RGPD : Vos Droits Expliqués Simplement (Guide 2026)
Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) te donne un pouvoir énorme sur tes données personnelles. Mais entre le jargon juridique et les formulaires interminables, difficile de savoir concrètement ce que tu peux faire. Ce guide décrypte tes 8 droits fondamentaux, comment les exercer en pratique, et quoi faire quand une entreprise refuse de coopérer.
Qu'est-ce que le RGPD, en une minute ?
Le RGPD est un règlement européen entré en application le 25 mai 2018 qui encadre la collecte et le traitement des données personnelles des citoyens de l'Union Européenne. Il s'applique à toute organisation (entreprise, association, administration) qui traite des données de résidents européens, même si elle est basée hors de l'UE.
En clair : Google, Meta, Amazon, ton employeur, ta banque, ton médecin, la boulangerie du coin qui a un fichier client... tous doivent respecter tes droits RGPD. Et en cas de manquement, les amendes peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial.
Qu'est-ce qu'une donnée personnelle exactement ?
C'est toute information qui permet de t'identifier, directement ou indirectement :
- Directement : nom, prénom, photo, numéro de sécurité sociale
- Indirectement : adresse IP, cookies, identifiant client, données de géolocalisation, voix
- Sensibles (protection renforcée) : origine ethnique, opinions politiques, religion, santé, orientation sexuelle, données biométriques
Les 8 droits RGPD expliqués simplement
Le RGPD te confère 8 droits fondamentaux que tu peux exercer à tout moment, gratuitement, auprès de toute organisation qui détient tes données.
1. Le droit à l'information
Toute entreprise qui collecte tes données doit t'expliquer clairement : qui elle est, pourquoi elle collecte, combien de temps elle garde, avec qui elle partage. C'est le rôle de la politique de confidentialité que tu vois partout (et que personne ne lit).
En pratique : si un site web ne dispose pas de politique de confidentialité accessible, c'est déjà une infraction.
2. Le droit d'accès
Tu peux demander à toute organisation une copie complète des données qu'elle détient sur toi. Elle a un mois pour répondre (prolongeable de 2 mois pour les demandes complexes).
Exemple concret : demande à Facebook toutes tes données, tu recevras un dossier de plusieurs Go incluant tes messages, likes, recherches, connexions...
3. Le droit de rectification
Si une info est fausse ou obsolète (adresse, nom, situation professionnelle), tu peux exiger sa correction. L'organisation doit s'exécuter sans délai.
4. Le droit à l'effacement (« droit à l'oubli »)
Tu peux demander la suppression de tes données dans plusieurs cas :
- Les données ne sont plus nécessaires
- Tu retires ton consentement
- Traitement illégal
- Obligation légale de suppression
Attention : ce droit a des limites. Une banque doit conserver certaines données pendant 10 ans pour raisons comptables, un employeur pendant 5 ans pour les bulletins de salaire, etc.
5. Le droit à la limitation du traitement
Version « soft » du droit à l'effacement : tu demandes à l'organisation de garder tes données mais de ne plus les utiliser activement, le temps qu'un litige se règle par exemple.
6. Le droit à la portabilité
Tu peux récupérer tes données dans un format lisible (JSON, CSV, XML) pour les transférer à un autre service. Utile pour changer de plateforme sans tout perdre.
Exemple : exporter ta bibliothèque Spotify vers Deezer, ou tes contacts Gmail vers Proton Mail.
7. Le droit d'opposition
Tu peux t'opposer à un traitement pour des raisons légitimes. Cas particulier : pour le marketing direct (démarchage commercial), l'opposition est absolue et sans justification nécessaire.
8. Le droit relatif aux décisions automatisées
Tu as le droit de ne pas être soumis à une décision purement automatisée qui a des effets importants sur toi (refus de crédit par algorithme, tri de CV par IA, score d'assurance automatique). Tu peux exiger une intervention humaine.
Comment exercer tes droits RGPD : le guide pratique
Exercer un droit RGPD suit toujours la même procédure en 4 étapes :
- Identifier le DPO ou le contact RGPD : cherche « politique de confidentialité » ou « DPO » sur le site de l'entreprise. L'email est souvent dpo@entreprise.com ou privacy@entreprise.com
- Rédiger ta demande par écrit : email de préférence pour garder une trace. Précise ton identité, le droit exercé, et les données concernées.
- Joindre une pièce d'identité : uniquement si l'entreprise a un doute légitime sur ton identité. Ne fournis pas de copie complète, tu peux masquer les infos non nécessaires.
- Attendre 1 mois maximum : l'organisation doit répondre dans ce délai. Le silence vaut refus.
