Quels droits ai-je vraiment sur mes données personnelles en 2026 ?

Réponse rapide

Dans l'UE, au Royaume-Uni et dans un nombre croissant de pays, vous avez le droit légal de voir ce qu'une entreprise détient sur vous, de le faire corriger s'il y a une erreur, de le faire supprimer dans beaucoup de cas, d'en obtenir une copie portable, et de vous opposer à certains usages — ces droits sont gratuits, l'entreprise dispose d'environ un mois pour répondre, et vous pouvez saisir un régulateur si elle vous ignore.

Ce que ce n'est PAS

Les droits sur les données personnelles ne sont PAS qu'une affaire européenne — le Royaume-Uni a gardé sa version après le Brexit, et la Californie, le Colorado, la Virginie, le Brésil, la Corée du Sud, le Japon, et bien d'autres ont désormais des lois similaires. Ils ne se résument PAS aux bandeaux cookies (c'est le 1 % le plus visible). Et ils ne sont PAS théoriques : la CNIL en France, la DPC en Irlande et les régulateurs allemands ont infligé des amendes de plusieurs centaines de millions pour les avoir ignorés.

Pour aller plus loin

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018 dans l’UE et l’EEE, avec le Royaume-Uni conservant une version quasi identique (UK GDPR) après le Brexit. Il donne à toute personne physique — pas seulement les citoyens européens, mais toute personne dont les données sont traitées par une organisation opérant dans ou ciblant l’UE — un ensemble structuré de droits opposables sur ses données personnelles. En 2026, des cadres similaires existent en Californie (CCPA/CPRA), au Brésil (LGPD), au Japon (APPI), en Corée du Sud (PIPA), et dans un nombre croissant d’États américains. Les droits ci-dessous sont propres au RGPD, mais la plupart se traduisent vers les autres cadres.

Les droits, en français clair :

  • Droit à l’information (articles 13-14). Quand une entreprise collecte vos données (ou des données sur vous depuis ailleurs), elle doit vous dire quoi elle collecte, pourquoi, pour combien de temps, avec qui elle partage, et quels sont vos droits. C’est l’origine des pages « politique de confidentialité », aussi peu lues soient-elles.
  • Droit d’accès (article 15). Vous pouvez demander à toute entreprise détenant des données sur vous une copie complète, gratuitement, dans le mois. La réponse est souvent révélatrice — chaque e-mail envoyé, chaque page consultée, chaque interaction avec leur support.
  • Droit de rectification (article 16). Si une donnée qu’elle détient est fausse (adresse, nom, date de naissance), vous pouvez exiger la correction. Fréquent en assurance et en credit-scoring.
  • Droit à l’effacement (article 17), souvent appelé « droit à l’oubli ». Vous pouvez exiger la suppression dans de nombreux cas — consentement retiré, donnée plus nécessaire, traitement illicite — sous réserve d’un équilibre avec les obligations légales, les archives d’intérêt public et la liberté d’expression.
  • Droit à la limitation du traitement (article 18). Une pause : on garde la donnée mais on cesse de la traiter pendant qu’un différend se règle.
  • Droit à la portabilité (article 20). Une copie lisible par machine des données que vous avez fournies, transmise éventuellement directement à un autre fournisseur.
  • Droit d’opposition (article 21). Surtout face au marketing direct — celui-là est absolu, ils doivent s’arrêter. Pour les autres traitements fondés sur l’intérêt légitime, ils peuvent invoquer des motifs prépondérants.
  • Droits liés à la décision automatisée (article 22). Si une décision vous affectant est prise purement par algorithme et produit des effets juridiques ou similaires (scoring de crédit, refus automatique de sinistre, filtrage de candidatures), vous pouvez exiger une révision humaine.
  • Droit d’être informé en cas de fuite (article 34). Les entreprises doivent vous informer, en termes clairs et dans des délais raisonnables, quand une fuite est susceptible de porter atteinte à vos droits. Voir fuite de données.
  • Droit de plainte (article 77). Gratuit, en ligne, en français. À la CNIL en France, à l’ICO au Royaume-Uni, à votre DPA national ailleurs dans l’UE.
  • Droit à un recours juridictionnel (articles 78-79). Vous pouvez aller au tribunal contre l’entreprise ou contre le régulateur. Préjudices matériels et moraux indemnisables.

Comment s’en servir concrètement :

  1. Trouvez le DPO ou le contact « protection des données » de l’entreprise. C’est dans la politique de confidentialité ou à dpo@entreprise.com / confidentialite@entreprise.com. Ils sont tenus de répondre.
  2. Rédigez une demande claire. Citez l’article (« J’exerce mon droit d’accès au titre de l’article 15 du RGPD » / « droit à l’effacement au titre de l’article 17 »). Identifiez-vous suffisamment. Des modèles existent sur le site de la CNIL.
  3. Patientez jusqu’à un mois. Le délai peut s’étendre de deux mois en cas de complexité, mais l’entreprise doit vous en informer dans le premier mois.
  4. En cas d’ignorance ou de refus, déposez plainte. CNIL en France, ICO au Royaume-Uni, DPA national ailleurs. La plainte est gratuite et en ligne.
  5. Documentez tout. Date de la demande, copie des échanges. En cas de demande d’indemnisation, c’est votre preuve.

