Menu
× Accueil Supprimer un compte Blog En savoir plus
← Blog Droits et données Initié 12 min

RGPD : vos 7 droits concrets pour reprendre le contrôle de vos données

RGPD : vos 7 droits concrets pour reprendre le contrôle de vos données

Vous avez cliqué sur "J'accepte" combien de fois cette semaine ? Dix ? Vingt ? Probablement davantage. Chaque clic valide un échange silencieux : un service gratuit contre une part de votre vie privée. Votre adresse, vos habitudes d'achat, vos trajets quotidiens, vos recherches Google de 3h du matin — tout cela circule, se revend, s'agrège.

Mais voici ce que la plupart des gens ignorent : depuis 2018, vous disposez de 7 droits RGPD concrets pour inverser le rapport de force. Pas des droits théoriques enfouis dans un texte de loi. Des leviers que vous pouvez actionner demain matin, depuis votre canapé.

Encore faut-il les connaître. C'est tout l'objet de cet article.

Le RGPD, un bouclier pour les citoyens européens

Ce que le RGPD a changé depuis 2018

Avant le 25 mai 2018, la protection des données personnelles existait en France — la loi Informatique et Libertés date de 1978. Mais elle restait largement décorative. Les sanctions étaient faibles, les entreprises peu inquiétées, et les citoyens largement dans le flou.

Le Règlement Général sur la Protection des Données (RGPD) a changé la donne en frappant au portefeuille. Plus de 4,5 milliards d'euros d'amendes cumulées en Europe à fin 2024, selon le GDPR Enforcement Tracker. Record absolu : 1,2 milliard d'euros contre Meta en mai 2023 pour des transferts de données vers les États-Unis. La CNIL a prononcé 42 sanctions rien qu'en 2023, pour environ 89 millions d'euros.

Mais le RGPD, ce n'est pas qu'une machine à amendes. C'est un texte qui pose un principe simple : vos données vous appartiennent, et toute organisation qui les utilise doit pouvoir le justifier.

Le saviez-vous ? Le RGPD a une portée extraterritoriale. Une entreprise américaine, chinoise ou brésilienne qui cible des résidents européens doit respecter le règlement. Ce n'est pas limité à l'Europe — c'est lié à la personne protégée, pas au siège de l'entreprise (article 3).

Qui est concerné : entreprises, administrations, associations

Tout le monde. Votre boulanger qui a un fichier clients, votre mairie, Google, Amazon, la SNCF — dès lors qu'un organisme collecte des données personnelles de résidents européens, le RGPD s'applique.

Et une "donnée personnelle", c'est bien plus large que votre nom et prénom. C'est toute information qui permet de vous identifier, directement ou indirectement : une adresse IP, un identifiant de cookie, une plaque d'immatriculation. Votre [empreinte numérique](→ Article 8 : Votre empreinte numérique) est composée de milliers de ces micro-données.

À retenir :

  • Le RGPD est en vigueur depuis le 25 mai 2018 — bientôt 8 ans
  • Il s'applique à toute organisation, quelle que soit sa taille ou sa localisation, dès lors qu'elle traite des données de résidents européens
  • Il vous donne 7 droits concrets, regroupés au Chapitre III du règlement (articles 12 à 22)

Les 7 droits RGPD expliqués simplement

Avant de plonger dans le détail, dissipons une confusion répandue. Beaucoup de gens pensent que "RGPD = consentement". C'est faux. Le consentement est l'une des 6 bases légales qui autorisent un traitement de données (avec le contrat, l'obligation légale, les intérêts vitaux, la mission d'intérêt public et l'intérêt légitime). Ce n'est pas un droit — c'est une condition.

De même, la "finalité du traitement" n'est pas un droit : c'est un principe fondamental. L'organisme doit définir pourquoi il collecte vos données avant de les collecter.

Les 7 droits ci-dessous sont des armes dans votre main. Des leviers que vous activez par une simple demande écrite.

