passe aussi par la protection et le chiffrement de vos données personnelles avant tout stockage ou partage.

Section 5 — CNIL 2025-2026 : nouvelles sanctions et tendances

Thomas Lebrun : Les sanctions CNIL ont-elles évolué ces derniers mois ? On entend parler de montants records.

Sophie Arnaud :
La réalité c'est que 2024-2025 a marqué un tournant. La CNIL a reçu environ 15 000 plaintes en 2024 — une hausse de 25 % par rapport à 2022. Et elle sanctionne de plus en plus vite, de plus en plus fort. L'amende de 150 M€ infligée à Google en décembre 2024 pour son mécanisme de refus des cookies sur YouTube — qui exigeait deux clics pour refuser mais un seul pour accepter — a envoyé un signal fort : les asymétries d'interface (ce que les juristes appellent les « dark patterns ») sont désormais sanctionnées au même titre que les violations directes.

Ce que beaucoup ignorent, c'est que la CNIL publie aussi des mises en demeure non publiques. Sur les 15 000 plaintes, la grande majorité donne lieu à une résolution amiable — l'entreprise corrige, la CNIL n'inflige pas d'amende. Seules les refus persistants ou les violations systémiques aboutissent à des sanctions publiques. C'est intentionnel : la CNIL veut inciter à la conformité, pas punir pour punir.

Sur le front législatif, le RGPD 2.0 est en discussion au Parlement européen — il renforcerait encore les droits des mineurs et encadrerait plus strictement l'intelligence artificielle dans les décisions automatisées. Et la DSP3 (directive sur les services de paiement) va obliger les banques et fintechs à des obligations renforcées de portabilité des données financières. Pour suivre ces évolutions, les actualités sur les sanctions CNIL et la conformité RGPD en entreprise sont une bonne ressource de veille.

Section 6 — Faire une demande d'effacement efficace : le template qui marche

Thomas Lebrun : Pour nos lecteurs qui veulent passer à l'action, quelle est la bonne façon de formuler une demande d'effacement ?

Sophie Arnaud :
Concrètement, voici la structure qui fonctionne. Objet : « Exercice du droit à l'effacement — Article 17 RGPD ». Corps : identifiez-vous clairement (nom, prénom, email associé au compte), désignez les données concernées aussi précisément que possible, invoquez l'article 17 du Règlement (UE) 2016/679, rappelez que le délai de réponse est d'un mois, et demandez une confirmation de la suppression effective. C'est tout. Pas besoin d'argumentaire juridique complexe.

Ce qui change tout, c'est d'adresser la demande à la bonne adresse. Cherchez « DPO » ou « délégué à la protection des données » dans les mentions légales du site, ou tentez dpo@entreprise.fr ou privacy@entreprise.fr. Les grandes entreprises ont des équipes dédiées qui traitent ces demandes efficacement. Les petites structures sont parfois moins réactives — c'est là qu'une plainte CNIL accélère les choses.

Un piège courant : envoyer la demande via le formulaire de contact généraliste du site. Ces demandes se perdent dans les tickets de support client. Toujours passer par email avec accusé de lecture, ou par courrier recommandé pour les organisations qui tardent. Et conserver la preuve d'envoi — si vous devez saisir la CNIL, vous aurez besoin de prouver que vous avez bien contacté l'organisation et qu'elle n'a pas répondu dans les délais.

Enfin, si l'entreprise refuse ou ne répond pas : le formulaire de plainte CNIL est à plainte.cnil.fr. La CNIL instruit, contacte l'entreprise, et obtient généralement une réponse sous 3 à 6 mois. Ce n'est pas instantané, mais ça marche.

Formulaire de demande d'effacement de données personnelles rempli avec en-tête CNIL

5 questions rapides — vrai/faux sur le RGPD

Thomas Lebrun : Le RGPD ne s'applique qu'en France.

