Article 17 RGPD : le droit à l'effacement décrypté

L’Art. 17 du RGPD est le texte le plus visible des droits des personnes — c’est lui qu’on appelle, à tort ou à raison, le « droit à l’oubli ». Il est aussi l’un des plus mal compris : ni absolu, ni automatique, encadré par cinq exceptions de poids et adossé à une jurisprudence européenne dense (Google Spain, GC, TU and RE) qui en redessine les contours depuis dix ans. Mal géré, son non-respect tombe dans le plafond haut des sanctions de l’Art. 83(5)(b) — jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial. La CNIL en a fait, en 2024, le premier motif de plainte recevable.

Ce que dit l’article 17 du RGPD

L’Art. 17 s’intitule « Droit à l’effacement (« droit à l’oubli ») ». Il est composé de trois paragraphes qui se lisent comme un tout :

• l’Art. 17(1) énumère les six motifs ouvrant à la personne le droit d’obtenir l’effacement de ses données dans les meilleurs délais ;
• l’Art. 17(2) impose, lorsque les données ont été rendues publiques, une obligation de propagation auprès des autres responsables de traitement qui les exploitent ;
• l’Art. 17(3) liste cinq exceptions qui permettent au responsable de traitement de refuser l’effacement.

La lecture de l’Art. 17 ne se conçoit pas isolément. Elle suppose celle de l’Art. 6 (bases légales), de l’Art. 7 (retrait du consentement), de l’Art. 21 (droit d’opposition), de l’Art. 12 (modalités d’exercice et délais) et de l’Art. 9 (données sensibles). Le droit à l’effacement est en réalité un mécanisme procédural qui agit en aval d’autres règles : il sanctionne, par la suppression, la disparition de la base légale d’un traitement.

Art. 17(1) : les six motifs d’effacement

Le premier paragraphe pose une obligation pesant sur le responsable de traitement : effacer « dans les meilleurs délais » lorsque l’un des six motifs (a) à (f) est rempli. Le délai n’est pas chiffré dans l’Art. 17 — il faut se reporter à l’Art. 12(3) qui fixe un mois maximum, prolongeable de deux mois supplémentaires si la demande est complexe.

Motif (a) : les données ne sont plus nécessaires

L’Art. 17(1)(a) autorise l’effacement lorsque les données « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ». C’est l’expression directe du principe de limitation de la conservation posé à l’Art. 5(1)(e). Il s’agit moins d’un droit que d’une conséquence : si la finalité est éteinte, la donnée doit l’être aussi — de droit, sans même attendre la demande.

En pratique, la CNIL contrôle régulièrement le respect des durées de conservation et la sanctionne lourdement. La délibération SAN-2022-009 Discord rappelle que conserver des comptes inactifs sans politique de purge constitue une violation de l’Art. 5(1)(e), qui se cumule avec celle de l’Art. 17 dès que la personne demande l’effacement. C’est le motif le plus facile à activer pour le réclamant : si la finalité est éteinte, le refus est intenable.

Motif (b) : retrait du consentement

L’Art. 17(1)(b) ouvre l’effacement lorsque la personne « retire le consentement sur lequel est fondé le traitement, conformément à l’Art. 6(1)(a) ou à l’Art. 9(2)(a), et qu’il n’existe pas d’autre fondement juridique au traitement ».

Deux conditions cumulatives donc :

• le consentement doit être la base légale réelle du traitement — pas un consentement résiduel cumulé à un intérêt légitime, ni un consentement-vitrine ;
• aucun autre fondement de l’Art. 6(1) ne doit pouvoir prendre le relais — par exemple, l’exécution d’un contrat ou une obligation légale.

C’est sur ce point que les responsables de traitement font souvent l’erreur. Un fichier prospect collecté sur consentement (case à cocher pour newsletter) ne peut pas, après retrait, être maintenu par bascule sur un intérêt légitime « commercial ». Le RGPD ne permet pas le saut entre bases légales pour conserver les données après retrait — c’est ce qu’a rappelé fermement la CNIL dans SAN-2024-001 Hubside.

Motif © : opposition au traitement

L’Art. 17(1)© ouvre l’effacement lorsque la personne « s’oppose au traitement en vertu de l’Art. 21(1) et qu’il n’existe pas de motif légitime impérieux pour le traitement, ou s’oppose au traitement en vertu de l’Art. 21(2) ».