1. Le droit d'accès (article 15)

Imaginez que vous découvrez qu'un carnet contenant des informations sur vous circule entre des inconnus. Votre première réaction ? "Montrez-moi ce carnet." C'est exactement le droit d'accès.

Vous pouvez demander à toute organisation : "Détenez-vous des données sur moi ? Lesquelles ? Qu'en faites-vous ? À qui les transmettez-vous ?" L'organisme a l'obligation de vous fournir une copie de vos données, gratuitement, sous un mois.

C'est le droit le plus exercé — et de loin. Entre 35 et 40 % des plaintes CNIL. Logique : avant de demander une suppression ou une correction, il faut savoir ce qui existe.

Quand l'utiliser ?

  • Vous soupçonnez qu'une entreprise détient des informations que vous ne lui avez jamais communiquées directement
  • Vous voulez savoir ce que votre ancien employeur a encore dans ses fichiers
  • Vous recevez de la publicité ciblée et vous voulez comprendre d'où viennent les données

Le piège à éviter : croire que c'est instantané. L'entreprise dispose d'un mois pour répondre, prolongeable de deux mois si la demande est complexe. Elle doit alors vous prévenir du retard dans le premier mois.

Le saviez-vous ? Une entreprise peut refuser votre demande d'accès si elle est "manifestement infondée ou excessive" — par exemple si vous envoyez la même demande chaque semaine sans raison. Elle peut aussi expurger les informations qui porteraient atteinte aux droits de tiers.

2. Le droit de rectification (article 16)

Votre banque a enregistré une mauvaise adresse. Un site marchand affiche votre ancien nom. Votre dossier médical contient une erreur sur votre date de naissance. Le droit de rectification vous permet d'exiger la correction de toute donnée inexacte et le complément de données incomplètes.

C'est un droit chirurgical : il ne s'applique qu'aux faits. Vous pouvez faire corriger une adresse erronée, mais pas une appréciation subjective de votre manager dans un entretien annuel — sauf si cette appréciation repose sur des faits eux-mêmes faux.

Le piège à éviter : confondre rectification et suppression. Rectifier, c'est corriger. Supprimer, c'est un autre droit (le suivant). Si vos données sont exactes mais que vous ne voulez plus qu'elles soient traitées, ce n'est pas la rectification qu'il faut invoquer.

À retenir :

  • Ce droit porte sur l'exactitude des données factuelles
  • L'organisme doit informer les tiers à qui il a transmis les données de la correction effectuée

3. Le droit à l'effacement — dit "droit à l'oubli" (article 17)

Celui-ci, tout le monde en a entendu parler. "Je veux être effacé d'internet." Mais sa portée réelle est souvent mal comprise.

Le droit à l'oubli est le titre officiel de l'article 17 du RGPD. Il couvre deux mécanismes distincts : l'effacement des données (paragraphe 1) et le déréférencement dans les moteurs de recherche (paragraphe 2). Les deux existent bel et bien.

Vous pouvez demander l'effacement quand :

  • Les données ne sont plus nécessaires par rapport à la finalité initiale
  • Vous retirez votre consentement (et il n'y a pas d'autre base légale)
  • Le traitement est illicite
  • Vous exercez votre droit d'opposition (voir plus bas)

Mais — et c'est là que beaucoup décrochent — ce droit n'est pas absolu. L'organisme peut refuser si les données doivent être conservées pour une obligation légale (un médecin ne peut pas effacer votre dossier médical), pour des motifs d'intérêt public, pour la liberté d'expression, ou pour une action en justice.

Pensez à l'[anonymisation](→ Article 10 : L'anonymisation des données) comme alternative : parfois, rendre les données non identifiantes suffit à protéger votre vie privée sans exiger une suppression totale.

Le saviez-vous ? Google a traité plus de 2 millions de demandes de déréférencement en Europe depuis 2014. Toutes n'aboutissent pas : Google met en balance votre droit à l'oubli et l'intérêt public de l'information. Un article de presse sur une condamnation pénale, par exemple, ne sera pas forcément déréférencé.

