- Base légale : article 17 du RGPD — droit à l'effacement, réponse obligatoire sous 1 mois (3 mois si complexe)
- Démarche : courrier CNIL → déréférencement Google/Bing/Qwant → plainte CNIL si refus
- 7 conditions : prospection, données inutiles, retrait du consentement, traitement illicite, mineur, obligation légale, opposition
- Sanction : jusqu'à 20M€ ou 4% du CA mondial pour les organismes qui refusent
Introduction
L'article 17 du RGPD vous donne le droit de faire effacer vos données personnelles par tout organisme, avec une réponse obligatoire dans les 1 mois (3 mois si la demande est complexe). En 2026, les démarches passent par 3 canaux : la demande directe à l'organisme (via le modèle de courrier CNIL), le déréférencement sur les moteurs de recherche (Google, Bing, Qwant), et la plainte CNIL en cas de refus.
Les 7 situations où vous pouvez exiger la suppression de vos données
L'article 17 du RGPD prévoit 7 cas où le responsable du traitement doit effacer vos données sans délai :
- Prospection commerciale : vos données sont utilisées à des fins de prospection sans votre consentement.
- Données devenues inutiles : les données ne sont plus nécessaires au regard des objectifs pour lesquels elles ont été collectées (ex. : un compte fermé depuis 2 ans).
- Retrait du consentement : vous retirez votre consentement et il n'existe pas d'autre base légale au traitement.
- Traitement illicite : vos données font l'objet d'un traitement contraire au RGPD (ex. : publication de données piratées).
- Données collectées quand vous étiez mineur : vos données ont été collectées dans le cadre de la société de l'information (blog, forum, réseau social) alors que vous étiez mineur.
- Obligation légale : l'effacement est nécessaire pour respecter une obligation légale.
- Opposition au traitement : vous vous êtes opposé au traitement et le responsable n'a pas de motif légitime impérieux de poursuivre.
Il suffit de remplir une seule de ces conditions pour que le responsable doive effacer vos données.
Démarche 1 : Demander l'effacement directement à l'organisme
Pour chaque organisme qui détient vos données, suivez ce protocole :
- Trouver les coordonnées du responsable : regardez la politique de confidentialité ou les mentions légales du site. Si vous ne trouvez pas, utilisez l'annuaire CNIL des délégués à la protection des données.
- Utiliser le modèle de courrier CNIL : cnil.fr/modele/courrier/supprimer-des-donnees-personnelles — personnalisez-le, indiquez précisément quelles données effacer (une demande d'effacement d'une photo n'entraîne pas la suppression du compte entier).
- Envoyer par voie électronique (formulaire du site, email du DPO) ou par courrier recommandé avec AR.
- Conserver une copie : capture d'écran de la demande, accusé de réception du courrier, copie de l'email envoyé.
Le responsable doit répondre dans les 1 mois (3 mois si la demande est complexe). S'il demande un justificatif d'identité, il ne peut exiger que des pièces « non abusives et proportionnées ».
Démarche 2 : Demander le déréférencement sur Google, Bing et Qwant
Le déréférencement supprime les résultats de recherche associés à votre nom — mais pas le contenu à la source. Procédure pour chaque moteur :
- Google : Formulaire de demande de suppression de contenu personnel
- Bing : bing.com/webmaster/tools/eu-privacy-request
- Qwant : report.qwant.com/removal/fr
- Yahoo! : formulaire en ligne via help.yahoo.com
Pour chaque demande, vous devez fournir : l'URL exacte de chaque résultat à supprimer, une motivation (données obsolètes, atteinte à la vie privée, préjudice), et éventuellement une copie de pièce d'identité. Le moteur a 1 mois pour répondre (3 mois si complexe). En cas de refus, déposez une plainte auprès de la CNIL via cnil.fr/plainte.
