Le RGPD vous donne huit droits fondamentaux sur vos données personnelles. Sept ans après son entrée en vigueur, la majorité des Français les ignore ou ne sait pas comment les exercer. Voici un guide pratique pour 2026.
Qu'est-ce que le RGPD et pourquoi vous concerne ?
Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, est l'un des textes les plus protecteurs au monde en matière de données personnelles. Il s'applique à toute organisation qui traite les données d'un résident européen, qu'elle soit basée à Paris, à Lausanne, à San Francisco ou à Pékin.
Vos données personnelles incluent : votre nom, prénom, adresse, email, téléphone, IP, photos, vidéos, données de localisation, données de santé, opinions politiques, orientation sexuelle, données financières, et tout élément qui permet de vous identifier directement ou indirectement.
Vos 8 droits fondamentaux
1. Le droit d'accès (article 15)
Vous pouvez demander à toute organisation quelles données elle détient sur vous, comment elle les a obtenues, à quoi elle les utilise, à qui elle les transmet, combien de temps elle les conserve.
Comment exercer : demande écrite au DPO ou au service client. Réponse obligatoire sous 30 jours. La copie des données est gratuite.
Cas typiques : demander à votre banque tous les emails et logs vous concernant, à un site de rencontre toutes les conversations enregistrées, à un employeur tous les documents RH archivés.
2. Le droit de rectification (article 16)
Si une donnée vous concernant est inexacte, vous pouvez exiger sa correction.
Comment exercer : demande motivée avec preuve de l'inexactitude. Correction sous 30 jours.
Cas typiques : faire rectifier votre date de naissance sur un fichier client, faire corriger une mauvaise adresse, faire modifier une catégorisation erronée (par exemple, une marque qui vous a fiché comme « mauvais payeur » à tort).
3. Le droit à l'effacement / droit à l'oubli (article 17)
Le plus connu et le plus utilisé. Vous pouvez demander la suppression de vos données dans plusieurs situations : données obsolètes, retrait de consentement, opposition légitime, traitement illicite.
Comment exercer : demande argumentée au DPO. Effacement sous 30 jours, ou refus motivé.
Cas typiques : faire supprimer un compte sur un service que vous n'utilisez plus, faire effacer un ancien article de presse, faire déréférencer un résultat Google qui vous nuit.
4. Le droit à la limitation du traitement (article 18)
Vous pouvez demander que vos données soient « gelées » le temps d'une vérification ou d'un litige.
Cas typiques : contester l'exactitude d'une donnée, le temps que la vérification soit faite. S'opposer au traitement, le temps que la légitimité soit examinée.
5. Le droit à la portabilité (article 20)
Vous pouvez récupérer vos données dans un format structuré, lisible par machine, pour les transférer à un autre service.
Cas typiques : exporter votre historique Spotify pour le donner à Apple Music, récupérer toutes vos photos Instagram, transférer votre carnet d'adresses Gmail.
6. Le droit d'opposition (article 21)
Vous pouvez vous opposer au traitement de vos données pour des motifs liés à votre situation particulière. C'est notamment le droit de dire non aux démarchages commerciaux et au profilage publicitaire.
Cas typiques : arrêter les emails commerciaux, sortir des bases de données de prospection, refuser le ciblage publicitaire.
7. Le droit de ne pas faire l'objet d'une décision automatisée (article 22)
Vous avez le droit qu'une décision importante ne soit pas prise uniquement par un algorithme (refus de crédit, refus d'embauche, suspension de compte). Une intervention humaine doit être possible.
Cas typiques : refus de prêt automatisé par votre banque, suspension de compte par un algorithme de plateforme, refus d'assurance.
8. Le droit de retrait du consentement (article 7)
Quand le traitement repose sur votre consentement, vous pouvez le retirer à tout moment, aussi facilement que vous l'avez donné.
Comment exercer ces droits en pratique
Identifier le responsable du traitement
Toute organisation doit publier les coordonnées de son DPO (Data Protection Officer) ou de son responsable de traitement, généralement dans la politique de confidentialité.
