Le droit à l'oubli s'applique-t-il à toutes les informations me concernant ?

Non. Le droit à l'oubli prévu par l'article 17 du RGPD s'applique lorsque les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, lorsque vous retirez votre consentement, ou lorsque le traitement est illicite. Il ne s'applique pas aux informations relevant de l'intérêt public, de la liberté d'expression, des obligations légales, ou des archives historiques et scientifiques.

Google est-il obligé de supprimer mes informations si je le demande ?

Google doit traiter votre demande de déréférencement dans les 30 jours et accepter si les critères du RGPD sont remplis. Il peut refuser si l'information présente un intérêt légitime pour le public (personnalité publique, fait d'actualité) ou si vous n'êtes pas une personne physique. En cas de refus, vous pouvez contester devant la CNIL qui dispose d'un pouvoir d'injonction.

Quelle est la différence entre déréférencement et suppression de données ?

Le déréférencement retire un lien des résultats de recherche de Google mais laisse la page source intacte. La suppression de données oblige le site qui héberge l'information à effacer le contenu lui-même. Les deux démarches sont complémentaires : le déréférencement limite la visibilité, la suppression élimine la source. Pour une protection complète, il faut idéalement obtenir les deux.

Comment savoir si mes données ont été exposées dans une fuite ?

Le service Have I Been Pwned (haveibeenpwned.com) permet de vérifier gratuitement si votre adresse e-mail apparaît dans des bases de données piratées connues. En saisissant votre adresse, vous obtenez la liste des violations où elle a été compromise, avec la nature des données exposées (mots de passe, numéros de téléphone, etc.). Firefox Monitor offre une fonctionnalité similaire intégrée au navigateur.

Combien de temps faut-il pour obtenir la suppression de ses données après une demande ?

Le RGPD impose à l'organisme de répondre à votre demande dans un délai d'un mois, prorogeable à trois mois pour les demandes complexes. Si l'organisme ne répond pas dans ce délai ou refuse sans motif valable, vous pouvez déposer une plainte auprès de la CNIL, qui dispose d'un délai de 6 mois pour mener son enquête. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Les data brokers sont-ils soumis au RGPD ?

Oui, si leurs activités visent des résidents européens. Les courtiers en données (data brokers) qui collectent des informations sur des citoyens de l'UE doivent respecter le RGPD, notamment le droit à l'effacement. En pratique, beaucoup de ces sociétés sont américaines et peu réactives. La démarche nécessite souvent d'envoyer des demandes individuelles à chacune d'elles, via des outils comme JustDeleteMe ou des services de suppression payants comme DeleteMe.

Puis-je faire appel à la CNIL si mes demandes de suppression sont ignorées ?

Oui. La CNIL est l'autorité française chargée de faire respecter le RGPD. Vous pouvez déposer une plainte en ligne sur le site cnil.fr. La CNIL peut mettre en demeure l'organisme récalcitrant, prononcer des sanctions financières et ordonner la suppression des données. Elle traite prioritairement les dossiers portant sur des données sensibles (santé, origine ethnique, opinions politiques). Le dépôt de plainte est gratuit et ne nécessite pas d'avocat.

Supprimer ses données en ligne : droit à l'oubli RGPD

Vos données personnelles circulent en ligne bien au-delà de ce que vous imaginez : anciens profils oubliés, articles de presse, annuaires en ligne, courtiers en données qui revendent vos informations à des inconnus. Le RGPD vous accorde un droit à l'oubli concret — l'article 17 — mais l'exercer efficacement demande méthode. Ce guide vous explique pas à pas comment demander la suppression de vos données auprès de Google, des réseaux sociaux, des data brokers, et comment vérifier si vos informations ont déjà été compromises.

Qu'est-ce que le droit à l'oubli et que dit l'article 17 du RGPD ?

Le droit à l'oubli — ou plus précisément droit à l'effacement — est inscrit dans l'article 17 du Règlement Général sur la Protection des Données, entré en application le 25 mai 2018 dans l'ensemble de l'Union européenne. Il vous permet d'exiger d'un organisme qu'il supprime les données personnelles vous concernant, sous certaines conditions définies par la loi.