Deux régimes distincts :

• l’Art. 21(1) vise l’opposition aux traitements fondés sur l’intérêt légitime ou la mission d’intérêt public — la personne doit invoquer des « raisons tenant à sa situation particulière », et le responsable peut maintenir le traitement s’il établit des « motifs légitimes impérieux » (test pondéré). Voir mon analyse Article 21 RGPD ;
• l’Art. 21(2) vise l’opposition aux traitements de prospection — elle est inconditionnelle et absolue. Aucun motif légitime impérieux ne peut s’y opposer. Le refus d’effacer après une opposition à la prospection est une faute de qualification que la CNIL sanctionne durement.

Motif (d) : traitement illicite

L’Art. 17(1)(d) impose l’effacement lorsque les données « ont fait l’objet d’un traitement illicite ». L’illicéité peut venir de l’absence de base légale, d’une finalité incompatible (Art. 5(1)(b)), d’un défaut d’information de la personne, d’une collecte sans consentement explicite pour des données sensibles, ou d’un transfert hors UE non encadré.

Cette ouverture est large : tout manquement substantiel au RGPD contamine la licéité du traitement et déclenche le motif (d). Quand un contrôle CNIL conclut à l’illicéité d’un traitement, l’effacement est l’effet dérivé naturel de la mise en conformité — voir SAN-2024-008 SAF Logistics, où la CNIL a ordonné la suppression des données collectées hors cadre.

Motif (e) : obligation légale d’effacement

L’Art. 17(1)(e) prévoit l’effacement lorsque les données « doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ».

Plusieurs textes français imposent ainsi un effacement de droit : suppression du casier judiciaire à l’échéance, anonymisation des données fiscales prescrites, suppression des données de santé après le délai de conservation imposé par le code de la santé publique, effacement des images de vidéoprotection après la durée maximale autorisée par la délibération sectorielle CNIL applicable. Le motif (e) est moins une demande qu’un automatisme à intégrer dans la politique de conservation.

Motif (f) : services de la société de l’information aux mineurs

L’Art. 17(1)(f) ouvre un droit à l’effacement renforcé pour les données collectées « dans le cadre de l’offre de services de la société de l’information visée à l’Art. 8(1) ».

Concrètement, ce sont les données collectées en ligne auprès de mineurs (réseaux sociaux, jeux, applications) sur la base du consentement parental ou du consentement direct de l’adolescent au seuil fixé par le droit national (15 ans en France, art. 45 LIL). Devenu majeur, le titulaire peut obtenir l’effacement sans avoir à se justifier — c’est une protection spécifique liée à la vulnérabilité du consentement initial. La CNIL a fait de la protection des mineurs en ligne une priorité explicite dans son plan stratégique 2025-2028.

Art. 17(2) : la propagation auprès des autres responsables

Le deuxième paragraphe impose une obligation rarement comprise : « lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci ».

C’est ici que se trouve le véritable « droit à l’oubli » — celui consacré par la CJUE dans Google Spain et Google (C-131/12, 13 mai 2014), repris dans GC e.a. c. CNIL (C-136/17, 24 septembre 2019) et précisé dans TU and RE c. Google (C-460/20, 8 décembre 2022).

Trois implications concrètes :

• l’obligation pèse sur le responsable initial qui a publié les données — elle vise notamment les sites éditeurs, les forums, les administrations en open data, les médias en ligne ;
• l’obligation est de moyens : « mesures raisonnables », « compte tenu des technologies disponibles et des coûts ». Un éditeur n’est pas tenu de localiser tous les copieurs sur Internet, mais il doit au minimum notifier les principaux moteurs de recherche et les plateformes connues qui indexent son contenu ;
• la CJUE a clarifié dans TU and RE que lorsque la personne établit que les informations indexées sont manifestement inexactes, le moteur de recherche doit déréférencer sans autre forme d’examen — même sans décision juridictionnelle préalable.

L’Art. 17(2) ne crée pas un droit d’« effacement universel ». Il organise une cascade procédurale : le responsable initial supprime, et notifie ; les responsables secondaires (moteurs, agrégateurs, plateformes) reçoivent la demande — qui ouvre alors leur propre obligation d’effacement au titre de l’Art. 17(1).