Le piège à éviter : croire que "droit à l'oubli" signifie disparition totale d'internet. Le déréférencement supprime un résultat de recherche, pas la page source. Et l'effacement chez un organisme n'efface pas les copies déjà transmises à des tiers — même si l'organisme doit les informer de votre demande.

Supprimer vos données chez une marque ? Fairmi génère la demande pour vous.

4. Le droit à la limitation du traitement (article 18)

Celui-ci est le grand oublié. Personne n'en parle, presque personne ne l'exerce. Pourtant, c'est un outil redoutable.

Imaginez un bouton "pause". Vos données sont conservées, mais l'organisme n'a plus le droit de les utiliser. C'est exactement ça, la limitation. Un gel temporaire.

Quand c'est utile :

  • Vous contestez l'exactitude de vos données et vous voulez qu'elles soient gelées le temps de la vérification
  • Le traitement est illicite, mais vous préférez le gel à l'effacement (vous pourriez avoir besoin des données comme preuve)
  • L'organisme n'a plus besoin des données, mais vous, si — pour une action en justice

C'est le droit intermédiaire par excellence. Quand la suppression est trop radicale et que la rectification ne suffit pas, la limitation permet de "figer" la situation le temps qu'un litige se règle.

À retenir :

  • La limitation est un gel, pas une suppression
  • C'est le droit le plus méconnu alors qu'il est très utile pendant un litige
  • L'organisme doit vous prévenir avant de lever la limitation

5. Le droit à la portabilité (article 20)

Savez-vous combien de photos, messages, historiques de commandes et playlists sont enfermés dans les services que vous utilisez ? Le droit à la portabilité vous permet de récupérer ces données dans un format structuré et lisible par machine (CSV, JSON...), et de les transmettre à un autre service.

L'idée : éviter l'enfermement. Si vous quittez un réseau social, vous devriez pouvoir repartir avec vos données, comme vous repartez avec vos meubles quand vous déménagez.

Les limites :

  • Seules les données que vous avez fournies (directement ou par votre activité) sont portables. Les données inférées — score de crédit, profil publicitaire — ne le sont pas.
  • Le droit ne s'applique que si le traitement est fondé sur le consentement ou un contrat, ET qu'il est automatisé.

Le saviez-vous ? Ce droit reste largement sous-exercé. Une des raisons : les formats ne sont pas standardisés. Vous récupérez un fichier JSON de Facebook, mais aucun autre réseau social ne peut l'importer directement. Le Digital Markets Act (DMA), applicable depuis mars 2024, [renforce cette obligation pour les "gatekeepers"](→ Article 11 : DSA et DMA) (Google, Apple, Meta, Amazon...) avec des exigences d'interopérabilité.

Le piège à éviter : croire qu'on peut récupérer "tout son dossier". Un score de crédit calculé par un algorithme n'est pas portable — c'est une donnée inférée, pas une donnée fournie.

6. Le droit d'opposition (article 21)

Vous recevez des emails publicitaires d'une marque à laquelle vous n'avez jamais rien acheté ? Des SMS promotionnels à 8h du matin ? Le droit d'opposition est votre meilleur allié.

Deux cas de figure :

Prospection commerciale : opposition absolue. Pas besoin de justifier quoi que ce soit. Vous dites "stop", c'est stop. Point final. Le démarchage commercial est le deuxième motif de plainte à la CNIL, et les sanctions tombent : Accor a été condamné à 600 000 euros en décembre 2022 pour prospection sans consentement.

Intérêt légitime : opposition motivée. Si une entreprise traite vos données sur la base de son "intérêt légitime", vous pouvez vous y opposer en invoquant votre situation particulière. L'entreprise doit alors démontrer que ses motifs l'emportent sur vos droits.

Les [data brokers](→ Article 7 : Surveillance et data-brokers) — ces entreprises qui collectent et revendent vos données sans que vous le sachiez — sont une cible naturelle du droit d'opposition.

