SHIELD

Réalité de l'exposition

Le droit à l'oubli : pourquoi il ne marche presque jamais

Anatomie honnête du droit à l'effacement RGPD — ce qu'il couvre, ce qu'il ne couvre pas, et les alternatives pragmatiques quand la suppression est impossible.

Publié le 16 min de lecture Général

Dernière revue:

Serveurs de données en rangées dans un datacenter

Un dirigeant me demande de faire disparaître un article de presse de 2017. Trois mois plus tard, l’article est déréférencé sur Google.fr. Il reste visible sur Google.com, dans quatre archives, et dans un dump de presse que n’importe quel outil OSINT recrache en trente secondes. Le client était persuadé d’avoir « gagné ». Il avait surtout payé pour déplacer le problème de quelques centimètres.

Angle de lecture

Le piège habituel

On vous a vendu le droit à l’oubliArticle 17 du RGPD : droit à l'effacement de ses données personnelles sous conditions. comme un bouton rouge. Vous appuyez, la donnée disparaît, votre passé s’efface. C’est le récit que portent les cabinets d’e-réputation, les articles de presse grand public, et une bonne partie des conversations de comptoir sur le RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018.. « Tu as des droits, fais valoir tes droits. » La phrase est juridiquement vraie et opérationnellement creuse.

Le problème n’est pas que le droit n’existe pas. Il existe, il est codifié, la CNILAutorité française de protection des données, régulateur RGPD pour la France. le fait appliquer, et il a déjà permis des retraits réels. Le problème, c’est l’écart entre ce que les gens croient avoir acheté — une suppression définitive, universelle, propre — et ce que le droit livre vraiment : un retrait conditionnel, géographiquement borné, qui n’agit que sur les acteurs que la loi peut atteindre. Et les vraies sources de votre exposition ne sont presque jamais celles que la loi atteint.

Je vais être direct, parce que personne dans ce métier ne vous le dit clairement : dans l’immense majorité des cas que je traite, le droit à l’effacement ne supprime pas la donnée. Il déplace un résultat de recherche. C’est utile, parfois suffisant, mais ce n’est pas ce qu’on vous a promis. Et croire le contraire vous fait prendre de mauvaises décisions — dont certaines aggravent activement votre situation. Cet article décrit ce qui marche, ce qui ne marche pas, et quoi faire quand la suppression est tout simplement hors de portée.

Ce que dit vraiment l’article 17

L’article 17 du RGPD s’appelle « droit à l’effacement », et la première chose à comprendre est que ce n’est pas un droit absolu. C’est un droit conditionnel assorti d’exceptions assez larges pour, dans bien des cas, avaler la règle. Pour obtenir l’effacement, il faut se trouver dans l’une des six situations prévues : la donnée n’est plus nécessaire au regard de la finalité initiale, vous retirez votre consentement et aucun autre fondement ne tient, le traitement est illicite, une obligation légale l’impose, les données concernent un mineur, ou vous exercez votre droit d’opposition et aucun motif légitime impérieux ne prévaut.

Jusqu’ici, ça ressemble à un droit solide. Puis viennent les exceptions de l’alinéa 3, et c’est là que tout se joue. L’effacement ne s’applique pas quand le traitement est nécessaire à l’exercice de la liberté d’expression et d’information — autrement dit, dès qu’un journaliste, un média ou un éditeur invoque l’intérêt public, votre demande devient une négociation, pas un droit opposable. Il ne s’applique pas non plus pour le respect d’une obligation légale, pour des motifs d’intérêt public, à des fins d’archivage, de recherche ou de statistique, ni pour la constatation et la défense de droits en justice. Ces exceptions ne sont pas des cas marginaux : elles couvrent la presse, les registres légaux, les archives publiques, et tout contentieux en cours ou potentiel.

Deuxième limite structurelle, plus discrète mais décisive : l’article 17 ne s’adresse qu’à un responsable de traitement identifié et soumis au RGPD. Tout le mécanisme repose sur l’existence d’un interlocuteur juridiquement atteignable — quelqu’un qui décide des finalités et des moyens d’un traitement, et que la loi européenne peut contraindre. Quand cet interlocuteur n’existe pas, n’est pas identifiable, ou se trouve hors de portée du droit européen, l’article 17 n’a tout simplement aucun objet. Ce n’est pas qu’il échoue : il ne s’applique pas. Cette nuance change tout, parce qu’une part énorme de votre exposition vit précisément dans ces angles morts — chez des acteurs sans établissement européen, des plateformes anonymes, ou des copies orphelines sans propriétaire.