Art. 17(3) : les cinq exceptions

Le troisième paragraphe ferme cinq portes. Si l’une de ces exceptions s’applique, le responsable de traitement peut — et même doit, dans certains cas — refuser l’effacement.

Exception (a) : liberté d’expression et d’information

L’Art. 17(3)(a) écarte l’effacement lorsque le traitement est nécessaire « à l’exercice du droit à la liberté d’expression et d’information ». C’est la pierre angulaire de toute la jurisprudence sur le droit à l’oubli : la CJUE et le Conseil d’État pèsent en permanence l’intérêt de la personne contre l’intérêt du public à accéder à l’information.

La balance est documentée dans GC e.a. c. CNIL (C-136/17) : pour les données sensibles indexées par un moteur, le déréférencement est en principe de droit, sauf si l’inclusion du résultat est « strictement nécessaire » à la liberté d’information du public. Pour la presse, le Conseil d’État (CE, 27 mars 2020, n° 401258) a confirmé que la CNIL apprécie au cas par cas le caractère prépondérant de la liberté d’information — notamment lorsque la personne exerce un rôle public.

Pour les éditeurs de presse et les bases archivistiques, l’Art. 17(3)(a) est l’angle de défense principal contre les demandes d’effacement.

Exception (b) : obligation légale et mission d’intérêt public

L’Art. 17(3)(b) écarte l’effacement lorsque le traitement est nécessaire « pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

Cas typiques : conservation comptable obligatoire (10 ans, art. L. 123-22 C. com.), conservation des bulletins de paie (5 ans, art. L. 3243-4 C. trav.), traitements régaliens (état civil, fiscalité, sécurité sociale). Dans ces hypothèses, l’effacement n’est pas seulement refusable : il est interdit avant l’échéance légale.

Attention : l’exception ne couvre que les données nécessaires à l’obligation. Les données accessoires (commentaires marketing, préférences, traceurs) doivent être supprimées séparément. C’est la mécanique du « silotage » que je détaille dans mon guide registre des traitements — chaque finalité a sa propre durée et son propre régime.

Exception © : santé publique

L’Art. 17(3)© protège les traitements nécessaires « pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’Art. 9(2)(h) et (i) ainsi qu’à l’Art. 9(3) ». Cette exception couvre notamment les traitements épidémiologiques, les vigilances sanitaires (pharmacovigilance, hémovigilance), les bases de données de santé publique réglementées (PMSI, SNDS).

Elle ne s’applique pas aux traitements de soin courant, qui restent gouvernés par les durées de conservation du code de la santé publique (20 ans pour le dossier hospitalier, art. R. 1112-7 CSP).

Exception (d) : archivage, recherche, statistiques

L’Art. 17(3)(d) protège les traitements à des fins « archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’Art. 89(1), dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ».

Le test est exigeant : la simple commodité ne suffit pas. Il faut démontrer que l’effacement compromettrait gravement l’objectif scientifique. En pratique, l’exception passe quand les données ont été pseudonymisées ou agrégées : une pseudonymisation robuste protège la recherche. Les Lignes directrices CEPD 1/2020 sur la recherche scientifique (en cours de finalisation) précisent les contours de l’exception (d).

Exception (e) : exercice ou défense d’un droit en justice

L’Art. 17(3)(e) écarte l’effacement lorsque le traitement est nécessaire « à la constatation, à l’exercice ou à la défense de droits en justice ». C’est l’exception la plus fréquemment invoquée par les entreprises confrontées à un contentieux ou à une réclamation client.

L’exception est légitime mais souvent mal déployée : elle ne couvre que les données utiles au litige et pour la durée de la procédure et des voies de recours. Conserver indéfiniment un dossier client « au cas où » sur le fondement (e) ne tient pas. La CNIL a sanctionné cette dérive dans SAN-2023-013 Doctissimo où la conservation perpétuelle de données « contentieuses » s’est révélée injustifiée.

La pratique recommandée est de mettre les données concernées en archivage intermédiaire sécurisé, distinct des bases actives, avec accès limité aux services juridiques, et purge automatique à l’échéance des prescriptions applicables (5 ans en droit commercial, 30 ans pour les actions immobilières).