En 2026, l’état réaliste du RGPD est le suivant : les grandes entreprises ont professionnalisé leur réponse (portail ou flux automatisé) ; les moyennes répondent correctement mais lentement ; les petites répondent parfois pas du tout ; les opérateurs hors UE sans représentant européen sont les plus durs à atteindre. L’application a été significative — amendes contre Meta, Google, Amazon, LinkedIn, TikTok, Clearview AI et beaucoup d’autres, souvent en centaines de millions d’euros. Le système n’est pas parfait, mais les droits sont réels et applicables.

On nous pose aussi

C'est quoi le « droit à l'oubli » ? +

Article 17 du RGPD. Vous pouvez demander à une entreprise de supprimer les données personnelles qu'elle détient sur vous quand (a) vous retirez votre consentement et qu'il n'y a pas d'autre base légale, (b) la donnée n'est plus nécessaire pour la finalité d'origine, (c) vous vous opposez et qu'aucun motif légitime impérieux ne prévaut, ou (d) la donnée a été traitée illicitement. L'entreprise doit s'exécuter dans le mois (prolongeable de deux mois en cas de complexité) et doit prévenir les entreprises avec qui elle a partagé. Des exceptions existent pour les obligations légales, les archives d'intérêt public, le journalisme, la liberté d'expression.

C'est quoi une demande d'accès ? +

Article 15 du RGPD. Vous pouvez demander à toute entreprise qui détient des données sur vous une copie de toutes ces données, plus les catégories de données, les finalités, les destinataires, la durée de conservation, et la source si elle ne vient pas de vous. Elle doit la fournir gratuitement dans le mois. Beaucoup de gens utilisent ce droit pour voir ce que leur banque, leur ancien employeur, une appli de rencontre ou un réseau social ont réellement en fichier — la réponse est souvent surprenante. La CNIL (et l'ICO côté britannique) propose des modèles.

Comment porter plainte au titre du RGPD ? +

Deux étapes. D'abord, écrire au DPO (Délégué à la Protection des Données) de l'entreprise — toute entreprise qui traite des volumes significatifs de données personnelles doit en avoir un, et son contact figure dans la politique de confidentialité. Indiquer le droit exercé (accès, suppression, rectification, opposition, portabilité) et ce qui est demandé. Ils ont un mois. En cas de refus, d'absence de réponse ou d'insatisfaction, on saisit le régulateur national : en France, la CNIL ([cnil.fr](https://www.cnil.fr/fr/plaintes)) ; au Royaume-Uni, l'ICO ; en Allemagne, l'autorité du Land ; le Comité européen de la protection des données les liste tous. La plainte est gratuite, en français, et peut être déposée en ligne.

Peut-on faire « porter » ses données d'un service à un autre ? +

Oui — article 20, droit à la portabilité. Vous pouvez demander à tout service une copie lisible par machine des données que vous lui avez fournies, et la faire transmettre directement à un autre service si les deux le supportent techniquement. Le cas classique est de déménager ses contacts, messages ou photos d'un fournisseur à un autre. Limites pratiques : cela ne couvre que les données *que vous avez fournies* (pas les données dérivées ni les inférences), et le service receveur doit accepter l'import. Marche bien pour certaines catégories (calendriers, contacts), plus inégalement pour d'autres (historique de réseau social).

Et si une entreprise hors UE détient mes données ? +

Le RGPD suit la donnée, pas l'entreprise. Si un service propose des produits à des résidents UE ou les surveille, il tombe sous le RGPD même si son siège est aux États-Unis, en Chine, en Inde ou ailleurs. C'est pourquoi les grands services américains ont des contrôles de confidentialité spécifiques à l'UE. Si un service non-UE refuse de répondre à une demande RGPD, vous pouvez quand même saisir la CNIL / votre régulateur national, qui peut agir via le mécanisme du guichet unique européen et infliger des amendes aux opérations ou représentants côté UE.

Aussi expliqué

C'est quoi une fuite de données, et que faire si mes informations sont dedans ?

Une fuite de données, c'est quand une organisation qui détient vos informations personnelles en perd le contrôle — votre e-mail, mot de passe, numéro de téléphone, adresse, parfois votre carte bancaire ou pièce d'identité se retrouvent dans un fichier que les attaquants téléchargent et réutilisent ; la réponse pratique est de changer le mot de passe du compte concerné, le changer partout où il était réutilisé, et activer la double authentification.

C'est quoi les cookies, et faut-il « tout accepter » ou « tout refuser » ?

Les cookies sont de petits fichiers qu'un site demande à votre navigateur de retenir, utilisés à la fois pour des choses anodines (rester connecté, garder votre panier, mémoriser la langue) et pour vous pister entre les sites à des fins publicitaires — les bandeaux « tout accepter / tout refuser » en France et dans l'UE ne concernent que les cookies de pistage, donc « tout refuser » est presque toujours le bon clic.

Que cache vraiment la navigation privée (incognito) ?

La navigation privée (appelée Incognito, InPrivate selon le navigateur) dit à votre navigateur de ne pas enregistrer historique, cookies et saisies sur cet appareil — c'est tout ; votre employeur, votre école, votre opérateur, les sites que vous visitez et n'importe quel réseau publicitaire de la page voient exactement la même chose qu'en navigation normale.
← Retour au glossaire grand public