La CNIL propose une extension navigateur (Firefox et Chrome) pour vérifier l'effectivité du déréférencement : Droit au déréférencement
Vérifier et automatiser le déréférencement : commandes et outils
Utilisez ces commandes pour vérifier que vos données personnelles n'apparaissent plus dans les résultats de recherche et automatiser les demandes :
# Vérifier si votre nom apparaît encore dans les résultats Google
curl -s "https://www.google.com/search?q="Jean+Dupont"&num=10" | grep -oi 'class="g"' | wc -l # Vérifier le déréférencement via l'API Google Search Console
curl -s "https://www.googleapis.com/webmasters/v3/sites/https%3A%2F%2Fexample.com/urlRemoval" -H "Authorization: Bearer $(gcloud auth print-access-token)" # Scanner les caches Google pour vos données
curl -sI "https://webcache.googleusercontent.com/search?q=cache:example.com/votre-page" | head -5 # Vérifier les données exposées via haveibeenpwned (vérifie si votre email a été compromis)
curl -s "https://haveibeenpwned.com/api/v3/breachedaccount/votre@email.com" -H "hibp-api-key: VOTRE_CLE_API" # Envoyer une demande de déréférencement Google via curl
curl -s -X POST "https://support.google.com/websearch/contact/content_removal_form" -d "url=https%3A%2F%2Fexample.com%2Fdonnees-personnelles&reason=personal_info" # Vérifier l'expiration des cookies et du stockage local dans votre navigateur
# Ouvrir les DevTools (F12) → Application → Cookies et Local StorageExtensions recommandées : l'extension CNIL Droit au déréférencement (Firefox/Chrome) vérifie automatiquement l'effectivité du déréférencement. L'extension Privacy Badger (EFF) bloque les trackers tiers qui collectent vos données de navigation.
Démarche 3 : Supprimer ses comptes sur les principaux sites
Pour supprimer un compte en ligne, utilisez le modèle de courrier CNIL « clôturer un compte en ligne ». Voici les procédures pour les principaux services :
- Facebook/Meta : Paramètres → Centre de confidentialité → Supprimer le compte. Délai de grâce de 30 jours avant suppression définitive. Téléchargez d'abord vos données (Paramètres → Vos informations → Télécharger vos informations).
- Google : account.google.com → Données et confidentialité → Supprimer votre compte Google. Google conserve certaines données pendant 2 mois après suppression.
- Twitter/X : Paramètres → Votre compte → Désactiver votre compte. Délai de 30 jours avant suppression définitive.
- LinkedIn : Paramètres → Gestion du compte → Supprimer le compte. Délai de 14 jours pour réactiver.
- Instagram : Paramètres → Centre de comptes → Informations personnelles → Suppression du compte. 30 jours de grâce.
Important : demander la suppression de votre compte n'entraîne pas la suppression des factures et documents comptables soumis à l'obligation légale de conservation (10 ans pour les factures).
Les 5 exceptions au droit à l'effacement
Le responsable du traitement peut refuser votre demande dans 5 cas limités :
- Liberté d'expression et d'information : l'information est d'intérêt public (article de presse, décision de justice).
- Obligation légale de conservation : les factures doivent être conservées 10 ans (Code de commerce, art. L123-22), les données bancaires 5 ans.
- Intérêt public dans le domaine de la santé : données nécessaires à la recherche médicale.
- Fins archivistiques, scientifiques, historiques ou statistiques : conservation pour l'intérêt public.
- Droits en justice : les données sont nécessaires pour la constatation, l'exercice ou la défense de droits en justice.
En dehors de ces 5 cas, le responsable doit effacer vos données. S'il refuse, il doit justifier sa décision.
Que faire en cas de refus : porter plainte auprès de la CNIL
Si l'organisme refuse ou ne répond pas dans le délai d'un mois, déposez une plainte auprès de la CNIL :
- Accédez au formulaire de plainte en ligne
- Joignez : la copie de votre demande initiale, la réponse de l'organisme (ou l'absence de réponse après 1 mois), et tout justificatif
- La CNIL instruit la plainte et peut prononcer une mise en demeure, puis une sanction pécuniaire allant jusqu'à 20 millions € ou 4% du CA annuel mondial (art. 83 RGPD)
La CNIL a prononcé 2 298 millions € d'amendes depuis 2018, dont 150 millions € à Google en 2019 et 2021 pour non-respect du droit au déréférencement.
Erreurs fréquentes et comment les éviter
Erreur 1 : confondre déréférencement et suppression. Le déréférencement supprime le résultat de Google, mais le contenu reste sur le site source. Il faut faire les deux : déréférencer sur Google ET demander l'effacement au responsable du site.
Erreur 2 : ne pas préciser quelles données effacer. Une demande vague (« supprimez toutes mes données ») sera rejetée. Il faut indiquer précisément : « je demande l'effacement de la photo X sur l'URL Y » ou « je demande la suppression de mon compte associé à l'adresse email Z ».
