facebook-pixel

RGPD : Vos Droits Expliqués Simplement (Guide 2026)

E
Equipe Securite Lunyb
··10 min read

Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) te donne un pouvoir énorme sur tes données personnelles. Mais entre le jargon juridique et les formulaires interminables, difficile de savoir concrètement ce que tu peux faire. Ce guide décrypte tes 8 droits fondamentaux, comment les exercer en pratique, et quoi faire quand une entreprise refuse de coopérer.

Qu'est-ce que le RGPD, en une minute ?

Le RGPD est un règlement européen entré en application le 25 mai 2018 qui encadre la collecte et le traitement des données personnelles des citoyens de l'Union Européenne. Il s'applique à toute organisation (entreprise, association, administration) qui traite des données de résidents européens, même si elle est basée hors de l'UE.

En clair : Google, Meta, Amazon, ton employeur, ta banque, ton médecin, la boulangerie du coin qui a un fichier client... tous doivent respecter tes droits RGPD. Et en cas de manquement, les amendes peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial.

Qu'est-ce qu'une donnée personnelle exactement ?

C'est toute information qui permet de t'identifier, directement ou indirectement :

  • Directement : nom, prénom, photo, numéro de sécurité sociale
  • Indirectement : adresse IP, cookies, identifiant client, données de géolocalisation, voix
  • Sensibles (protection renforcée) : origine ethnique, opinions politiques, religion, santé, orientation sexuelle, données biométriques

Les 8 droits RGPD expliqués simplement

Le RGPD te confère 8 droits fondamentaux que tu peux exercer à tout moment, gratuitement, auprès de toute organisation qui détient tes données.

1. Le droit à l'information

Toute entreprise qui collecte tes données doit t'expliquer clairement : qui elle est, pourquoi elle collecte, combien de temps elle garde, avec qui elle partage. C'est le rôle de la politique de confidentialité que tu vois partout (et que personne ne lit).

En pratique : si un site web ne dispose pas de politique de confidentialité accessible, c'est déjà une infraction.

2. Le droit d'accès

Tu peux demander à toute organisation une copie complète des données qu'elle détient sur toi. Elle a un mois pour répondre (prolongeable de 2 mois pour les demandes complexes).

Exemple concret : demande à Facebook toutes tes données, tu recevras un dossier de plusieurs Go incluant tes messages, likes, recherches, connexions...

3. Le droit de rectification

Si une info est fausse ou obsolète (adresse, nom, situation professionnelle), tu peux exiger sa correction. L'organisation doit s'exécuter sans délai.

4. Le droit à l'effacement (« droit à l'oubli »)

Tu peux demander la suppression de tes données dans plusieurs cas :

  • Les données ne sont plus nécessaires
  • Tu retires ton consentement
  • Traitement illégal
  • Obligation légale de suppression

Attention : ce droit a des limites. Une banque doit conserver certaines données pendant 10 ans pour raisons comptables, un employeur pendant 5 ans pour les bulletins de salaire, etc.

5. Le droit à la limitation du traitement

Version « soft » du droit à l'effacement : tu demandes à l'organisation de garder tes données mais de ne plus les utiliser activement, le temps qu'un litige se règle par exemple.

6. Le droit à la portabilité

Tu peux récupérer tes données dans un format lisible (JSON, CSV, XML) pour les transférer à un autre service. Utile pour changer de plateforme sans tout perdre.

Exemple : exporter ta bibliothèque Spotify vers Deezer, ou tes contacts Gmail vers Proton Mail.

7. Le droit d'opposition

Tu peux t'opposer à un traitement pour des raisons légitimes. Cas particulier : pour le marketing direct (démarchage commercial), l'opposition est absolue et sans justification nécessaire.

8. Le droit relatif aux décisions automatisées

Tu as le droit de ne pas être soumis à une décision purement automatisée qui a des effets importants sur toi (refus de crédit par algorithme, tri de CV par IA, score d'assurance automatique). Tu peux exiger une intervention humaine.