Ce droit s'applique dans six situations précises. Premièrement, quand les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées — une ancienne adresse chez un e-commerçant chez qui vous n'achetez plus depuis cinq ans en est un exemple typique. Deuxièmement, quand vous retirez le consentement sur lequel le traitement était fondé. Troisièmement, quand vous vous opposez au traitement et qu'il n'existe pas de motif légitime supérieur. Quatrièmement, quand le traitement est illicite. Cinquièmement, quand les données concernent un enfant et ont été collectées dans le cadre de services de la société de l'information. Sixièmement, quand une obligation légale impose l'effacement.

Il importe de distinguer ce droit de la simple demande polie. Le RGPD confère une obligation juridique contraignante pour tout organisme traitant des données de résidents européens, quelle que soit sa localisation géographique. Une entreprise américaine ayant des clients français est soumise au RGPD. Le non-respect expose à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel — des montants qui ont incité même les géants technologiques à prendre ces obligations au sérieux.

La portée du droit à l'oubli dépasse la simple demande de suppression auprès d'un site web. Si des données ont été transmises à des tiers, l'organisme qui vous a répondu favorablement est également tenu d'informer ces tiers de votre demande d'effacement. En pratique, cette chaîne de notification est difficile à vérifier, mais elle reste un droit que vous pouvez invoquer.

Demander le déréférencement à Google

Google propose depuis 2014 un formulaire de demande de déréférencement, suite à une décision historique de la Cour de Justice de l'Union européenne dans l'affaire Google Spain contre Mario Costeja González. Ce formulaire a été renforcé et étendu après l'entrée en vigueur du RGPD.

La procédure se déroule en plusieurs étapes. Rendez-vous sur le formulaire officiel de Google accessible depuis la page d'aide "Retirer des informations sur Google". Vous devrez indiquer votre identité, les URL précises que vous souhaitez déréférencer, et le motif de votre demande. Google propose plusieurs catégories : informations personnelles compromettant votre sécurité (numéros d'identification, données bancaires), contenus explicitement sexuels, informations relatives à des mineurs, ou contenu obsolète sur votre vie privée.

Google évalue chaque demande en tenant compte du balance entre votre droit à la vie privée et l'intérêt public à l'information. Pour un particulier sans mandat public, concernant des informations n'ayant aucune pertinence d'intérêt général, les chances d'obtenir le déréférencement sont élevées. Pour une personnalité publique relative à l'exercice de ses fonctions, le refus est probable. Google s'engage à vous répondre dans les 30 jours.

Notez que le déréférencement ne retire le lien que des versions européennes de Google Search (.fr, .de, .be, etc.). La page source reste accessible si l'on connaît son URL directe, et elle peut apparaître sur des moteurs de recherche non soumis au RGPD. Pour aller plus loin, la demande doit être adressée directement au site hébergeur du contenu.

Formulaire de déréférencement Google et procédure RGPD

Supprimer ses données sur les réseaux sociaux

Les réseaux sociaux accumulent des données considérables sur leurs utilisateurs : posts, photos, messages privés, historique de navigation, données de localisation, réactions, contacts. Même après suppression de votre compte, certaines données peuvent subsister sous des formes agrégées ou dans des sauvegardes internes pendant une période pouvant aller jusqu'à 90 jours selon les plateformes.

Avant de supprimer un compte, commencez par télécharger l'intégralité de vos données. Toutes les plateformes majeures sont tenues par le RGPD de vous fournir une copie de vos données dans un format lisible — c'est le droit à la portabilité, complémentaire au droit à l'effacement. Sur Facebook, accédez à Paramètres > Vos informations Facebook > Télécharger vos informations. Sur Instagram, Paramètres > Sécurité > Télécharger les données. Sur Twitter/X, Paramètres > Votre compte > Télécharger une archive de vos données.

La suppression définitive d'un compte Facebook déclenche une période de grâce de 30 jours pendant laquelle votre compte est désactivé mais récupérable. Passé ce délai, Meta s'engage à effacer vos données dans un délai de 90 jours supplémentaires, à l'exception des contenus que d'autres utilisateurs auraient partagés indépendamment (une photo de vous postée par un ami reste accessible même après la suppression de votre compte). Pour les mentions et contenus tiers vous impliquant, une demande spécifique auprès de la plateforme ou directement auprès de la personne concernée reste nécessaire.

LinkedIn permet la suppression complète du compte depuis Paramètres > Clôture du compte. La fermeture est immédiate pour l'accès, et LinkedIn annonce la suppression des données dans les 24 à 72 heures, les sauvegardes étant purgées sous 30 jours. Pour les données que des recruteurs ou entreprises auraient téléchargées depuis votre profil, en revanche, aucune procédure automatique n'existe — ces copies appartiennent à des tiers.