Erreur 3 : oublier de conserver les preuves. Sans accusé de réception ou capture d'écran de votre demande, impossible de prouver que vous avez exercé votre droit. Conservez systématiquement : copie de l'email, accusé de réception du courrier, captures d'écran datées.
Étapes à suivre5
Étape 1 — Identifier et lister toutes vos données personnelles en ligne
Avant de demander la suppression, vous devez savoir quelles données existent. Exercez d'abord votre droit d'accès (article 15 du RGPD) auprès de chaque organisme. Utilisez le modèle de courrier CNIL pour le droit d'accès. L'organisme doit vous répondre dans les 1 mois en vous fournissant : la liste de toutes les données vous concernant, les finalités du traitement, les destinataires des données, et la durée de conservation prévue. Pour les grands services numériques, utilisez les outils intégrés : Google (account.google.com → Données et confidentialité → Télécharger vos données), Facebook (Paramètres → Vos informations → Télécharger vos informations), Twitter/X (Paramètres → Télécharger une archive). Notez chaque URL, chaque photo, chaque donnée que vous souhaitez faire supprimer — c'est cette liste précise que vous utiliserez dans votre demande d'effacement.Étape 2 — Envoyer une demande d'effacement aux organismes concernés
Pour chaque organisme qui détient des données que vous souhaitez supprimer, envoyez une demande d'effacement en utilisant le modèle de courrier CNIL. Précisez dans votre demande : votre identité (nom, prénom, adresse email du compte), l'URL exacte des données à supprimer, le motif parmi les 7 cas de l'article 17 du RGPD (prospection, données inutiles, retrait du consentement, traitement illicite, mineur, obligation légale, opposition). Envoyez par email au DPO (Délégué à la Protection des Données) de l'organisme ou par courrier recommandé avec accusé de réception. Conservez une copie de chaque demande (capture d'écran pour les formulaires en ligne, copie du courrier et de l'accusé de réception pour les envois postaux). L'organisme dispose de 1 mois pour répondre (3 mois si la demande est complexe, mais il doit vous en informer dans le premier mois).Étape 3 — Demander le déréférencement sur les moteurs de recherche
Le déréférencement supprime les résultats de recherche associés à votre nom et prénom — mais pas le contenu à la source. Pour Google : accédez au formulaire de demande de suppression de contenu personnel. Pour Bing : bing.com/webmaster/tools/eu-privacy-request. Pour Qwant : report.qwant.com/removal/fr. Pour chaque moteur, fournissez : l'URL exacte de chaque résultat à supprimer (clic droit sur le lien → « Copier l'adresse du lien »), une motivation (données obsolètes, atteinte à la vie privée, préjudice), et éventuellement une copie de pièce d'identité (seulement si le moteur a un doute raisonnable sur votre identité). Le moteur a 1 mois pour répondre (3 mois si complexe). Installez l'extension navigateur « Droit au déréférencement » de la CNIL (Firefox et Chrome) pour vérifier que les résultats ont bien été supprimés.Étape 4 — Supprimer vos comptes sur les réseaux sociaux et services en ligne
Chaque plateforme a sa propre procédure de suppression. Pour Facebook/Meta : Paramètres → Centre de confidentialité → Supprimer le compte. Délai de grâce de 30 jours. Pour Google : account.google.com → Données et confidentialité → Supprimer votre compte Google. Conservation de certaines données pendant 2 mois. Pour Twitter/X : Paramètres → Votre compte → Désactiver. 30 jours avant suppression définitive. Pour LinkedIn : Paramètres → Gestion du compte → Supprimer le compte. 14 jours pour réactiver. Pour Instagram : Paramètres → Centre de comptes → Informations personnelles → Suppression. 30 jours de grâce. Avant de supprimer, téléchargez vos données (chaque service propose cette option dans ses paramètres). Utilisez le modèle CNIL « clôturer un compte en ligne » si la plateforme ne propose pas de bouton de suppression. Important : la suppression du compte n'entraîne pas la suppression des factures et documents comptables soumis à l'obligation légale de conservation de 10 ans (Code de commerce, art. L123-22).Étape 5 — Porter plainte auprès de la CNIL en cas de refus
Si l'organisme refuse votre demande d'effacement ou ne répond pas dans le délai d'un mois, déposez une plainte auprès de la CNIL via le formulaire en ligne. Joignez obligatoirement : la copie de votre demande initiale (email, courrier ou capture d'écran), la réponse de l'organisme (ou la preuve de l'absence de réponse après 1 mois), et tout justificatif. La CNIL instruit votre plainte et peut prononcer une mise en demeure, puis une sanction pécuniaire allant jusqu'à 20 millions € ou 4% du CA annuel mondial de l'organisme (article 83 du RGPD). La CNIL a déjà prononcé plus de 2 298 millions € d'amendes depuis 2018, dont 150 millions € à Google en 2019 et 2021 pour non-respect du droit au déréférencement. Le délai de traitement d'une plainte par la CNIL varie de 3 à 12 mois selon la complexité. Vous pouvez aussi saisir le tribunal judiciaire pour obtenir l'effacement forcé de vos données et éventuellement des dommages et intérêts.
