RGPD : Tes Droits Expliqués Simplement (Guide 2026)
Depuis mai 2018, le Règlement Général sur la Protection des Données (RGPD) encadre la façon dont les entreprises traitent tes informations personnelles. Mais soyons honnêtes : la plupart des gens en ont entendu parler sans vraiment savoir ce qu'il leur permet de faire concrètement.
Pourtant, le RGPD t'offre 8 droits fondamentaux que tu peux exercer dès aujourd'hui, gratuitement, auprès de n'importe quelle entreprise qui détient des données sur toi. Dans ce guide, on t'explique chacun de ces droits avec des exemples concrets et les étapes exactes pour les utiliser.
Qu'est-ce que le RGPD exactement ?
Le RGPD est un règlement européen entré en application le 25 mai 2018. Il s'applique à toute organisation qui traite des données personnelles de résidents de l'Union européenne, peu importe où cette organisation est basée. Concrètement, Google, Meta, Amazon ou un petit e-commerce français sont tous soumis aux mêmes obligations envers toi.
Une donnée personnelle, c'est toute information qui permet de t'identifier directement ou indirectement : nom, email, adresse IP, photo, numéro de téléphone, données de géolocalisation, identifiant publicitaire, etc.
En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui veille au respect du RGPD et qui peut sanctionner les entreprises fautives. Les amendes peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial, ce qui n'est pas négligeable.
Les 8 droits fondamentaux du RGPD
Voici la liste complète des droits que le RGPD te garantit. Chacun est détaillé dans les sections suivantes avec des cas pratiques.
| Droit | Article RGPD | À quoi ça sert |
|---|---|---|
| Droit à l'information | Art. 13-14 | Savoir comment tes données sont utilisées |
| Droit d'accès | Art. 15 | Obtenir une copie de tes données |
| Droit de rectification | Art. 16 | Corriger des informations inexactes |
| Droit à l'effacement | Art. 17 | Supprimer tes données ("droit à l'oubli") |
| Droit à la limitation | Art. 18 | Bloquer temporairement le traitement |
| Droit à la portabilité | Art. 20 | Récupérer tes données dans un format réutilisable |
| Droit d'opposition | Art. 21 | Refuser certains traitements |
| Droits liés au profilage | Art. 22 | Refuser une décision automatisée |
1. Le droit à l'information
Le droit à l'information oblige toute entreprise à te dire de manière claire et compréhensible ce qu'elle fait avec tes données. C'est le fondement de tous les autres droits : sans transparence, impossible de savoir ce que tu dois contester.
Ce que l'entreprise doit te dire
- Son identité et ses coordonnées
- La finalité du traitement (pourquoi elle collecte tes données)
- La base légale (consentement, contrat, obligation légale...)
- Les destinataires (qui reçoit tes données)
- La durée de conservation
- Tes droits et comment les exercer
- Si tes données sont transférées hors UE
En pratique, ces informations doivent figurer dans la politique de confidentialité du site, accessible facilement (généralement en pied de page).
2. Le droit d'accès
Le droit d'accès te permet d'obtenir une copie complète de toutes les données qu'une entreprise détient sur toi. C'est probablement le droit le plus puissant car il révèle souvent des informations que tu ne soupçonnais même pas.
Comment exercer ton droit d'accès en 5 étapes
- Identifie le délégué à la protection des données (DPO) de l'entreprise, ou à défaut son service client
- Rédige une demande écrite (email suffit) mentionnant explicitement "droit d'accès RGPD article 15"
- Justifie ton identité (copie de pièce d'identité si nécessaire)
- L'entreprise a 1 mois pour répondre (prolongeable de 2 mois si la demande est complexe)
- La copie est gratuite pour la première demande
Astuce : pour Google, Meta, Apple ou la plupart des grandes plateformes, il existe des outils d'export automatique dans les paramètres de ton compte. Pas besoin de passer par une demande formelle.
3. Le droit de rectification
Tu as remarqué que ton ancienne adresse postale traîne encore chez ton fournisseur d'énergie ? Ton nom est mal orthographié sur ton dossier médical en ligne ? Le droit de rectification t'autorise à exiger la correction de toute donnée inexacte ou incomplète.
L'entreprise doit faire la modification dans un délai d'un mois et doit également prévenir les tiers auxquels elle a transmis ces données erronées. C'est particulièrement utile quand une erreur s'est propagée (par exemple une mauvaise information de scoring de crédit).
4. Le droit à l'effacement (droit à l'oubli)
Le droit à l'effacement, popularisé sous le nom de "droit à l'oubli", te permet de demander la suppression définitive de tes données. Mais attention, ce droit n'est pas absolu : il s'applique uniquement dans certains cas précis.