Le saviez-vous ? Le bouton "Refuser tout" sur les bannières cookies est obligatoire depuis les lignes directrices CNIL d'avril 2021, et doit être aussi visible que le bouton "Accepter". Google a été sanctionné de 150 millions d'euros, Facebook de 60 millions, Microsoft de 60 millions pour non-respect de cette règle.

Le piège à éviter : confondre opposition et retrait du consentement. Si vous avez signé un contrat avec un opérateur télécom, vous ne pouvez pas "vous opposer" au traitement des données nécessaires à l'exécution de ce contrat. L'opposition vise les traitements fondés sur l'intérêt légitime ou la mission d'intérêt public — pas les contrats en cours.

7. Le droit de ne pas faire l'objet d'une décision automatisée (article 22)

Votre demande de prêt est refusée en 3 secondes. Votre CV est écarté par un algorithme avant qu'un humain ne l'ait lu. Votre prime d'assurance augmente sans explication.

L'article 22 pose un principe : vous avez le droit de ne pas être soumis à une décision prise exclusivement par un algorithme, dès lors qu'elle produit des effets juridiques ou significatifs sur vous.

Les conditions :

  • La décision doit être entièrement automatisée (aucune intervention humaine réelle)
  • Elle doit produire des effets juridiques (refus de crédit, résiliation...) ou significatifs (tarification discriminatoire, exclusion d'un service...)

Si un humain intervient réellement — pas juste pour valider la sortie de l'algorithme, mais pour exercer un vrai jugement — l'article 22 ne s'applique pas.

Le piège à éviter : croire que toute utilisation d'un algorithme est interdite. L'algorithme de recommandation de Netflix ne relève pas de l'article 22 (pas d'effet juridique ou significatif). Le refus automatique d'un prêt, en revanche, oui.

L'[IA Act](→ Article 13 : Cybersécurité et IA), adopté en mars 2024, renforce cette protection pour les systèmes d'intelligence artificielle à haut risque (recrutement, crédit, justice, santé...).

À retenir :

  • Ce droit ne concerne que les décisions 100 % automatisées ayant un impact significatif
  • Vous pouvez exiger une intervention humaine, exprimer votre point de vue et contester la décision
  • L'IA Act vient compléter le RGPD sur ce terrain

Comment exercer ses droits RGPD concrètement

Connaître ses droits, c'est bien. Les exercer, c'est mieux. C'est d'ailleurs la raison d'être de Fairmi : transformer ces droits théoriques en actions concrètes. La procédure est simple.

Les 4 étapes pour envoyer une demande

1. Identifier le bon interlocuteur. Cherchez le Délégué à la Protection des Données (DPO) dans la politique de confidentialité ou les mentions légales du site. Sinon, adressez-vous au service client.

2. Formuler votre demande par écrit. Un email suffit. Précisez le droit invoqué, vos coordonnées, et assez d'éléments pour que l'organisme vous identifie dans ses fichiers.

3. Conserver une preuve d'envoi. Gardez une copie de votre email avec la date. Si vous passez par courrier, privilégiez la lettre recommandée avec accusé de réception.

4. Suivre le délai de réponse. L'organisme a un mois pour répondre. Notez la date et relancez si nécessaire.

Le délai légal de réponse : 1 mois maximum

Le RGPD est clair : l'organisme dispose d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois si la demande est complexe ou si l'organisme reçoit un grand nombre de demandes simultanées. Dans ce cas, il doit vous en informer dans le premier mois, en expliquant pourquoi.

Si la demande est "manifestement infondée ou excessive", l'organisme peut facturer des frais raisonnables ou refuser d'y donner suite. Mais c'est à lui de prouver le caractère excessif — pas à vous de prouver le contraire.

Que faire en cas de refus ou de non-réponse (plainte CNIL)

Silence radio après un mois ? Refus non motivé ? Deux options :

Option 1 : la relance ferme. Renvoyez un courrier en rappelant votre demande initiale, la date d'envoi, le dépassement du délai légal, et votre intention de saisir la CNIL sous 15 jours. Dans beaucoup de cas, cette simple mention débloque la situation.