Conseils pratiques
- L'article 17 du RGPD impose une réponse dans les 1 mois — si l'organisme ne répond pas dans ce délai, vous pouvez déposer une plainte CNIL immédiatement (cnil.fr/plainte), sans attendre une éventuelle prolongation.
- Avant de demander l'effacement, exercez d'abord votre droit d'accès (article 15 RGPD) via le modèle CNIL : vous obtiendrez la liste exacte des données détenues, ce qui rendra votre demande d'effacement plus précise et plus difficile à refuser.
- L'extension navigateur « Droit au déréférencement » de la CNIL (Firefox et Chrome) vérifie automatiquement que vos résultats ont bien été supprimés de Google — installez-la avant de faire votre demande pour documenter l'avant/après.
Points d'attention
- Le déréférencement sur Google ne supprime pas le contenu à la source — si vous ne demandez que le déréférencement, vos données restent accessibles en tapant d'autres mots-clés ou en consultant directement le site. Demandez l'effacement AUSSI au responsable du site.
- Une demande d'effacement vague (« supprimez toutes mes données ») sera rejetée — précisez toujours les URL exactes et les types de données à supprimer (photo, adresse, numéro de téléphone, etc.).
- Ne supprimez pas vos comptes avant d'avoir téléchargé vos données et exercé votre droit d'accès — une fois le compte supprimé, vous perdez l'accès aux outils de téléchargement intégrés et il devient plus difficile de prouver quelles données étaient détenues.
Questions fréquentes5
Quel est le délai de réponse pour une demande d'effacement de données ?
L'organisme doit répondre dans les 1 mois suivant votre demande (article 12 du RGPD). Ce délai peut être prolongé à 3 mois si la demande est complexe, mais l'organisme doit vous en informer dans le premier mois. En l'absence de réponse après 1 mois, vous pouvez déposer une plainte auprès de la CNIL sur cnil.fr/plainte.
Quelles sont les 7 conditions pour demander l'effacement de ses données ?
L'article 17 du RGPD prévoit 7 cas : (1) prospection commerciale, (2) données devenues inutiles, (3) retrait du consentement, (4) traitement illicite, (5) données collectées quand vous étiez mineur, (6) obligation légale d'effacement, (7) opposition au traitement sans motif légitime impérieux. Il suffit de remplir une seule condition.
Comment demander le déréférencement sur Google ?
Accédez au formulaire de demande de suppression de contenu personnel (support.google.com/websearch/contact/content_removal_form). Fournissez l'URL exacte de chaque résultat à supprimer et motivez votre demande. Google a 1 mois pour répondre (3 mois si complexe). En cas de refus, déposez une plainte CNIL. Attention : le déréférencement ne supprime que les résultats de recherche par votre nom, pas le contenu à la source.
Peut-on forcer un site à supprimer ses données personnelles ?
Oui, via l'article 17 du RGPD. Envoyez une demande d'effacement au responsable du site en utilisant le modèle de courrier CNIL (cnil.fr/modele/courrier/supprimer-des-donnees-personnelles). S'il refuse ou ne répond pas dans 1 mois, déposez une plainte CNIL. La CNIL peut prononcer une mise en demeure, puis une amende allant jusqu'à 20 millions € ou 4% du CA mondial. En dernier recours, saisissez le tribunal judiciaire.
Quelles données ne peuvent pas être supprimées ?
5 exceptions au droit à l'effacement : (1) liberté d'expression et d'information (articles de presse, décisions de justice), (2) obligation légale de conservation (factures : 10 ans, données bancaires : 5 ans), (3) intérêt public de santé, (4) fins archivistiques, scientifiques ou historiques, (5) droits en justice. En dehors de ces cas, le responsable doit effacer vos données.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 15 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.