Cas où tu peux exiger l'effacement
- Tes données ne sont plus nécessaires à la finalité initiale
- Tu retires ton consentement et il n'existe pas d'autre base légale
- Tu t'opposes au traitement et il n'y a pas de motif légitime prépondérant
- Tes données ont été traitées de façon illicite
- Tu étais mineur au moment de la collecte
Cas où l'effacement peut être refusé
- Obligation légale de conservation (factures pendant 10 ans par exemple)
- Exercice de la liberté d'expression et d'information
- Motifs d'intérêt public en matière de santé
- Constatation, exercice ou défense de droits en justice
Si tu veux nettoyer ton empreinte numérique en profondeur, jette aussi un œil à notre guide complet sur la vie privée en ligne qui détaille des techniques complémentaires.
5. Le droit à la limitation du traitement
Le droit à la limitation est une sorte de "pause" : tu demandes à l'entreprise de conserver tes données mais de ne plus les utiliser. C'est utile quand tu contestes l'exactitude des données ou quand tu t'opposes au traitement et qu'une vérification est en cours.
Concrètement, pendant cette période, tes données peuvent être stockées mais aucun traitement actif n'est autorisé (pas de marketing, pas d'analyse, pas de partage avec des tiers).
6. Le droit à la portabilité
Le droit à la portabilité te permet de récupérer tes données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV, XML) afin de les transférer à un autre fournisseur de service.
Exemple typique : tu changes de service de streaming musical et tu veux récupérer ton historique d'écoute et tes playlists pour les importer ailleurs. Ou tu quittes un réseau social et tu souhaites archiver toutes tes publications.
Ce droit ne s'applique qu'aux données :
- Que tu as fournies activement (pas celles déduites par l'entreprise)
- Traitées sur la base du consentement ou d'un contrat
- Faisant l'objet d'un traitement automatisé
7. Le droit d'opposition
Le droit d'opposition te permet de refuser que tes données soient utilisées pour certains traitements. Pour le marketing direct, ce droit est absolu : aucune justification n'est requise et l'entreprise doit immédiatement s'exécuter.
Pour les autres traitements basés sur l'intérêt légitime ou une mission d'intérêt public, tu dois invoquer des raisons tenant à ta situation particulière. L'entreprise peut alors maintenir le traitement si elle prouve des motifs légitimes impérieux.
Exemples d'usage du droit d'opposition
- Refuser de recevoir des emails promotionnels
- S'opposer au profilage publicitaire
- Refuser le démarchage téléphonique (en plus de Bloctel)
- S'opposer au partage de tes données avec des partenaires commerciaux
8. Les droits liés aux décisions automatisées
Le RGPD te protège contre les décisions prises uniquement par algorithme ayant des effets juridiques ou significatifs sur ta vie. Refus de crédit automatisé, scoring d'assurance, tri de CV par IA, modération automatique de compte... tous ces traitements entrent dans le champ d'application.
Tu as le droit :
- D'obtenir une intervention humaine dans la décision
- D'exprimer ton point de vue
- De contester la décision
- D'obtenir une explication sur la logique de l'algorithme
Comment exercer concrètement tes droits ?
Étape 1 : Identifier le bon interlocuteur
Cherche dans la politique de confidentialité du site les coordonnées du DPO (Délégué à la Protection des Données). Si l'entreprise n'en a pas, contacte le service client ou l'adresse générique (souvent privacy@entreprise.com ou dpo@entreprise.com).
Étape 2 : Rédiger une demande claire
Ta demande doit contenir :
- Ton identité complète
- Le droit que tu invoques (avec référence à l'article du RGPD)
- L'objet précis de ta demande
- Tes coordonnées pour la réponse
Étape 3 : Respecter les délais
L'entreprise dispose d'un mois pour répondre. En cas de demande complexe, ce délai peut être prolongé de deux mois supplémentaires, mais l'entreprise doit t'en informer dans le mois initial.
Étape 4 : Saisir la CNIL en cas de problème
Si l'entreprise ne répond pas ou refuse abusivement, tu peux déposer une plainte gratuite sur cnil.fr. La CNIL peut enquêter, mettre en demeure l'entreprise et prononcer des sanctions.