Formuler la demande par écrit
Email ou courrier (privilégiez la lettre recommandée pour les demandes importantes). Précisez :
- Votre identité (avec justificatif)
- Le droit que vous exercez
- Les données concernées
- Les preuves éventuelles
- Vos coordonnées pour la réponse
Délais légaux
Le responsable a 30 jours pour répondre, prolongeables d'un mois pour les demandes complexes. Si pas de réponse : plainte CNIL.
En cas de refus
Le responsable doit motiver son refus et vous indiquer les voies de recours :
- Plainte auprès de la CNIL (gratuit, 4-8 mois)
- Action judiciaire en référé (rapide, coûteux)
- Recours administratif si organisme public
Les sanctions du RGPD
Les amendes peuvent atteindre :
- 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les infractions classiques
- 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les violations graves
Plusieurs grandes entreprises ont été lourdement sanctionnées : Amazon (746 M€ en 2021), Meta (1,2 Md€ en 2023), TikTok (345 M€ en 2023). Ces sanctions montrent que la CNIL et ses homologues européens prennent le RGPD au sérieux.
Cas pratiques fréquents
Cas 1 : ancien compte oublié sur un site
Vous avez créé un compte il y a 8 ans sur un service que vous n'utilisez plus. Vous avez le droit de demander la fermeture du compte ET l'effacement de toutes les données associées. Procédure : email au support en demandant explicitement l'effacement RGPD.
Cas 2 : démarchages commerciaux non sollicités
Vous recevez des appels ou emails de démarchage. Demande RGPD article 21 (opposition). Le démarcheur doit cesser et vous retirer de ses bases.
Cas 3 : ancien article de presse
Article de 2010 qui ressort sur Google. Demande de droit à l'oubli au journal + au moteur de recherche.
Cas 4 : photo publiée sans accord
Photo de vous publiée sur un site sans autorisation. Demande d'effacement (article 17) + droit à l'image (article 9 Code civil).
Cas 5 : données médicales divulguées
Article ou base de données mentionne votre état de santé. Données sensibles (article 9 RGPD), protection maximale, effacement quasi automatique.
Le rôle de la CNIL
La CNIL est l'autorité française de contrôle. Elle :
- Reçoit vos plaintes
- Enquête sur les organisations qui violent le RGPD
- Prononce des sanctions (mises en demeure, amendes)
- Coopère avec les autres autorités européennes
- Publie des guides pratiques
Plainte CNIL : gratuite, en ligne, anonyme possible. Délai de traitement : 4 à 12 mois selon complexité.
Conseils pratiques
Documentez vos demandes
Conservez toutes les correspondances (emails, courriers, accusés de réception). Précieux en cas de litige.
Soyez précis
Une demande vague (« effacez tout ») est moins efficace qu'une demande précise (« effacez l'avis publié à l'URL X au titre de l'article 17 RGPD pour le motif suivant »).
N'abandonnez pas au premier refus
Beaucoup d'organisations refusent par défaut, en espérant que vous abandonnerez. Si vous insistez (recours, CNIL, presse), vous obtenez gain de cause dans la majorité des cas.
Pensez aux droits collectifs
Si vous découvrez une violation massive, alertez la CNIL. Elle peut ouvrir une enquête qui bénéficiera à tous.
Conclusion
Le RGPD est un outil puissant entre vos mains. Sept ans après son entrée en vigueur, il est temps que chaque citoyen connaisse ses droits et sache les exercer. Pour les cas simples, faites-le vous-même. Pour les cas complexes (Google, presse, multi-juridictions), un cabinet spécialisé augmente significativement les chances de succès.
Notre équipe traite quotidiennement des demandes RGPD. En savoir plus sur notre service droit à l'oubli.
Besoin d'aide concrète sur ce sujet ?
Décrivez-nous votre situation. Devis gratuit personnalisé sous 24h.
En savoir plus sur ce service