Troisième limite, géographique : la portée du déréférencement a été tranchée par la CJUE en 2019 dans l’affaire Google contre CNIL. Le moteur n’est pas tenu de déréférencer sur l’ensemble de ses versions mondiales — l’obligation se limite aux versions correspondant aux États membres. Concrètement, un déréférencement obtenu vaut pour Google.fr et les autres déclinaisons européennes, avec un blocage géographique partiel, mais pas pour Google.com consulté depuis ailleurs. La CNIL avait plaidé pour une portée mondiale ; elle a perdu. Retenez la conséquence opérationnelle : même un succès complet sur le plan du droit reste un succès régional sur le plan technique.

Le résultat en pratique est brutal. Sur les demandes de déréférencement reçues par Google depuis l’arrêt CJUE Google Spain de 2014, le moteur en a refusé une part substantielle — globalement autour de la moitié des URL, et bien davantage sur certaines catégories sensibles comme les contenus liés à une activité professionnelle, une condamnation pénale d’intérêt public, ou un rôle dans la vie publique. La CNIL, quand elle est saisie en second recours, confirme une bonne partie de ces refus. Comprenez bien ce que cela signifie : le droit à l’oubli n’est pas un droit à effacer ce qui vous gêne. C’est un droit à demander, à argumenter, et à accepter qu’on vous dise non plus souvent que vous ne l’imaginez. Et même quand on vous dit oui, le « oui » est plus étroit que vous ne le pensez.

Ce qui marche vraiment

Soyons concrets sur le verre à moitié plein, parce qu’il existe et qu’il faut savoir s’en servir avant d’envisager les approches lourdes. Trois leviers fonctionnent vraiment, à des degrés divers.

Le premier, et de loin le plus rentable, est le déréférencement Google sur l’espace européen via le formulaire officiel. C’est la conséquence directe de l’arrêt Google Spain : un moteur de recherche est responsable de traitement, et il doit examiner votre demande de retrait d’un résultat associé à votre nom. Le taux de succès est raisonnable pour les contenus anciens, sans intérêt public, qui ne concernent pas votre vie professionnelle actuelle — un vieux litige privé clos, une mention dans une affaire où vous n’avez jamais été mis en cause, une donnée devenue obsolète. Le délai va de quelques semaines à trois mois. Coût : zéro. C’est gratuit, c’est officiel, et ça devrait toujours être votre premier geste. Attention au piège majeur : le déréférencement ne supprime jamais la page source. Il retire le lien des résultats de recherche sur votre nom, sur les versions européennes du moteur. La page existe toujours, accessible en direct, et reste indexée hors UE.

Le deuxième levier est la suppression directe chez un éditeur RGPD actif qui veut éviter la sanction. Un site européen, un opérateur qui détient un compte à votre nom, une plateforme qui gère un fichier client : ces acteurs ont un intérêt rationnel à traiter votre demande proprement, parce qu’un refus injustifié expose à une plainte CNIL et à une amende. Quand l’interlocuteur est identifié, soumis au RGPD, et n’a aucune raison impérieuse de conserver la donnée, l’effacement réel — pas le déréférencement, la suppression — est tout à fait atteignable. Citez l’article 17, soyez précis sur la donnée visée, gardez une trace écrite.

Le troisième levier, plus partiel, est l’opt-out chez les courtiers de données européens : Bisnode, la branche EU d’Intelius, Schober et quelques autres. C’est un travail ingrat, jamais complet et jamais définitif, parce que ces data brokersEntreprise qui collecte, agrège et revend des données personnelles à grande échelle. réinjectent en continu depuis des sources publiques. Mais sur le périmètre européen, c’est une réduction d’exposition notable. Sur les courtiers américains sans établissement EU, en revanche, vous entrez dans la zone grise — j’y reviens.

Ce qui ne marche pas

Voici la partie que les vendeurs d’effacement passent sous silence. La majorité de votre exposition réelle vit dans des zones où le droit à l’oubli n’a aucune prise.

