Demande d'accès ou d'effacement RGPD : comment répondre en 2026

Tôt ou tard, vous recevrez un email du type : « Je souhaite savoir quelles données vous détenez sur moi » ou « Merci de supprimer toutes mes données ». Ces demandes correspondent à l'exercice des droits des personnes garantis par le RGPD. Y répondre est une obligation légale assortie de délais stricts. Ignorer une telle demande est l'un des manquements les plus simples à prouver pour la CNIL. Ce guide explique comment traiter chaque type de demande, dans les règles et sans paniquer.

Les droits que vos visiteurs peuvent exercer

Toute personne dont vous traitez les données peut exercer plusieurs droits :

• Droit d'accès : obtenir une copie des données que vous détenez sur elle ;
• Droit de rectification : corriger des données inexactes ;
• Droit à l'effacement (« droit à l'oubli ») : faire supprimer ses données ;
• Droit d'opposition : s'opposer à un traitement (notamment la prospection) ;
• Droit à la limitation : geler temporairement un traitement ;
• Droit à la portabilité : récupérer ses données dans un format réutilisable.

Pour un freelance ou une PME, les plus fréquents sont l'accès, l'effacement et l'opposition à la prospection.

Le délai : 1 mois, à compter de la réception

Vous devez répondre dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe ou multiple, à condition d'informer la personne de cette prolongation et de ses raisons dans le premier mois.

La réponse est en principe gratuite. Vous ne pouvez facturer des frais raisonnables que si la demande est manifestement infondée ou excessive (par exemple répétitive).

Ce délai est ferme. Une absence de réponse est précisément ce qui transforme une simple demande en plainte CNIL, puis en mise en demeure. Pour comprendre comment réagir face à la CNIL, voyez notre guide sur le contrôle CNIL.

Étape 1 : vérifier l'identité du demandeur

Avant de communiquer ou supprimer des données, assurez-vous que la personne est bien celle qu'elle prétend être. Sans cela, vous risquez de divulguer des données à un tiers — ce qui serait à son tour une violation.

La vérification doit rester proportionnée : si la personne écrit depuis l'adresse email que vous avez en base, c'est généralement suffisant. N'exigez pas systématiquement une copie de pièce d'identité : la CNIL considère cette demande excessive dans la plupart des cas, sauf doute sérieux sur l'identité.

Étape 2 : identifier les données concernées

Reportez-vous à votre registre des traitements pour savoir où sont les données de cette personne : base clients, outil d'emailing, CRM, comptabilité, sauvegardes, messagerie. Une cartographie à jour rend cette étape rapide ; sans registre, elle devient un casse-tête.

Étape 3 : traiter selon le type de demande

Demande d'accès

Fournissez une copie des données détenues, dans un format clair, accompagnée des informations sur les finalités, les destinataires, la durée de conservation et les droits. Ne communiquez que les données de la personne : si un document contient aussi des données de tiers, masquez-les.

Demande d'effacement

Supprimez les données, sauf exception légale (voir plus bas). Pensez à propager la suppression à vos sous-traitants (outil d'emailing, CRM) et à documenter l'opération. Confirmez la suppression à la personne.

Demande d'opposition à la prospection

Retirez immédiatement la personne de vos listes de prospection. C'est un droit absolu en matière de marketing : aucun motif légitime ne peut le contrebalancer. Voyez aussi notre guide sur la prospection commerciale et le cold email.

Quand pouvez-vous refuser un effacement ?

Le droit à l'effacement n'est pas absolu. Vous pouvez conserver certaines données malgré la demande lorsque :

• une obligation légale l'impose (les factures doivent être conservées 10 ans au titre du Code de commerce) ;
• les données sont nécessaires à la constatation ou défense d'un droit en justice ;
• la conservation répond à une obligation comptable ou fiscale.

Dans ce cas, vous effacez ce qui peut l'être (par exemple les données marketing) et conservez ce qui est légalement requis (par exemple les factures), en expliquant clairement à la personne ce qui est conservé, pourquoi et pour combien de temps. La règle générale des durées est détaillée dans notre article sur la durée de conservation des données.

Modèles de réponse

Accusé de réception (à envoyer immédiatement) :

Bonjour, nous accusons réception de votre demande relative à vos données personnelles, reçue le [date]. Nous y répondrons dans le délai d'un mois prévu par le RGPD. Si la demande nécessite des vérifications complémentaires, nous vous en informerons.

Réponse à une demande d'effacement (cas mixte) :

Bonjour, suite à votre demande, nous avons supprimé l'ensemble de vos données de notre base de prospection et de notre outil d'emailing le [date]. Conformément à nos obligations légales, nous conservons toutefois les factures vous concernant pendant 10 ans (Code de commerce). Au-delà de ce délai, elles seront détruites. Vous disposez d'un droit de réclamation auprès de la CNIL.

Bonnes pratiques pour anticiper

• Indiquez le canal d'exercice des droits dans votre politique de confidentialité (une adresse email dédiée, par exemple).
• Tenez un registre des demandes reçues et de vos réponses : c'est une preuve de conformité en cas de contrôle.
• Gardez votre registre des traitements à jour pour retrouver les données rapidement.
• Formez-vous au délai d'un mois : un rappel automatique évite l'oubli.

Conclusion

Répondre à une demande d'exercice de droits n'a rien d'insurmontable : vérifiez l'identité de façon proportionnée, retrouvez les données grâce à votre registre, traitez la demande dans le mois, et conservez ce que la loi vous oblige à garder en l'expliquant. Une réponse rapide et honnête désamorce la quasi-totalité des plaintes.

Un site bien organisé en amont rend tout cela simple. Vérifiez l'état de votre conformité avec un scan gratuit et passez en revue notre checklist RGPD complète.