La CNIL a publié, ce mercredi, le bilan de ses contrôles 2025 sur le droit à l'effacement. Pour le gendarme des données, il est globalement encourageant, même s'il pointe des lacunes persistantes chez certains organismes.
En 2025, la CNIL a inspecté six organismes français dans le cadre d'une action coordonnée à l'échelle européenne par le Comité européen de la protection des données. L'autorité administrative indépendante en conclut que si le droit à l'effacement est globalement respecté, des manquements sérieux subsistent, notamment sur la gestion des sauvegardes et l'absence de procédures internes adaptées. Du coup, deux mises en demeure ont déjà été prononcées. Voilà qui mérite quelques explications.
Le droit à l'effacement passe enfin à l'épreuve des contrôles en Europe
Pour la quatrième année consécutive, la CNIL a participé à une opération collective menée avec plusieurs autorités européennes de protection des données. Le principe est simple, chaque pays inspecte des organismes sur un même thème, au même moment, pour dresser un état des lieux commun de l'application du RGPD à l'échelle de l'Union.
En 2025, le thème retenu était le droit à l'effacement, autrement dit, votre droit à demander qu'une entreprise ou un organisme supprime vos données personnelles. Un droit encadré par le RGPD, mais pas toujours bien appliqué. Pour le vérifier, la CNIL a inspecté six structures de tailles et de secteurs différents, repérées notamment grâce aux plaintes reçues.
Bonne nouvelle tout de même venant de la Commission, la majorité des organismes inspectés traitent sérieusement les demandes de suppression. Quand ils refusent, c'est rarement de mauvaise foi. Le RGPD prévoit en effet des exceptions légitimes, comme la conservation obligatoire d'une facture ou la protection de la liberté d'expression. Certains ont même formé leurs équipes en interne pour mieux gérer ce type de demandes.
Pourquoi certaines entreprises peinent encore à supprimer vos données de leurs sauvegardes
Mais les inspecteurs de la CNIL n'ont pas que distribué des bons points. La Commission a relevé des manquements déjà observés l'an dernier, lors de ses contrôles sur le droit d'accès aux données. Certains organismes n'ont tout simplement pas de procédure claire pour traiter ces demandes, et les personnes qui réclament la suppression de leurs données reçoivent souvent des réponses trop vagues ou incomplètes.
La CNIL a aussi mis le doigt sur un problème plus technique, mais bien réel. Supprimer une donnée des systèmes courants d'une entreprise, c'est faisable, mais cette même donnée existe souvent en plusieurs copies dans des sauvegardes informatiques, et l'en retirer est autrement plus compliqué. Autre point de friction, certains organismes ne savent pas toujours combien de temps ils ont le droit de conserver vos données, ni quand votre demande de suppression doit vraiment l'emporter.
Sans étonnement, les petites structures s'en sortent moins bien que les grandes. Ces dernières ont l'habitude de gérer ce type de demandes et disposent des ressources pour le faire correctement. Les plus modestes, en revanche, manquent souvent d'outils, et ça se voit. Deux mises en demeure ont déjà été prononcées par la CNIL, et l'histoire pourrait ne pas s'arrêter là. Au niveau européen, des guides pratiques pourraient voir le jour pour aider les organismes à mieux appliquer ce droit.