Les courtiers américains sans établissement européen ignorent purement et simplement la plupart des demandes RGPD. Pas d’établissement dans l’UE, pas de ciblage actif du marché européen au sens de l’article 3 : pas d’obligation pratique de répondre. J’estime, sur mes propres dossiers, qu’environ quatre demandes sur cinq adressées à ce type d’acteur restent sans effet réel — réponse automatique vide, opt-out qui se vide tout seul au bout de quelques mois, ou silence total. Vous pouvez écrire, mais ne construisez pas votre stratégie dessus.

Les archives miroir sont l’autre mur. La Wayback MachineArchive web de l'Internet Archive, qui capture les pages depuis 1996. accepte au moins une procédure d’exclusion, incomplète. Mais archive.todayService d'archivage web à la demande, avec snapshot permanent. n’offre aucun mécanisme officiel d’effacement, par conception — c’est tout l’intérêt du service pour ses utilisateurs. Une page archivée là est, en pratique, hors de votre portée. Idem pour les caches divers et les copies de copies.

Le forum fermé qui a migré vers un nouveau domaine est un cas que je vois revenir. La donnée a été publiée sur une plateforme qui a changé de main, de juridiction, parfois d’existence légale. Il n’y a plus de responsable de traitement clairement identifiable à qui adresser une demande, et le contenu continue de circuler sous une nouvelle adresse. Le droit suppose un interlocuteur ; quand il n’y en a plus, le droit ne mord pas.

Les registres publics légaux forment une catégorie à part, où le refus n’est pas un dysfonctionnement mais la loi elle-même. Une mention au BODACCPublication officielle française des annonces légales (créations, jugements, procédures collectives)., une fiche Infogreffe, une publication au registre du commerce : ces données sont rendues publiques en exécution d’une obligation légale, et l’article 17 prévoit explicitement que l’effacement ne s’applique pas quand le traitement répond à une telle obligation. Vous pouvez trouver la mention humiliante ; elle est néanmoins légalement intouchable tant que sa base juridique tient. Demander leur effacement, c’est demander à l’administration de violer la loi qui l’oblige à publier.

Enfin, et c’est le point le plus structurant : les copies déjà téléchargées par des tiers. Une donnée qui a fuité dans un dump, qui a été aspirée par un agrégateur, qui dort sur le disque de quelqu’un, échappe par nature à tout effacement. Vous ne pouvez pas effacer ce que vous ne pouvez pas atteindre. Les bases de fuites — voyez l’article sur les courtiers — illustrent ce point jusqu’à l’absurde : demander l’effacement à une leak databaseService qui indexe les données issues de breaches publiques ou semi-publiques. de type HIBPService public gratuit de Troy Hunt qui indexe les emails compromis dans les breaches publiques. est aussi efficace que demander à la pluie de remonter dans le nuage. Ces services indexent des compromissions par millions d’enregistrements ; ils n’ont ni le mandat ni la capacité technique de retirer une ligne sur demande, et la plupart le refusent par principe au nom de la fonction d’alerte qu’ils remplissent. La donnée est sortie une fois ; elle est sortie pour toujours.

L’effet Streisand

Il y a une catégorie de demandes qui non seulement ne marchent pas, mais qui empirent votre situation. C’est l’effet Streisand, nommé d’après la chanteuse dont la tentative de faire retirer une photo de sa maison a transformé une image vue six fois en phénomène vu des centaines de milliers de fois. Le mécanisme est mécanique : l’acte de demander le retrait crée un événement, l’événement crée de l’attention, et l’attention reproduit ce que vous vouliez faire disparaître.

Sur le terrain, ça prend des formes précises. Une demande RGPD adressée à un journaliste réveille sa mémoire institutionnelle et, parfois, son envie d’écrire un suivi sur « les pressions à l’effacement ». Une demande de déréférencement Google déclenche fréquemment une notification à l’éditeur de la page source, qui apprend ainsi que vous tenez à la faire disparaître — information qu’il n’avait pas, et qu’il peut exploiter. Une mise en demeure publique transforme un contenu obscur en sujet de débat.

