Retour aux articles

Contrôles CNIL 2025 : Pourquoi le droit à l'effacement devient une priorité pour votre PME

La CNIL intensifie ses contrôles en 2025, ciblant le droit à l'effacement. Découvrez les obligations pour les PME, les délais de réponse et comment éviter les sanctions.

Publié le 23 février 2026

Introduction

En 2025, la conformité RGPD franchit une nouvelle étape. Ce qui était autrefois une "tolérance" pour les petites structures laisse place à une surveillance accrue. La Commission Nationale de l'Informatique et des Libertés (CNIL), en coordination avec ses homologues européens, place le droit à l'effacement (droit à l'oubli) au cœur de sa stratégie de contrôle pour l'année.

Le droit à l'effacement : 37 % des plaintes citoyennes

Le choix de cette thématique n'est pas un hasard. L'exercice du droit à l'effacement représente aujourd'hui près de 37 % des plaintes reçues par la CNIL. Les citoyens sont de plus en plus conscients de leur empreinte numérique et n'hésitent plus à saisir l'autorité de contrôle si une entreprise ignore leur demande de suppression.

Les obligations clés pour les dirigeants

Pour un responsable de traitement en PME, le respect de l'article 17 du RGPD implique :

  • Un délai de réponse strict : Vous disposez d'un mois pour procéder à l'effacement après réception de la demande.
  • La gestion des exceptions : Le droit à l'oubli n'est pas absolu. Vous pouvez refuser l'effacement pour respecter une obligation légale (conservation de factures pendant 10 ans) ou pour la défense de droits en justice.
  • La notification des sous-traitants : Si vous avez partagé ces données avec des partenaires (SaaS, cloud, marketing), vous devez les informer de la demande de suppression.

Cyberattaques et sanctions : la double peine

Selon le rapport Hiscox 2025, 59 % des PME ont subi une cyberattaque au cours des 12 derniers mois. Un incident de sécurité mal géré débouche souvent sur un contrôle de la CNIL. Environ 33 % des entreprises victimes d'une attaque ont dû verser une amende réglementaire car leurs mesures de protection ou leurs procédures d'effacement ont été jugées insuffisantes.

Découvrir le Spark lié : Coaching Express RGPD pour Entrepreneurs Non Juristes