Comment exercer tes droits RGPD : le guide pratique

Exercer un droit RGPD suit toujours la même procédure en 4 étapes :

  1. Identifier le DPO ou le contact RGPD : cherche « politique de confidentialité » ou « DPO » sur le site de l'entreprise. L'email est souvent dpo@entreprise.com ou privacy@entreprise.com
  2. Rédiger ta demande par écrit : email de préférence pour garder une trace. Précise ton identité, le droit exercé, et les données concernées.
  3. Joindre une pièce d'identité : uniquement si l'entreprise a un doute légitime sur ton identité. Ne fournis pas de copie complète, tu peux masquer les infos non nécessaires.
  4. Attendre 1 mois maximum : l'organisation doit répondre dans ce délai. Le silence vaut refus.

Modèle d'email à copier-coller

Objet : Exercice de mon droit d'accès (article 15 du RGPD)

Madame, Monsieur,

Conformément à l'article 15 du Règlement Général sur la Protection des Données (RGPD), je vous demande de me communiquer l'intégralité des données personnelles me concernant que vous détenez, ainsi que les informations relatives à leur traitement (finalités, catégories, destinataires, durée de conservation).

Je vous remercie de me répondre dans le délai d'un mois prévu par le règlement.

Cordialement, [Nom Prénom]

Tableau récapitulatif des droits RGPD

Droit Article RGPD Délai de réponse Limites
InformationArt. 13-14ImmédiatAucune
AccèsArt. 151 moisDemandes abusives refusables
RectificationArt. 161 moisAucune
EffacementArt. 171 moisObligations légales de conservation
LimitationArt. 181 moisSituations spécifiques
PortabilitéArt. 201 moisDonnées fournies par toi uniquement
OppositionArt. 211 moisMotifs légitimes impérieux
Décision automatiséeArt. 221 moisNécessité contractuelle

Que faire si l'entreprise refuse ou ne répond pas ?

Malheureusement, beaucoup d'entreprises ignorent ou traînent sur les demandes RGPD. Voici la marche à suivre.

Étape 1 : Relance formelle

Après un mois sans réponse, envoie une relance par email en rappelant l'article 12.3 du RGPD et en précisant que tu saisiras la CNIL en cas de silence prolongé.

Étape 2 : Saisir la CNIL

La Commission Nationale de l'Informatique et des Libertés est l'autorité française chargée de faire respecter le RGPD. Tu peux déposer une plainte en ligne sur cnil.fr, gratuitement, en 10 minutes. Il faut fournir :

  • La copie de ta demande initiale
  • La preuve d'envoi et l'absence de réponse (ou la réponse insatisfaisante)
  • Une description factuelle de la situation

La CNIL peut prononcer des mises en demeure, des sanctions pécuniaires (jusqu'à 20M€ ou 4% du CA), et publier ses décisions.

Étape 3 : Action en justice

Si tu as subi un préjudice (usurpation d'identité, préjudice moral, perte financière), tu peux saisir le tribunal judiciaire pour obtenir des dommages et intérêts. Les associations comme La Quadrature du Net ou noyb (celle de Max Schrems) mènent régulièrement des actions collectives.

Cas pratiques : appliquer le RGPD au quotidien

Cas 1 : Supprimer ton compte sur un réseau social

Tu veux disparaître d'Instagram ? Envoie une demande d'effacement écrite. L'entreprise doit non seulement supprimer ton compte, mais aussi tes données de sauvegarde, tes traces publicitaires et informer les tiers avec qui elle a partagé tes infos.

Cas 2 : Contester un fichage bancaire

Si tu es fiché FICP à tort, exerce ton droit de rectification auprès de la Banque de France. Ils ont 1 mois pour corriger. En cas de refus, saisis la CNIL.

Cas 3 : Stopper le démarchage commercial

Chaque email marketing doit contenir un lien de désinscription fonctionnel. S'il ne marche pas, envoie une demande d'opposition écrite. L'entreprise doit s'exécuter immédiatement.

Cas 4 : Réagir après un vol de données

Si une entreprise subit une fuite qui te concerne, elle doit t'en informer dans les 72 heures. Tu peux alors exercer un droit à l'effacement et demander des explications. Notre guide sur comment réagir à un vol de données détaille toutes les étapes.

RGPD et outils du quotidien : les points d'attention

Cookies et traceurs

Depuis 2020, la CNIL exige que refuser les cookies soit aussi simple que les accepter. Si un site te force à cliquer sur 15 options pour refuser, c'est illégal. Les fameux bandeaux « accepter tout » sans bouton « refuser tout » visible sont désormais sanctionnés (Google et Facebook ont pris 210M€ d'amende en 2022 pour ça).