Sophie Arnaud : Faux. Le RGPD s'applique à toute organisation qui traite des données de résidents européens, peu importe où l'organisation est basée. Amazon, Netflix, TikTok, Google — toutes ces entreprises y sont soumises dès lors qu'elles proposent des services à des résidents de l'UE. C'est le critère de résidence des personnes concernées, pas le siège de l'entreprise.

Thomas Lebrun : On peut demander l'effacement de ses données n'importe quand, sans raison.

Sophie Arnaud : Vrai dans la plupart des cas courants — mais avec des exceptions. Si l'organisation a une obligation légale de conservation, elle peut refuser. Et si vos données sont nécessaires à un contrat en cours, l'effacement n'est pas possible tant que le contrat est actif. Mais pour les données marketing, les profils sur des services que vous n'utilisez plus, ou les données collectées avec votre consentement que vous retirez — oui, vous n'avez pas à vous justifier.

Thomas Lebrun : La CNIL peut donner suite à toutes les plaintes individuelles.

Sophie Arnaud : Faux. La CNIL priorise ses ressources. Les plaintes individuelles pour des litiges mineurs font souvent l'objet d'une médiation plutôt que d'une enquête formelle. Mais elle instruit systématiquement les plaintes qui révèlent des violations systémiques — c'est-à-dire une pratique illégale appliquée à des milliers de personnes. Si votre plainte individuelle ressemble à d'autres plaintes similaires reçues sur la même entreprise, elle monte en priorité.

Thomas Lebrun : Infomaniak, étant suisse, n'est pas soumis au RGPD.

Sophie Arnaud : Faux dans les faits. Infomaniak est suisse, et la Suisse n'est pas dans l'UE. Mais l'accord d'adéquation entre l'UE et la Suisse, reconfirmé en 2024 dans le cadre de la nouvelle LPD suisse (loi révisée sur la protection des données), garantit un niveau de protection équivalent au RGPD. Infomaniak est aussi volontairement conforme RGPD pour ses clients européens. Concrètement, vous avez les mêmes garanties que chez un prestataire français.

Thomas Lebrun : Le droit à la portabilité vous permet de récupérer le profil publicitaire que Google a construit sur vous.

Sophie Arnaud : Faux. Le droit à la portabilité couvre uniquement les données que vous avez fournies activement. Les données déduites — votre profil publicitaire, vos scores de comportement, les inférences que Google tire de vos habitudes — ne sont pas portables au sens de l'article 20. Pour y accéder, c'est le droit d'accès (article 15) qu'il faut exercer, par courrier recommandé, et les réponses restent souvent partielles. C'est un angle mort reconnu du RGPD que le RGPD 2.0 devrait combler.

Conseils finaux de Sophie Arnaud

Sophie Arnaud :
Trois actions concrètes que je recommande à tout le monde pour 2026. Première action : faites un exercice de droit d'accès chez un grand acteur que vous n'avez pas utilisé depuis plus d'un an. Envoyez un email à privacy@, demandez ce qu'ils ont sur vous, et demandez la suppression si vous n'utilisez plus le service. C'est 15 minutes de travail, et vous serez souvent surpris par ce que vous trouvez.

Deuxième action : vérifiez vos paramètres de confidentialité sur vos smartphones. Sur iOS, allez dans Paramètres > Confidentialité & Sécurité > Suivi : désactivez le suivi pour toutes les apps qui n'en ont pas besoin. Notre guide sur la vie privée sur smartphone détaille tous les paramètres essentiels. Sur Android, vérifiez les permissions de localisation et les « données de diagnostic » envoyées à Google dans les paramètres système.

Troisième action : utilisez un gestionnaire de mots de passe. Ce que beaucoup ignorent, c'est que les violations de données personnelles commencent souvent par un mot de passe réutilisé. Un gestionnaire de mots de passe comme Bitwarden (gratuit) ou 1Password rompt cette chaîne de vulnérabilité. C'est la mesure de protection des données la plus impactante pour un particulier en 2026.

Et pour rester informé des évolutions RGPD et CNIL, consultez les actualités juridiques et réglementaires du numérique en France — les mises à jour sont fréquentes et les enjeux évoluent vite.