L'outil JustDeleteMe (justdeleteme.xyz) recense des centaines de services en ligne avec leurs procédures de suppression, classées par difficulté : facile (suppression directe en un clic), moyenne, difficile, ou impossible. C'est un point de départ précieux pour identifier tous les comptes que vous souhaitez fermer.

Se retirer des data brokers et annuaires en ligne

Les courtiers en données — data brokers — sont des sociétés dont le modèle économique repose sur la collecte, l'agrégation et la revente d'informations personnelles. Ils compilent des données provenant de registres publics, réseaux sociaux, historiques d'achat, données de localisation et de nombreuses autres sources pour construire des profils détaillés qu'ils vendent à des assureurs, employeurs, agences marketing ou autres entreprises.

En France et en Europe, des sites comme PagesJaunes, Spokeo ou des agrégateurs internationaux comme Whitepages, BeenVerified ou Intelius contiennent souvent des informations sur des millions de particuliers. Le RGPD vous donne le droit de vous opposer à ce traitement et d'obtenir l'effacement de vos données, mais la démarche doit être effectuée individuellement auprès de chaque opérateur.

La procédure standard consiste à contacter chaque data broker par e-mail ou via leur formulaire de contact en mentionnant explicitement votre demande fondée sur l'article 17 du RGPD. Conservez une trace écrite de chaque demande. Pour les opérateurs américains peu coopératifs, vous pouvez saisir la CNIL qui peut contacter ses homologues étrangers via le réseau GPEN (Global Privacy Enforcement Network).

Des services payants comme DeleteMe ou Kanary automatisent ce processus en envoyant des demandes de suppression à des dizaines ou centaines de data brokers en votre nom, puis en effectuant un suivi régulier car ces sociétés réintègrent souvent les données après quelques mois. Le coût annuel de ces services varie entre 100 et 200 euros selon le prestataire — un investissement qui se justifie si votre vie professionnelle ou personnelle vous expose particulièrement.

Vérification des fuites de données et suppression chez les data brokers

Vérifier si vos données ont fui : Have I Been Pwned

Avant même d'exercer votre droit à l'oubli, il est essentiel de savoir où vous en êtes. Des milliers d'entreprises ont subi des violations de données ces dernières années, exposant des milliards d'identifiants, mots de passe, numéros de téléphone et données financières. Il est statistiquement probable que votre adresse e-mail principale apparaisse dans au moins une de ces bases de données compromises.

Have I Been Pwned (haveibeenpwned.com) est le service de référence, créé par le chercheur en sécurité Troy Hunt et désormais partiellement maintenu en partenariat avec la Federal Trade Commission américaine. Le principe est simple : vous saisissez une adresse e-mail et le service vérifie si elle apparaît dans une base de données de violations connues. La recherche est gratuite et ne nécessite pas de créer un compte. Vous pouvez également vous abonner aux alertes pour être notifié si votre adresse apparaît dans de nouvelles violations.

Si votre adresse est compromise, la première action à entreprendre est de changer le mot de passe associé sur tous les services où vous utilisez la même combinaison. Notre comparatif des gestionnaires de mots de passe vous aidera à choisir l'outil adapté pour générer et stocker des mots de passe uniques. C'est la menace principale des fuites de données : la réutilisation de mots de passe permet aux attaquants de tenter un accès en masse sur de nombreux services avec les identifiants volés — technique connue sous le nom de credential stuffing.

Pour vos mots de passe, l'outil Mozilla Monitor (monitor.mozilla.org) offre une interface similaire en français et intègre des recommandations d'action concrètes. Google et Apple proposent également des vérifications de fuites directement dans leurs gestionnaires de mots de passe intégrés à Chrome et Safari.

Le site i-actu.fr propose un guide complet sur le RGPD et la protection des données personnelles si vous souhaitez approfondir les aspects juridiques de ces démarches.

Guide pratique étape par étape

Pour obtenir des résultats concrets, voici une méthode structurée que vous pouvez appliquer sur une journée ou en répartissant les actions sur plusieurs semaines selon votre disponibilité.

