Droit à l’effacement : base active, archivage et sauvegardes ?
Minute RGPDVidéo
« Je l’ai supprimé, c’est réglé. » Cette phrase, nous l’entendons souvent. Et pourtant, le droit à l’effacement est l’un des droits RGPD les plus mal appliqués en pratique. Non par mauvaise volonté, mais parce que l’effacement ne fonctionne pas comme un simple bouton « supprimer ». Il se gère par couches et confondre ces couches expose votre organisation à des risques réels.
L’effacement RGPD : un droit souvent mal compris
L’article 17 du RGPD consacre le « droit à l’effacement », aussi appelé « droit à l’oubli ». Lorsqu’une personne exerce ce droit, l’organisme concerné doit, en principe, supprimer les données personnelles la concernant dans les meilleurs délais.
Mais voilà le problème : dans un système d’information, les données ne sont pas à un seul endroit. Elles existent simultanément dans plusieurs environnements, chacun avec ses propres règles de gestion. Répondre correctement à une demande d’effacement, c’est traiter chacune de ces couches de façon adaptée.
On en dénombre trois principales : la base active, l’archivage intermédiaire, et les sauvegardes.
Couche 1 : La base active
La base active, c’est l’environnement de production : votre CRM, votre ERP, votre application métier. C’est là que les données sont utilisées au quotidien par vos équipes.
C’est aussi la première couche à traiter lors d’une demande d’effacement. Deux options s’offrent à vous, selon le contexte :
La suppression définitive : les données sont effacées de la base, de façon irréversible.
L’anonymisation : les données sont conservées mais rendues impossibles à rattacher à une personne identifiée ou identifiable. Cette approche peut être pertinente lorsque vous avez besoin de conserver des statistiques ou des données agrégées.
Le choix entre suppression et anonymisation dépend de la finalité du traitement et du contexte juridique. Dans tous les cas, la décision doit être documentée.
Couche 2 : L’archivage intermédiaire
L’archivage intermédiaire correspond à la période pendant laquelle des données, qui ne sont plus nécessaires à l’activité courante, doivent malgré tout être conservées pour des raisons légales ou réglementaires.
Exemples courants : factures (obligation de conservation de 10 ans), documents contractuels (5 ans à compter de la fin du contrat), données de paie (5 ans), etc.
Dans ce cas, vous ne pouvez pas tout effacer. Mais cela ne signifie pas que vous n’avez rien à faire.
Le RGPD impose une gestion rigoureuse de cette phase d’archivage :
Limiter l’accès : seules les personnes habilitées (juriste, DPO, direction) peuvent consulter les données archivées.
Changer la finalité : les données archivées ne doivent pas être réutilisées à des fins commerciales ou opérationnelles.
Documenter : la décision de conserver malgré la demande d’effacement doit être tracée et justifiée.
Les archives existent pour répondre à une obligation légale, pas pour alimenter la production. Tout réemploi de ces données en dehors de ce cadre constituerait une violation du RGPD.
Couche 3 : Les sauvegardes
C’est souvent la couche la plus négligée dans les procédures d’effacement et pourtant l’une des plus sensibles.
Les sauvegardes ont une vocation technique : restaurer un système en cas d’incident. On ne modifie pas une sauvegarde à chaque demande d’effacement reçue, c’est techniquement risqué et souvent irréalisable.
Mais cela ne veut pas dire que les sauvegardes sont une zone de non-droit. Trois points doivent être encadrés par une politique claire :
La rotation des sauvegardes : définir une durée de rétention et s’assurer que les sauvegardes anciennes sont bien écrasées ou supprimées selon un cycle défini.
La restauration encadrée : prévoir une procédure qui, en cas de restauration, ne réinjecte pas en base active des données qui avaient été effacées.
Les contrôles : documenter les accès aux sauvegardes et les conditions dans lesquelles elles peuvent être utilisées.
Le risque majeur : restaurer une sauvegarde antérieure après un effacement et réintroduire en production des données qui auraient dû disparaître. Ce scénario peut constituer une violation de données à notifier à la CNIL.
Le piège à éviter : promettre « effacer partout » sans maîtriser les couches
Lorsqu’un organisme répond à une demande d’effacement, il est tentant de rassurer la personne avec une formule générique du type : « Nous avons bien procédé à l’effacement de toutes vos données. »
C’est précisément là que se situe le danger. Si votre réponse promet un effacement total alors que certaines données sont encore archivées ou présentes dans des sauvegardes non encore rotées, vous vous exposez à :
Une réclamation de la personne concernée auprès de la CNIL ;
Une mise en demeure ou une sanction en cas de contrôle ;
Une perte de crédibilité et de confiance de la part de vos parties prenantes.
Le bon réflexe : une réponse transparente et structurée
Adopter une communication claire et honnête avec la personne qui exerce son droit. Cela passe par expliquer concrètement :
Ce qui est effacé immédiatement (base active) ;
Ce qui reste conservé à titre d’archive, avec accès restreint et finalité limitée, et pour quelle durée légale ;
Ce qui disparaîtra au prochain cycle de rotation des sauvegardes.
Cette transparence est non seulement une bonne pratique RGPD, elle est aussi un gage de sérieux vis-à-vis des personnes concernées et des autorités de contrôle.
En résumé : les 3 couches de l’effacement
Base active : effacement ou anonymisation immédiate, selon le contexte.
Sauvegardes : politique de rotation définie, restauration encadrée, contrôle de réinjection.
Vous souhaitez structurer vos pratiques RGPD ?
Maîtriser les 3 couches de l’effacement est indispensable pour répondre correctement aux droits des personnes mais c’est aussi le signe d’une maturité RGPD que vos clients, partenaires et auditeurs sauront apprécier.
Chez Actecil, nous accompagnons les organisations dans la structuration de leurs pratiques de conformité : audits, registre des traitements, formation des équipes, et externalisation du DPO.
Contactez-nous pour en savoir plus la conformité RGPD, ça s’apprend.
Pixel de suivi : la CNIL publie sa recommandation définitive
Invisible à l’œil nu mais omniprésent dans les emails et sites web, le pixel de suivi fait aujourd’hui l’objet d’une attention toute particulière de la CNIL, qui a lancé une consultation publique pour mieux encadrer son usage. À quoi sert ce pixel ? Pourquoi suscite-t-il des inquiétudes ? Et surtout, comment se mettre en conformité avec le RGPD ? On vous explique tout.
IA Act & RGPD : 2026, l’année de vérité pour votre conformité ?
Adopté en août 2024, le Règlement européen sur l'intelligence artificielle (IA Act) marque un tournant pour toutes les organisations qui conçoivent, utilisent ou intègrent de l'intelligence artificielle.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
