Comment demander la suppression de mes données personnelles ?

Envoyez une demande écrite (email ou courrier) au délégué à la protection des données (DPO) de l'organisme concerné, en précisant les données à effacer et la raison. L'organisme dispose de 30 jours pour répondre, prolongeables à 90 jours si la demande est complexe. En l'absence de réponse ou en cas de refus injustifié, vous pouvez déposer une plainte sur cnil.fr.

Quel est le délai pour qu'un organisme réponde à une demande d'effacement ?

Un mois à compter de la réception de la demande complète. Ce délai peut être prolongé à 3 mois si la demande est complexe — l'organisme doit vous informer de la prolongation dans le premier mois. Sans réponse dans ce délai, vous pouvez saisir la CNIL.

Est-il obligatoire qu'un organisme me notifie si mes données ont fuité ?

Oui, sous certaines conditions. L'art. 34 du RGPD impose la notification individuelle si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés. En pratique, les délais peuvent être longs : l'organisme dispose d'abord de 72h pour notifier la CNIL, puis peut prendre plusieurs jours ou semaines avant de vous contacter. Le moniteur dark web de NordVPN peut vous alerter avant même la notification officielle.

Comment savoir si mes données personnelles ont été exposées dans une fuite ?

Vérifiez votre adresse email sur haveibeenpwned.com — ce service recense les fuites connues. La CNIL publie aussi des alertes pour les violations majeures. Pour une surveillance automatique et continue, le moniteur dark web de NordVPN scanne les bases de données compromises et vous alerte dès que votre email y apparaît.

Quelle est la différence entre droit d'accès et droit à l'effacement ?

Le droit d'accès (art. 15 RGPD) permet de savoir quelles données un organisme détient sur vous. Le droit à l'effacement (art. 17) permet d'en demander la suppression. La démarche commence généralement par une demande d'accès pour identifier les données à cibler, puis une demande d'effacement pour les données à supprimer.

Puis-je demander l'effacement de mes données chez Google, Facebook ou Amazon ?

Oui. Ces entreprises sont soumises au RGPD pour les utilisateurs européens. Chacune propose un portail de gestion des données (Google Takeout + suppression de compte, paramètres Facebook, Amazon "Demande de données"). La CNIL dispose d'un service de mise en demeure si la demande reste sans suite.

Qu'est-ce que la minimisation des données, et pourquoi est-ce important ?

La minimisation des données est un principe du RGPD (art. 5) qui impose aux organismes de ne collecter que ce qui est strictement nécessaire. Du côté des particuliers, cela signifie éviter de transmettre plus d'informations que nécessaire à un tiers. Plus longtemps vos données sont conservées par un organisme tiers, plus la probabilité qu'elles soient exposées dans une fuite augmente — comme l'illustre la fuite ANTS (11,7 millions de comptes, avril 2026).

RGPD — pourquoi effacer vos données réduit vraiment votre risque

Le RGPD n'est pas qu'une obligation légale pour les entreprises — c'est un outil que les particuliers peuvent activer. Chaque jeu de données que vous supprimez chez un tiers est une fuite de moins possible. La fuite ANTS (11,7 millions de comptes, avril 2026) illustre ce que coûte la conservation longue durée de données administratives.

RGPD — droit à l'effacement et protection des données personnelles — Le RGPD accorde à chaque citoyen européen le droit de demander la suppression de ses données personnelles — un droit opposable à toute entreprise ou service numérique.

Le principe de minimisation — durée de conservation = risque cumulé

Vos données chez France Travail n'ont pas fuité parce que vous avez fait quelque chose de mal. Elles ont fuité parce que France Travail les conservait — et que France Travail a été compromis. Vous n'avez aucun contrôle sur la sécurité des systèmes de vos interlocuteurs. Vous avez en revanche le droit de leur demander d'effacer ce qu'ils n'ont plus besoin de conserver.

Chronique des grandes fuites françaises récentes :

ANTS (avril 2026) : 11,7 millions de comptes. Données : nom, prénom, email, date de naissance, parfois adresse/téléphone.
France Travail / Pôle Emploi (2024) : 43 millions de dossiers. Données : nom, prénom, NIR (numéro d'inscription au répertoire), coordonnées, historique professionnel.
FREE Mobile + FREE (janvier 2026) : sanction CNIL de 42 millions d'euros pour violation de données — manquement aux obligations de sécurité.
Opérateurs de tiers payant santé (2025) : fuite de données médicales et d'assurance, enquête CNIL ouverte.