Étape 1 : Cartographier votre empreinte numérique

Commencez par lister tous les services en ligne où vous avez créé un compte : e-commerce, forums, services d'actualité, applications mobiles, services professionnels, jeux vidéo. Votre gestionnaire de mots de passe (ou le trousseau de votre navigateur) est le meilleur point de départ. Effectuez également une recherche Google de votre prénom, nom, et adresse e-mail principale pour identifier les informations publiquement accessibles vous concernant.

Étape 2 : Vérifier les fuites de données

Saisissez toutes vos adresses e-mail sur Have I Been Pwned. Pour chaque violation détectée, changez immédiatement le mot de passe sur le service concerné et sur tous les services où vous utilisez le même mot de passe. Activez l'authentification à deux facteurs partout où c'est possible.

Étape 3 : Soumettre une demande de déréférencement Google

Identifiez les URL spécifiques que vous souhaitez voir retirées des résultats de recherche. Utilisez le formulaire officiel Google de suppression de contenu. Préparez une justification claire pour chaque URL : pourquoi l'information est obsolète, inexacte, ou porte atteinte à votre vie privée. Plus votre justification est précise et factuelle, plus les chances d'acceptation sont élevées.

Étape 4 : Supprimer les comptes inutilisés

Utilisez JustDeleteMe pour trouver les procédures de fermeture de compte sur chaque service. Priorisez les services qui détiennent des données sensibles (santé, finances, communications privées) ou qui ont subi des violations documentées. Téléchargez vos données avant suppression si elles présentent une valeur pour vous.

Étape 5 : Contacter les data brokers

Cherchez votre nom sur les principaux annuaires : PagesJaunes, Whitepages, Spokeo, BeenVerified. Pour chaque occurrence, utilisez le formulaire de désindexation ou envoyez un e-mail formel en citant l'article 17 du RGPD. Notez la date d'envoi et conservez les confirmations de réception.

Étape 6 : Exercer vos droits auprès des organismes récalcitrants

Pour tout organisme n'ayant pas répondu dans le délai d'un mois, envoyez une mise en demeure formelle en recommandé avec accusé de réception. En l'absence de réponse ou en cas de refus injustifié, déposez une plainte sur le portail de la CNIL (cnil.fr/fr/plaintes). La saisie de la CNIL est gratuite et sans obligation d'être représenté par un avocat.

Limites du droit à l'oubli et recours possibles

Le droit à l'oubli n'est pas absolu. L'article 17 du RGPD prévoit plusieurs exceptions importantes que vous devez connaître pour anticiper les cas où votre demande sera refusée.

La liberté d'expression et d'information constitue la principale limite. Un article de presse relatant un fait avéré vous concernant est protégé par la liberté de la presse, même s'il vous cause du tort. Les juridictions européennes ont établi une jurisprudence nuancée : le temps écoulé, la gravité des faits, votre statut public ou privé, et l'intérêt actuel de l'information sont tous des critères pris en compte pour arbitrer entre vie privée et droit à l'information.

Les archives et la mémoire collective constituent une autre exception. Les bibliothèques, archives publiques et institutions culturelles peuvent conserver des informations pour des raisons d'intérêt public, de recherche scientifique, historique ou statistique. Un dossier judiciaire archivé ou un document historique ne peut pas être effacé par une simple demande RGPD.

Les obligations légales sont également opposables à votre demande. Une banque est légalement tenue de conserver vos données financières pendant 5 à 10 ans selon la nature de la transaction. Un employeur conserve certaines données RH pendant la durée de prescription des contentieux prud'homaux. Ces rétentions légales priment sur votre demande d'effacement.

Si votre demande est refusée sans justification suffisante, les recours disponibles sont : une réclamation auprès de la CNIL, une action en justice devant le Tribunal Judiciaire, ou un recours collectif via une association de protection des données. Les associations comme la Quadrature du Net accompagnent parfois des particuliers dans des procédures d'intérêt général contre des acteurs peu respectueux du RGPD.

Enfin, gardez à l'esprit que la suppression de données en ligne est un processus continu, pas une action ponctuelle. Les data brokers réintègrent régulièrement des données depuis des sources publiques. Une vérification annuelle de votre empreinte numérique, couplée à de bonnes pratiques préventives (limiter les inscriptions non nécessaires, lire les politiques de confidentialité), reste le meilleur investissement sur le long terme. Notre guide de sécurisation des données personnelles complète cette démarche avec les protections techniques à mettre en place côté appareil et comptes.