Modèle d'email à copier-coller
Objet : Exercice de mon droit d'accès (article 15 du RGPD)
Madame, Monsieur,
Conformément à l'article 15 du Règlement Général sur la Protection des Données (RGPD), je vous demande de me communiquer l'intégralité des données personnelles me concernant que vous détenez, ainsi que les informations relatives à leur traitement (finalités, catégories, destinataires, durée de conservation).
Je vous remercie de me répondre dans le délai d'un mois prévu par le règlement.
Cordialement, [Nom Prénom]
Tableau récapitulatif des droits RGPD
| Droit | Article RGPD | Délai de réponse | Limites |
|---|---|---|---|
| Information | Art. 13-14 | Immédiat | Aucune |
| Accès | Art. 15 | 1 mois | Demandes abusives refusables |
| Rectification | Art. 16 | 1 mois | Aucune |
| Effacement | Art. 17 | 1 mois | Obligations légales de conservation |
| Limitation | Art. 18 | 1 mois | Situations spécifiques |
| Portabilité | Art. 20 | 1 mois | Données fournies par toi uniquement |
| Opposition | Art. 21 | 1 mois | Motifs légitimes impérieux |
| Décision automatisée | Art. 22 | 1 mois | Nécessité contractuelle |
Que faire si l'entreprise refuse ou ne répond pas ?
Malheureusement, beaucoup d'entreprises ignorent ou traînent sur les demandes RGPD. Voici la marche à suivre.
Étape 1 : Relance formelle
Après un mois sans réponse, envoie une relance par email en rappelant l'article 12.3 du RGPD et en précisant que tu saisiras la CNIL en cas de silence prolongé.
Étape 2 : Saisir la CNIL
La Commission Nationale de l'Informatique et des Libertés est l'autorité française chargée de faire respecter le RGPD. Tu peux déposer une plainte en ligne sur cnil.fr, gratuitement, en 10 minutes. Il faut fournir :
- La copie de ta demande initiale
- La preuve d'envoi et l'absence de réponse (ou la réponse insatisfaisante)
- Une description factuelle de la situation
La CNIL peut prononcer des mises en demeure, des sanctions pécuniaires (jusqu'à 20M€ ou 4% du CA), et publier ses décisions.
Étape 3 : Action en justice
Si tu as subi un préjudice (usurpation d'identité, préjudice moral, perte financière), tu peux saisir le tribunal judiciaire pour obtenir des dommages et intérêts. Les associations comme La Quadrature du Net ou noyb (celle de Max Schrems) mènent régulièrement des actions collectives.
Cas pratiques : appliquer le RGPD au quotidien
Cas 1 : Supprimer ton compte sur un réseau social
Tu veux disparaître d'Instagram ? Envoie une demande d'effacement écrite. L'entreprise doit non seulement supprimer ton compte, mais aussi tes données de sauvegarde, tes traces publicitaires et informer les tiers avec qui elle a partagé tes infos.
Cas 2 : Contester un fichage bancaire
Si tu es fiché FICP à tort, exerce ton droit de rectification auprès de la Banque de France. Ils ont 1 mois pour corriger. En cas de refus, saisis la CNIL.
Cas 3 : Stopper le démarchage commercial
Chaque email marketing doit contenir un lien de désinscription fonctionnel. S'il ne marche pas, envoie une demande d'opposition écrite. L'entreprise doit s'exécuter immédiatement.
Cas 4 : Réagir après un vol de données
Si une entreprise subit une fuite qui te concerne, elle doit t'en informer dans les 72 heures. Tu peux alors exercer un droit à l'effacement et demander des explications. Notre guide sur comment réagir à un vol de données détaille toutes les étapes.
RGPD et outils du quotidien : les points d'attention
Cookies et traceurs
Depuis 2020, la CNIL exige que refuser les cookies soit aussi simple que les accepter. Si un site te force à cliquer sur 15 options pour refuser, c'est illégal. Les fameux bandeaux « accepter tout » sans bouton « refuser tout » visible sont désormais sanctionnés (Google et Facebook ont pris 210M€ d'amende en 2022 pour ça).
Applications mobiles
Beaucoup d'applis collectent bien plus que ce qu'elles annoncent : microphone, contacts, position en arrière-plan, historique d'achats. Notre article sur les applications qui espionnent ton téléphone t'aide à faire le tri.
Raccourcisseurs de liens et tracking
Attention aux raccourcisseurs de liens qui collectent des données sans transparence. Des outils comme Lunyb respectent le RGPD en étant transparents sur les données collectées (statistiques anonymisées, pas de revente à des tiers, hébergement européen). Vérifie toujours la politique de confidentialité avant de partager un lien professionnel. Pour aller plus loin, consulte notre comparatif des meilleurs outils de suivi de liens 2026.