Ces fuites ont un point commun : les données existaient chez ces organismes parce qu'elles y avaient été déposées, souvent des années auparavant, et n'avaient pas été effacées après leur utilité légitime. Sur le marché criminel, les données "fraîches" (récentes) se vendent plus cher — mais les données anciennes restent exploitables pour du ciblage, du phishing personnalisé ou de la reconstruction d'identité.

Vos droits RGPD concrets en tant que particulier

Droit d'accès (art. 15) : savoir quelles données un organisme détient sur vous
Droit de rectification (art. 16) : corriger des données inexactes
Droit à l'effacement / "droit à l'oubli" (art. 17) : faire supprimer vos données
Droit à la portabilité (art. 20) : récupérer vos données dans un format lisible
Droit d'opposition (art. 21) : s'opposer au traitement à des fins de marketing direct

Comment exercer votre droit à l'effacement — démarche pas à pas

Identifier l'organisme responsable du traitement — cherchez une adresse DPO ou RGPD dans les mentions légales du site (dpo@, rgpd@, ou contact légal désigné)
Envoyer une demande écrite par email ou courrier avec une copie de votre pièce d'identité
L'organisme a 30 jours pour répondre — prolongeable à 90 jours en cas de complexité (il doit vous en informer dans le premier mois)
En cas de refus ou silence : saisir la CNIL sur plainte.cnil.fr ou utiliser notre outil Signalement CNIL →

Générez votre lettre RGPD en 30 secondes

Formulaire pré-rempli, lettre conforme à l'art. 17 du RGPD, téléchargeable en .txt.

Générer la lettre →

Surveiller les fuites qui vous concernent déjà

HaveIBeenPwned : vérifier si votre email est dans une base connue
CNIL : notification individuelle obligatoire si la fuite vous concerne directement (art. 34 RGPD) — mais ce délai peut prendre des semaines
Moniteur dark web NordVPN : surveillance automatique continue de votre email — contrairement aux OS, NordVPN scanne en continu des bases de données compromises et vous alerte immédiatement, avant même la notification officielle obligatoire

Après une fuite : les étapes immédiates →

✓ Le moniteur dark web surveille si votre email figure dans une base de données compromise
✓ Alerte immédiate — bien avant la notification obligatoire CNIL (art. 34 RGPD)

Lien affilié — sans surcoût pour vous

Questions fréquentes

Qu'est-ce que le droit à l'effacement RGPD ?

Le droit à l'effacement (art. 17 du RGPD) permet à toute personne de demander à un organisme de supprimer ses données personnelles. Il s'applique quand les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, ou quand vous retirez votre consentement. Ce droit ne s'applique pas si l'organisme a une obligation légale de conservation.

Un organisme peut-il refuser d'effacer mes données ?

Oui, dans 6 cas légaux : obligation légale de conservation, liberté d'expression, santé publique, archives et recherche scientifique, défense en justice, ou mission d'intérêt public. Si un organisme refuse pour une autre raison, ce refus est susceptible de recours auprès de la CNIL.

Quel est le délai de réponse pour une demande d'effacement ?

Un mois à compter de la réception de la demande. Prolongeable à 3 mois si la demande est complexe — l'organisme doit vous en informer dans le premier mois. Sans réponse dans ce délai, vous pouvez saisir la CNIL.

Un organisme doit-il me notifier si mes données ont fuité ?

Oui, sous certaines conditions (art. 34 RGPD). En pratique, les délais peuvent être longs : 72h pour notifier la CNIL d'abord, puis plusieurs jours ou semaines avant de vous contacter. Le moniteur dark web de NordVPN peut vous alerter avant même la notification officielle.

Puis-je demander l'effacement chez Google, Facebook ou Amazon ?

Oui. Ces entreprises sont soumises au RGPD pour les utilisateurs européens. Chacune propose un portail de gestion : Google Takeout, paramètres Facebook, Amazon "Demande de données". La CNIL peut mettre en demeure si la demande reste sans suite.

Dossier complet sur la protection de vos données personnelles

Scan de CI, NIR, fuite de données, usurpation d'identité — tous nos articles et outils.

Voir le dossier complet →