La discipline ici est contre-intuitive pour des gens habitués à « faire valoir leurs droits ». Tout droit n’est pas bon à exercer. Un déréférencement discret sur Google, qui ne notifie qu’au minimum, présente un risque d’amplification faible. Une mise en demeure tonitruante adressée à un média en présente un énorme. Pesez le contenu visé : son audience actuelle, l’intérêt qu’aurait l’autre partie à en parler, et ce que vous perdez s’il remonte. Parfois, la meilleure action est l’absence d’action.

Alternatives pragmatiques

Quand la suppression est impossible — et elle l’est, le plus souvent — il reste trois stratégies qui marchent, à condition d’abandonner l’idée d’effacer.

La première est la dilution. Vous ne pouvez pas retirer le contenu négatif, mais vous pouvez produire suffisamment de contenu neutre et contrôlé pour le repousser en page deux, trois ou au-delà des résultats sur votre nom. Profils professionnels propres et actifs, présence dans des annuaires sérieux, publications signées sur des plateformes de qualité, fiche cohérente sur les espaces que vous maîtrisez. L’objectif n’est pas de mentir, c’est de saturer l’espace visible avec du vrai que vous contrôlez. La quasi-totalité des gens ne dépasse jamais la première page de résultats. Faire descendre le contenu gênant en page trois, c’est, en termes d’exposition réelle, presque aussi efficace que de le supprimer — et c’est durable, là où une suppression peut être contournée.

La deuxième est la compartmentation proactive, traitée en détail dans l’article dédié. La donnée passée est sortie ; vous ne la rentrerez pas. Mais vous pouvez décider que vos identités et activités futures ne seront pas reliées à cette exposition. Adresses e-mail distinctes, numéros dédiés, séparation nette entre les contextes : c’est une discipline d’hygiène qui empêche le passé de contaminer le présent. La compartmentationSéparer ses identités par usage (civil, pro public, pro sensible, opérationnel) pour limiter la propagation des fuites. ne répare pas, elle isole.

La troisième, la moins glamour et la plus mature, est d’accepter et de préparer la réponse. Si un contenu défavorable est non supprimable, partez du principe que quelqu’un finira par tomber dessus, et préparez un brief narratif factuel : contexte, ce qui s’est réellement passé, ce qui a changé depuis. Une donnée gênante à laquelle vous avez une réponse calme et préparée a beaucoup moins de pouvoir qu’une donnée que vous tentez désespérément de cacher. La dissimulation crée l’impression de la faute ; la transparence maîtrisée la désamorce.

Un mot sur les outils, parce qu’on me pose toujours la question. Il existe des services d’opt-out automatisé chez les courtiers — Incogni, DeleteMe, Optery et quelques autres. Soyez lucide sur ce qu’ils font : ils balaient régulièrement quelques dizaines à quelques centaines de courtiers et y déposent des demandes de retrait en votre nom. Sur le périmètre des brokers coopératifs, ils réduisent réellement l’exposition incrémentale, et ils vous épargnent un travail manuel pénible. Mais ils ne touchent ni aux bases de fuites, ni aux archives, ni aux registres légaux, ni aux copies tierces — c’est-à-dire le gros du problème. Ce sont des outils d’entretien, pas de guérison. Les payer en croyant régler la question, c’est répéter à l’échelle d’un abonnement l’illusion de départ : confondre « moins visible chez quelques acteurs » et « disparu ». Utilisez-les pour ce qu’ils sont, et gardez la dilution comme votre vraie ligne de défense durable.

Ce que ça implique concrètement

Pour vous, en tant que personne

Le formulaire Google est votre premier outil, gratuit et efficace sur les résultats .fr. Pour le reste, le réalisme paie : la majorité de vos données passées ne disparaîtra pas, et la bonne stratégie n’est ni l’effacement à tout prix ni le déni, mais la dilution et la compartmentation future.

  1. Faites l’inventaire avant d’agir — tapez votre nom dans Google, sur Google.fr et Google.com, et listez les trois résultats les plus problématiques. Vous ne pouvez pas traiter ce que vous n’avez pas cartographié. Coût : zéro, une heure de votre temps.
  2. Déposez les demandes de déréférencement éligibles — pour les contenus anciens, sans intérêt public, utilisez le formulaire officiel de déréférencement Google. Discrètement, sans bruit, sans menace. C’est gratuit et c’est votre meilleur ratio effort/résultat.
  3. Lancez la dilution si le négatif est non supprimable — créez ou nettoyez deux ou trois profils professionnels que vous contrôlez, alimentez-les régulièrement. Repousser un contenu en page trois coûte moins de 200 € et protège mieux qu’un courrier RGPD ignoré.