Photos et documents sensibles
Le RGPD te protège contre les tiers, mais tu dois aussi protéger tes propres fichiers. Chiffre tes documents sensibles localement. Notre guide sur comment cacher des photos avec un coffre-fort chiffré propose des solutions concrètes.
RGPD hors de l'UE : que se passe-t-il ?
Le RGPD s'applique dès qu'une entreprise vise des résidents européens, même si elle est basée aux États-Unis ou en Chine. Mais l'exécution des sanctions à l'international reste difficile.
Pour les pays voisins comme la Suisse (hors UE), il existe une loi fédérale sur la protection des données (LPD) très proche du RGPD depuis septembre 2023. Notre article sur la vie privée en ligne en Suisse détaille les spécificités.
Les erreurs à éviter
- Ne pas garder de trace écrite : toujours privilégier l'email au téléphone
- Envoyer une pièce d'identité complète : masque les informations non nécessaires (numéro exact, photo dans certains cas)
- Attendre trop longtemps pour saisir la CNIL : plus tu attends, plus les preuves se perdent
- Croire que « supprimer mon compte » = RGPD : la suppression d'un compte utilisateur ne signifie pas la suppression des données sous-jacentes
- Payer pour exercer un droit : l'exercice des droits RGPD est gratuit, sauf demande manifestement abusive
FAQ - RGPD et tes droits
Le RGPD s'applique-t-il aux petites entreprises ?
Oui, sans exception de taille. Une auto-entreprise avec un fichier client de 20 personnes est soumise au RGPD, tout comme Google. Seule différence : les TPE de moins de 250 salariés sont dispensées de tenir un registre des traitements complet dans certains cas.
Combien de temps une entreprise peut-elle garder mes données ?
Ça dépend de la finalité. Pour la prospection commerciale : 3 ans après le dernier contact. Pour un contrat client : la durée du contrat + délais de prescription (5 à 10 ans). Pour les données bancaires : 10 ans. L'entreprise doit t'indiquer clairement les durées dans sa politique de confidentialité.
Puis-je exercer mes droits pour mon enfant mineur ?
Oui, en tant que titulaire de l'autorité parentale, tu peux exercer tous les droits RGPD au nom d'un enfant mineur. À partir de 15 ans en France, le mineur peut consentir seul à l'utilisation de ses données par les services numériques (loi Informatique et Libertés).
Une entreprise peut-elle refuser ma demande d'effacement ?
Oui, dans des cas précis : obligation légale de conservation (fiscale, comptable, sociale), exercice de la liberté d'expression, intérêt public de santé, exercice de droits en justice. Le refus doit être motivé par écrit et tu peux le contester auprès de la CNIL.
Que faire si mes données sont sur un site étranger hors UE ?
Le RGPD s'applique si le site cible des utilisateurs européens (langue française, prix en euros, livraison en France...). Tu peux exercer tes droits comme d'habitude. Si l'entreprise ne coopère pas, la CNIL peut se coordonner avec les autorités du pays concerné via des accords internationaux. Pour les pays sans accord, les recours sont plus complexes.
Conclusion
Le RGPD est l'une des législations les plus protectrices au monde pour tes données personnelles. Mais un droit non exercé est un droit qui s'éteint. Prends l'habitude de vérifier régulièrement quelles données les grandes plateformes détiennent sur toi, et n'hésite pas à saisir la CNIL en cas de blocage. Les entreprises craignent bien plus une plainte à la CNIL qu'un email de relance : utilise ce levier.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Protection des Données en France 2026 : Le Guide Complet RGPD & CNIL
Découvre le panorama complet de la protection des données personnelles en France en 2026 : RGPD, CNIL, IA Act, sanctions et obligations. Un guide pratique pour les entreprises et les citoyens qui veulent comprendre leurs droits et leurs devoirs.
LPD vs RGPD : Différences Clés pour les Entreprises Suisses 2026
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) s'applique en Suisse. Mais en quoi diffère-t-elle du RGPD européen ? Ce guide compare les deux textes point par point pour t'aider à mettre ton entreprise en conformité.
LPD : La Loi Suisse sur la Protection des Données Expliquée (2026)
La nouvelle Loi sur la Protection des Données (nLPD) est entrée en vigueur le 1er septembre 2023 et redéfinit complètement la protection des données en Suisse. Ce guide t'explique en détail ce que dit la LPD, qui elle concerne, quelles obligations elle impose et comment elle se compare au RGPD européen.
PFPDT Suisse : Comment Déposer une Plainte (Guide 2026)
Comment déposer une plainte auprès du PFPDT, l'autorité suisse de protection des données ? Découvre la procédure complète depuis la nLPD de 2023, avec modèle de lettre, étapes clés et conseils pour maximiser tes chances d'aboutir.