L’effacement effectif : ce qu’il faut supprimer

L’effacement au sens de l’Art. 17 doit être réel, pas symbolique. Cela couvre quatre périmètres :

• les bases actives (CRM, ERP, application métier) — suppression immédiate ;
• les sauvegardes accessibles — la CNIL admet une suppression différée alignée sur la rotation des sauvegardes, à condition que les données ne soient pas réinjectées en base active après restauration ;
• les données chez les sous-traitants — l’Art. 28(3)(g) impose au sous-traitant de supprimer ou de restituer les données sur instruction du responsable. Le contrat de sous-traitance doit organiser cette mécanique ;
• les journaux applicatifs et logs — souvent oubliés, ils contiennent fréquemment des données nominatives qu’il faut purger ou anonymiser.

L’anonymisation peut tenir lieu d’effacement à condition d’être irréversible (pas de réidentification possible avec des moyens raisonnables), conformément aux critères du CG29 (avis 05/2014) et désormais du CEPD. La pseudonymisation, en revanche, ne suffit pas : elle ne supprime pas le caractère personnel des données et n’éteint donc pas l’obligation d’effacement.

Articulation avec les autres droits

Le droit à l’effacement n’est qu’un maillon de la chaîne procédurale des droits :

• l’Art. 12 fixe les modalités (formes, délais, gratuité, identification du demandeur, motivation du refus) ;
• l’Art. 16 ouvre un droit à la rectification lorsque les données sont inexactes — souvent une alternative à l’effacement quand la personne ne souhaite pas tout supprimer ;
• l’Art. 18 ouvre un droit à la limitation — la donnée est gelée le temps d’un litige, ce qui peut être préférable à un effacement irréversible ;
• l’Art. 20 ouvre un droit à la portabilité — souvent demandé conjointement à l’effacement (récupérer puis supprimer) ;
• l’Art. 21 déclenche le motif © du présent article ;
• l’Art. 7(3) déclenche le motif (b).

En pratique, lorsqu’une demande d’effacement parvient au DPO, la première question est de qualifier précisément la demande : effacement, rectification, limitation, opposition ? La réponse procédurale — et le délai applicable — en dépend.

Sanctions et délais

Le non-respect de l’Art. 17 tombe dans le plafond haut des sanctions de l’Art. 83(5)(b) : jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Le retard dans la réponse, le refus injustifié, la suppression incomplète, l’absence d’information de la personne sur les motifs du refus sont autant de griefs autonomes.

Plusieurs sanctions CNIL récentes l’illustrent :

• SAN-2024-001 Hubside — 525 000 € notamment pour défaut de réponse aux demandes d’effacement ;
• SAN-2022-022 Free Mobile — 300 000 € pour défaut de respect des droits, dont l’effacement ;
• SAN-2023-013 Doctissimo — 380 000 € notamment pour conservation injustifiée et non-respect des demandes ;
• SAN-2024-008 SAF Logistics — 200 000 € avec injonction de supprimer les données traitées illicitement.

Voir mon analyse complète Sanctions CNIL 2026 qui couvre l’évolution récente de la doctrine.

Cas pratiques rapides

Désinscription newsletter. Un client retire son consentement à la newsletter et demande la suppression de son adresse. Motif (b) applicable : retrait du consentement. Pas de bascule possible sur l’intérêt légitime. Suppression dans le mois (Art. 12(3)). La conservation d’une « liste de désinscrits » sur la base de l’obligation légale d’honorer l’opposition est en revanche admise — c’est une finalité distincte.

Salarié quittant l’entreprise. Un ancien salarié demande l’effacement de son dossier RH. Exception (b) applicable pour les bulletins de paie (5 ans), les contrats de travail (5 ans), les éléments fiscaux (3 à 6 ans). Exception (e) possible pour les données utiles à un contentieux prud’homal en cours. Le reste (évaluations, formations, photos d’équipe) doit être effacé.

Demande de déréférencement Google. Une personne demande la suppression de résultats de recherche associés à son nom. Le moteur — responsable de traitement au sens de Google Spain — doit examiner la demande au regard de l’Art. 17 et de la balance liberté d’information / vie privée. Refus possible si l’inclusion sert un intérêt prépondérant du public (rôle public, infraction grave non prescrite). La personne peut saisir la CNIL puis le Conseil d’État en cas de refus.