Option 2 : la plainte CNIL. Déposez une plainte en ligne sur cnil.fr. La CNIL instruit le dossier et peut mettre en demeure l'organisme. Soyez lucide : la CNIL a reçu 16 433 plaintes en 2023 (un record), le traitement prend du temps. La mise en demeure directe est souvent plus rapide.

À retenir :

  • Délai légal : 1 mois, prolongeable de 2 mois si justifié
  • En cas de non-réponse : relance ferme puis plainte CNIL
  • La menace de saisine CNIL est souvent suffisante

Tableau récapitulatif des 7 droits RGPD

Droit Article En une phrase Absolu ?
Accès 15 Savoir quelles données sont détenues sur vous et ce qu'on en fait Non (refus si excessif)
Rectification 16 Corriger des données inexactes ou incomplètes Non (données factuelles uniquement)
Effacement 17 Supprimer vos données ou les déréférencer Non (exceptions légales multiples)
Limitation 18 Geler le traitement sans supprimer les données Non (cas spécifiques)
Portabilité 20 Récupérer vos données dans un format réutilisable Non (données fournies, traitement automatisé)
Opposition 21 Refuser le traitement de vos données Oui pour la prospection, sinon motivé
Décision automatisée 22 Ne pas subir une décision 100 % algorithmique à impact significatif Non (exceptions contractuelles/légales)

FAQ — Questions fréquentes sur les droits RGPD

Quels sont les 7 droits du RGPD ?

Les 7 droits des personnes concernées sont : le droit d'accès (art. 15), le droit de rectification (art. 16), le droit à l'effacement ou droit à l'oubli (art. 17), le droit à la limitation du traitement (art. 18), le droit à la portabilité (art. 20), le droit d'opposition (art. 21), et le droit de ne pas faire l'objet d'une décision automatisée (art. 22). Ils sont regroupés au Chapitre III du RGPD.

Comment exercer ses droits RGPD auprès d'une entreprise ?

Envoyez une demande écrite (email ou courrier) au Délégué à la Protection des Données (DPO) de l'entreprise, ou à défaut au service client. Précisez le droit que vous invoquez, votre identité, et les éléments permettant de vous retrouver dans les fichiers. L'entreprise a un mois pour répondre.

Quel est le délai de réponse à une demande RGPD ?

Un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe, mais l'organisme doit vous en informer dans le premier mois.

Quelle différence entre droit à l'effacement et droit à l'oubli ?

Ce sont deux faces du même article 17. L'effacement (paragraphe 1) concerne la suppression des données chez l'organisme. Le droit à l'oubli au sens strict (paragraphe 2) concerne le déréférencement : l'organisme qui a rendu les données publiques doit informer les autres responsables de traitement de votre demande d'effacement, y compris les moteurs de recherche.

Que faire si une entreprise refuse ma demande RGPD ?

D'abord, vérifiez que le refus est motivé : l'entreprise doit vous expliquer pourquoi et sur quelle base légale. Si le refus vous paraît injustifié, envoyez une relance en mentionnant votre intention de saisir la CNIL. En l'absence de résolution, déposez une plainte en ligne sur cnil.fr. La CNIL peut mettre en demeure l'entreprise et la sanctionner.

Exercez vos droits maintenant avec Fairmi

Connaître ses droits, c'est la première étape. Les exercer, c'est là où la plupart des gens coincent. Trouver le bon interlocuteur, rédiger la demande, respecter le formalisme — autant d'obstacles qui font qu'on remet à demain.

C'est pour ça que Fairmi existe. Comme une fourmi — minuscule face à un univers immense — chaque citoyen se sent impuissant face aux géants qui détiennent ses données. Mais les fourmis, quand elles s'organisent, construisent des merveilles. C'est le pari de Fairmi : vous donner les outils pour agir, maintenant.

Vous sélectionnez une marque, vous choisissez le droit que vous voulez exercer, et Fairmi génère la demande prête à envoyer. Pas de jargon juridique. Pas de modèle de lettre à chercher. Juste vos droits, mis en pratique.

Exercer mes droits RGPD maintenant →