Limiter la collecte à la source : la meilleure défense
Exercer ses droits RGPD, c'est bien. Mais empêcher la collecte excessive en amont, c'est encore mieux. Voici quelques bonnes pratiques :
- Refuse systématiquement les cookies non essentiels sur les bannières de consentement
- Utilise des navigateurs respectueux de la vie privée comme Firefox ou Brave
- Active le DNS chiffré (DoH ou DoT) sur tes appareils
- Utilise des alias email pour les inscriptions à risque
- Surveille les apps installées sur ton téléphone — consulte notre guide sur les applications qui espionnent ton téléphone
- Méfie-toi des liens raccourcis suspects et des QR codes inconnus, comme expliqué dans notre guide sur les QR codes dangereux
Pour partager des liens en limitant le pistage côté destinataire, des outils comme Lunyb proposent un raccourcissement d'URL respectueux de la vie privée, sans collecte abusive de données comportementales.
RGPD vs autres réglementations
Le RGPD est le standard européen, mais d'autres pays ont leur propre cadre. Si tu as des intérêts en Suisse, jette un œil à notre guide sur la LPD suisse qui présente des similitudes mais aussi des différences notables.
| Réglementation | Région | Sanctions max |
|---|---|---|
| RGPD | Union européenne | 20M€ ou 4% du CA |
| LPD | Suisse | 250 000 CHF (pénal) |
| CCPA | Californie | 7 500$ par violation |
| LGPD | Brésil | 50M BRL ou 2% du CA |
FAQ
Le RGPD s'applique-t-il aux entreprises hors UE ?
Oui. Dès qu'une entreprise traite des données de résidents européens (en leur proposant des biens, services, ou en suivant leur comportement), elle doit respecter le RGPD, peu importe sa localisation. C'est ce qu'on appelle l'extraterritorialité du règlement.
Combien coûte l'exercice de mes droits RGPD ?
C'est gratuit. L'entreprise ne peut facturer des frais raisonnables que si tes demandes sont manifestement infondées ou excessives (par exemple, des demandes répétées tous les jours). Dans la pratique, ne te laisse pas intimider si on te demande de payer.
Que faire si une entreprise ignore ma demande ?
Tu peux saisir gratuitement la CNIL via leur formulaire en ligne sur cnil.fr. Conserve toutes les preuves de ta demande initiale (email avec accusé de réception, copie de la lettre recommandée). La CNIL peut ouvrir une enquête et sanctionner l'entreprise.
Mon employeur est-il soumis au RGPD ?
Oui, totalement. Ton employeur traite de nombreuses données personnelles te concernant (paie, évaluations, badge, géolocalisation des véhicules de fonction...). Tu peux donc exercer tes droits d'accès, de rectification et d'opposition auprès de lui, généralement via les RH ou le DPO de l'entreprise.
Les données anonymisées sont-elles couvertes par le RGPD ?
Non. Si les données sont véritablement anonymisées (impossible de remonter à la personne, même par recoupement), elles sortent du champ du RGPD. Attention toutefois : la pseudonymisation (où l'identification reste possible avec une clé) reste soumise au RGPD car la réidentification est techniquement possible.
Combien de temps une entreprise peut-elle garder mes données ?
Le RGPD impose le principe de minimisation : les données ne peuvent être conservées que le temps nécessaire à la finalité poursuivie. Cette durée varie selon le contexte (10 ans pour des factures, 3 ans après le dernier contact pour le marketing, durée du contrat pour un abonnement, etc.). L'entreprise doit te communiquer ces durées dans sa politique de confidentialité.
Pour aller plus loin et choisir des outils respectueux de ta vie privée au quotidien, consulte aussi notre classement des meilleurs raccourcisseurs d'URL en 2026.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
LPD : La Loi Suisse sur la Protection des Données Expliquée
Depuis 2023, la nouvelle LPD suisse impose des règles strictes pour la protection des données personnelles. Découvre dans ce guide complet les obligations, sanctions et différences avec le RGPD, ainsi qu'une checklist pratique pour te mettre en conformité.
Protection des Données en France 2026 : Le Guide Complet
Tout ce qu'il faut savoir sur la protection des données en France en 2026 : nouveautés du RGPD, AI Act, obligations des entreprises et droits des citoyens. Un guide pratique pour comprendre et agir.
PFPDT Suisse : Comment Déposer une Plainte (Guide Complet 2026)
Tu veux faire valoir tes droits à la protection des données en Suisse ? Découvre comment déposer une plainte auprès du PFPDT étape par étape, avec tous les conseils pratiques pour maximiser tes chances de succès sous la nouvelle LPD.
LPD vs RGPD : Différences Clés pour les Entreprises Suisses en 2026
Depuis 2023, la nouvelle LPD suisse s'inspire fortement du RGPD européen, mais des différences clés subsistent. Découvre dans ce guide complet les obligations concrètes pour ton entreprise, les sanctions encourues et les bonnes pratiques pour une conformité multi-juridictionnelle.