Patient demandant l’effacement de son dossier médical. Refus quasi-systématique au titre de l’exception (b) : conservation 20 ans imposée par l’art. R. 1112-7 CSP. La personne peut en revanche demander la rectification des erreurs (Art. 16) et l’accès à son dossier (Art. 15 et code de la santé publique).

Ce qu’il faut retenir

• L’Art. 17(1) ouvre six motifs d’effacement — données non nécessaires, retrait du consentement, opposition, traitement illicite, obligation légale, services aux mineurs.
• L’Art. 17(2) impose une obligation de propagation auprès des autres responsables qui exploitent les données rendues publiques — c’est le socle du « droit à l’oubli » Google Spain.
• L’Art. 17(3) ouvre cinq exceptions : liberté d’expression, obligation légale, santé publique, archivage/recherche, exercice de droits en justice.
• Le délai de réponse est d’un mois maximum (Art. 12(3)), prolongeable de deux mois si la demande est complexe.
• L’effacement doit être réel : bases actives, sauvegardes, sous-traitants, logs. La pseudonymisation ne suffit pas — seule l’anonymisation irréversible équivaut à un effacement.
• Sanction encourue : plafond haut de l’Art. 83(5)(b) — jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial.

FAQ

Le droit à l’effacement est-il absolu ?

Non. L’Art. 17(3) prévoit cinq exceptions de poids : liberté d’expression et d’information, obligation légale ou mission d’intérêt public, santé publique, archivage et recherche scientifique, exercice ou défense d’un droit en justice. Lorsqu’une de ces exceptions s’applique, le responsable de traitement peut — et parfois doit — refuser l’effacement. Le refus doit toujours être motivé par écrit dans le délai de l’Art. 12(3).

Quelle différence entre droit à l’effacement et droit à l’oubli ?

Le « droit à l’oubli » au sens strict est issu de l’arrêt Google Spain (CJUE, C-131/12, 13 mai 2014) : il vise le déréférencement par les moteurs de recherche. Il a été codifié dans l’Art. 17(2) RGPD comme une obligation de propagation lorsque les données ont été rendues publiques. L’Art. 17(1) couvre quant à lui un droit plus large à la suppression chez le responsable initial. Les deux régimes coexistent et s’articulent : la personne peut s’adresser à l’éditeur et au moteur, ou directement au moteur.

La pseudonymisation des données équivaut-elle à un effacement ?

Non. La pseudonymisation conserve aux données leur caractère personnel — la réidentification reste possible avec la table de correspondance. Seule l’anonymisation irréversible, conforme aux critères du CEPD (singularisation, corrélation et inférence impossibles), équivaut à un effacement au sens de l’Art. 17. C’est une distinction que la CNIL contrôle strictement, notamment dans les contentieux liés aux durées de conservation.

Combien de temps ai-je pour répondre à une demande d’effacement ?

L’Art. 12(3) RGPD fixe un délai d’un mois maximum à compter de la réception. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe ou si plusieurs demandes sont reçues simultanément, mais cette prolongation doit être notifiée à la personne dans le délai initial d’un mois en expliquant les motifs du retard. Pour la procédure complète, voir mon guide droit à l’effacement RGPD.

Que faire si je ne peux pas effacer immédiatement les sauvegardes ?

La CNIL admet une suppression différée des sauvegardes alignée sur leur rotation normale, à condition de respecter trois règles : informer la personne de cette suppression différée, garantir que les données effacées des bases actives ne seront pas réinjectées si la sauvegarde est restaurée, et documenter la procédure dans la politique de gestion des sauvegardes. Cette tolérance ne couvre que les sauvegardes — les bases actives et les données chez les sous-traitants doivent être supprimées dans le délai d’un mois.

---

Vous gérez les demandes d’effacement et souhaitez sécuriser vos procédures ? Inscrivez-vous à ma newsletter : chaque semaine, j’analyse les décisions CNIL, la jurisprudence CJUE et les bonnes pratiques opérationnelles pour les DPO et responsables de traitement.