Pour vous, RSSI / DSI / dirigeant

Le droit à l’effacement RGPD est une obligation de moyens, pas de résultat. Votre responsabilité porte sur le traitement que VOUS effectuez, pas sur ce qui a fuité chez vos prestataires ou circule hors de votre périmètre. Confondre les deux dans vos processus DPO produit soit de la paralysie, soit de fausses promesses aux personnes concernées.

1. Distinguez effacement réel et déréférencement dans vos procédures. Beaucoup d’équipes répondent « c’est supprimé » quand elles ont seulement masqué un affichage ou demandé un déréférencement à un tiers. Conséquence directe : une réponse imprécise à une demande d’exercice de droits est une non-conformité en soi, sanctionnable indépendamment de la donnée elle-même.

2. Cartographiez vos sous-traitants et leur capacité réelle d’effacement. Un effacement chez vous qui laisse des copies vivantes chez un sous-traitant n’est pas un effacement. Conséquence directe : vos contrats de sous-traitance doivent prévoir une obligation d’effacement en cascade vérifiable, sinon vous portez un risque que vous ne maîtrisez pas.

3. Tenez un registre des demandes et de leurs suites, refus inclus. Un refus motivé au titre des exceptions de l’article 17 est légitime, mais doit être documenté. Conséquence directe : face à un contrôle CNIL, c’est la traçabilité de votre raisonnement — pas le résultat — qui démontre votre conformité.

Erreurs qu’on voit tout le temps

  • Demander l’effacement à une base de fuites comme HIBPService public gratuit de Troy Hunt qui indexe les emails compromis dans les breaches publiques. ou un dump : refus systématique, c’est une archive de compromission, pas un responsable de traitement coopératif.
  • Envoyer un courrier RGPD non motivé, sans citer la condition de l’article 17 invoquée : refus pour non-respect des conditions, et temps perdu.
  • Confondre déréférencement européen et suppression mondiale : la page source reste en ligne et indexée hors UE.
  • Lancer une mise en demeure publique sans évaluer l’effet Streisand : risque réel d’amplifier exactement ce qu’on voulait enterrer.
  • Tenter de purger archive.todayService d'archivage web à la demande, avec snapshot permanent. : pas de mécanisme officiel, effort à fonds perdu.
  • Croire qu’un registre légal — type BODACCPublication officielle française des annonces légales (créations, jugements, procédures collectives)., Infogreffe — est effaçable : ces données sont d’obligation légale, hors champ de l’effacement.
  • Mesurer le succès à « plus rien sur Google » alors que la donnée circule toujours en accès direct et chez les courtiers.

Checklist actionnable

  • N1 Identifier les 3 résultats les plus problématiques sur son nom en recherche Google (.fr et .com)
  • N1 Soumettre une demande de déréférencement Google pour les cas éligibles, sans bruit
  • N2 Pour les contenus sur des sites RGPD actifs : envoyer une demande d'effacement formelle citant l'article 17
  • N2 Évaluer le rapport risque/amplification (effet Streisand) avant toute démarche juridique publique
  • N3 Lancer une stratégie de dilution (contenu positif contrôlé) si le négatif est non supprimable

Pour aller plus loin

Le texte de référence est l’article 17 du RGPD(opens in a new tab) lui-même, dont l’alinéa 3 sur les exceptions mérite une lecture attentive — c’est là que se joue l’essentiel. L’arrêt CJUE Google Spain(opens in a new tab) pose le cadre du déréférencement et explique pourquoi le retrait d’un résultat n’est pas la suppression d’une page. Pour la procédure pratique côté français, la fiche CNIL sur le déréférencement(opens in a new tab) décrit la marche à suivre et les recours. Et pour comprendre pourquoi l’effacement échoue structurellement sur la donnée déjà diffusée, lisez les articles voisins sur les données déjà publiques et sur les courtiers de données.

Sources et lectures complémentaires

Articles liés