Applications mobiles

Beaucoup d'applis collectent bien plus que ce qu'elles annoncent : microphone, contacts, position en arrière-plan, historique d'achats. Notre article sur les applications qui espionnent ton téléphone t'aide à faire le tri.

Raccourcisseurs de liens et tracking

Attention aux raccourcisseurs de liens qui collectent des données sans transparence. Des outils comme Lunyb respectent le RGPD en étant transparents sur les données collectées (statistiques anonymisées, pas de revente à des tiers, hébergement européen). Vérifie toujours la politique de confidentialité avant de partager un lien professionnel. Pour aller plus loin, consulte notre comparatif des meilleurs outils de suivi de liens 2026.

Photos et documents sensibles

Le RGPD te protège contre les tiers, mais tu dois aussi protéger tes propres fichiers. Chiffre tes documents sensibles localement. Notre guide sur comment cacher des photos avec un coffre-fort chiffré propose des solutions concrètes.

RGPD hors de l'UE : que se passe-t-il ?

Le RGPD s'applique dès qu'une entreprise vise des résidents européens, même si elle est basée aux États-Unis ou en Chine. Mais l'exécution des sanctions à l'international reste difficile.

Pour les pays voisins comme la Suisse (hors UE), il existe une loi fédérale sur la protection des données (LPD) très proche du RGPD depuis septembre 2023. Notre article sur la vie privée en ligne en Suisse détaille les spécificités.

Les erreurs à éviter

  • Ne pas garder de trace écrite : toujours privilégier l'email au téléphone
  • Envoyer une pièce d'identité complète : masque les informations non nécessaires (numéro exact, photo dans certains cas)
  • Attendre trop longtemps pour saisir la CNIL : plus tu attends, plus les preuves se perdent
  • Croire que « supprimer mon compte » = RGPD : la suppression d'un compte utilisateur ne signifie pas la suppression des données sous-jacentes
  • Payer pour exercer un droit : l'exercice des droits RGPD est gratuit, sauf demande manifestement abusive

FAQ - RGPD et tes droits

Le RGPD s'applique-t-il aux petites entreprises ?

Oui, sans exception de taille. Une auto-entreprise avec un fichier client de 20 personnes est soumise au RGPD, tout comme Google. Seule différence : les TPE de moins de 250 salariés sont dispensées de tenir un registre des traitements complet dans certains cas.

Combien de temps une entreprise peut-elle garder mes données ?

Ça dépend de la finalité. Pour la prospection commerciale : 3 ans après le dernier contact. Pour un contrat client : la durée du contrat + délais de prescription (5 à 10 ans). Pour les données bancaires : 10 ans. L'entreprise doit t'indiquer clairement les durées dans sa politique de confidentialité.

Puis-je exercer mes droits pour mon enfant mineur ?

Oui, en tant que titulaire de l'autorité parentale, tu peux exercer tous les droits RGPD au nom d'un enfant mineur. À partir de 15 ans en France, le mineur peut consentir seul à l'utilisation de ses données par les services numériques (loi Informatique et Libertés).

Une entreprise peut-elle refuser ma demande d'effacement ?

Oui, dans des cas précis : obligation légale de conservation (fiscale, comptable, sociale), exercice de la liberté d'expression, intérêt public de santé, exercice de droits en justice. Le refus doit être motivé par écrit et tu peux le contester auprès de la CNIL.

Que faire si mes données sont sur un site étranger hors UE ?

Le RGPD s'applique si le site cible des utilisateurs européens (langue française, prix en euros, livraison en France...). Tu peux exercer tes droits comme d'habitude. Si l'entreprise ne coopère pas, la CNIL peut se coordonner avec les autorités du pays concerné via des accords internationaux. Pour les pays sans accord, les recours sont plus complexes.

Conclusion

Le RGPD est l'une des législations les plus protectrices au monde pour tes données personnelles. Mais un droit non exercé est un droit qui s'éteint. Prends l'habitude de vérifier régulièrement quelles données les grandes plateformes détiennent sur toi, et n'hésite pas à saisir la CNIL en cas de blocage. Les entreprises craignent bien plus une plainte à la CNIL qu'un email de relance : utilise ce levier.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles