Droit à l’effacement : bilan des contrôles de la CNIL dans le cadre de l’action coordonnée européenne

Pour la quatrième année consécutive, la CNIL et plusieurs de ses homologues européens ont participé à une action coordonnée (coordinated enforcement framework) du Comité européen de la protection des données (CEPD).

La CNIL a ainsi procédé à des contrôles sur place auprès de six organismes, de tailles et de secteurs d’activité divers. Ces organismes ont été en partie identifiés sur la base de plaintes reçues par la CNIL.

Un droit à l’effacement globalement respecté, mais des difficultés persistantes

Il ressort de ces investigations que les demandes d’effacement de données sont, dans l’ensemble,  prises en compte par les responsables de traitement. Lorsqu’un refus est opposé, il s’appuie sur l’une des exceptions prévues par le RGPD (par exemple pour le respect d’une obligation légale, comme la conservation d’une facture, ou si la demande va à l’encontre de l’exercice du droit à la liberté d’expression et d’information). En outre, de nombreux responsables de traitement ont mis en place des bonnes pratiques pour répondre à ces demandes, telles que des actions de formation.

Toutefois, les résultats rejoignent certaines conclusions de l'action coordonnée menée en 2024 sur le droit d'accès, notamment concernant l'absence de procédures internes adaptées pour traiter les demandes des personnes concernées et le manque d'informations suffisantes à leur fournir. Les autorités ont également relevé des difficultés rencontrées par certains responsables de traitement pour déterminer les durées de conservation ou supprimer les données personnelles des sauvegardes réalisées. Le droit à l'effacement n'étant pas absolu, certains responsables de traitement ont fait état de difficultés pour évaluer les conditions nécessaires à son exercice, notamment lorsqu’il s’agit de mettre en balance le droit à l'effacement et d’autres droits et libertés.

Des écarts selon la taille et le secteur des organismes

Il ressort de cette campagne de contrôles coordonnés à l’échelle européenne que la taille de l’organisme et son secteur d’activité ont une influence sur le nombre de demandes d’effacement reçues et le niveau global de conformité observé. En effet, les organismes de grande taille recevront généralement un plus grand nombre de demandes et disposent plus souvent de procédures internes formalisées adossées à des mesures techniques et organisationnelles adaptées.

Dans le cadre de cette action coordonnée et à la suite des contrôles menés, la nécessité de mener des actions de sensibilisation supplémentaires au niveau de l’Union européenne sera examinée, notamment via l’élaboration de guides pratiques détaillant des cas d’usages et des bonnes pratiques.

Les suites des contrôles menés

Dans le cadre de cette action coordonnée et à la suite des contrôles menés, la CNIL a déjà prononcé deux mises en demeure.

L’instruction des autres contrôles menés par la CNIL se poursuit et pourrait donner lieu à l’adoption d’autres mesures correctrices (rappel aux obligations légales, mises en demeure ou amendes administratives), ou à la clôture des procédures en l’absence de manquement aux règles applicables.