L’application du RGPD par le CEPD en 2025 cible l’article 17, en auditant la conformité aux demandes d’effacement, y compris pour les cookies. L’augmentation des demandes de suppression, les coûts élevés et les risques de non-conformité exigent des flux de travail automatisés, un suivi du consentement, une préparation juridique et des opérations de protection des données solides pour éviter les sanctions et instaurer la confiance.
Le Comité européen de la protection des données (CEPD) a lancé, au début de l’année 2025, son action dans le cadre du Cadre d’application coordonnée (CEF), en se concentrant sur la mise en œuvre du droit à l’effacement ou droit à l’oubli (art. 17 RGPD). Ce changement dans les priorités d’application des autorités européennes de protection des données (APD) reflète un renforcement de l’application de l’article 17 du RGPD, qui donne aux individus le droit de faire supprimer leurs données personnelles dans certaines situations.
En 2025, entre 30 et 32 autorités de protection des données (APD) de l’UE auditeront les responsables de traitement, par le biais d’enquêtes préliminaires et d’investigations formelles, afin de vérifier si les demandes d’effacement sont correctement traitées. Autrement dit, ces demandes de suppression sont-elles gérées dans le respect du cadre légal, dans des délais appropriés, et en conformité avec les exceptions prévues par le RGPD ?
Cette intensification de la surveillance découle du fait que les demandes d’effacement comptent parmi les droits les plus fréquemment invoqués au titre du RGPD, et qu’elles génèrent un grand nombre de plaintes de la part des personnes concernées. Les responsables de traitement sont tenus d’effacer les données personnelles « sans retard injustifié » (généralement dans un délai d’un mois), et doivent retrouver et informer les tiers qui détiennent ces données.
Un rapport 2025 sur les tendances en matière de protection de la vie privée a mis en évidence une augmentation de 82 % sur un an des demandes de suppression de données. Pour les entreprises ayant un trafic moyen à élevé, cela représente un coût estimé à 1,26 million USD par an pour cinq millions de visiteurs uniques. Selon les recherches de Gartner, le coût d’une seule demande relative aux données d’un individu est de 1 524 USD – un montant qui peut rapidement s’envoler.
Dans le cadre de l’initiative des consommateurs pour reprendre le contrôle de leur vie privée, le nombre de demandes « ne pas vendre » est également en forte hausse. Alors que les organismes de régulation soumettent les organisations à un examen plus poussé, on pourrait penser que les entreprises feraient preuve d’une grande rigueur dans le respect des demandes de désinscription. Pourtant, le même rapport sur les tendances en matière de confidentialité affirme que plus de 69 % des entreprises violent le consentement des consommateurs, en déployant des cookies de suivi malgré les préférences exprimées.
Ce constat est en accord avec les tendances observées ailleurs ; par exemple, selon les recherches de l’Autorité islandaise des communications électroniques, tous les fournisseurs de services en ligne examinés ont placé des cookies sur les appareils des utilisateurs malgré leur refus explicite. De plus, l’APD néerlandaise a récemment renforcé ses mécanismes d’application, en adressant des avertissements à plusieurs organisations ayant déployé des bannières de cookies trompeuses ou placé illégalement des cookies de suivi sans consentement valide.
L’effacement ne se limite pas aux données personnelles de votre CRM — il s’applique également aux cookies et aux traceurs, directement liés aux mécanismes de consentement.
En vertu du RGPD et des règles ePrivacy, le consentement pour les cookies doit être libre, spécifique et révocable. La législation européenne stipule que le consentement peut être retiré à tout moment et, le cas échéant, tous les cookies concernés doivent être supprimés.
Pourtant, les audits réalisés dans la pratique révèlent une inquiétante non-conformité : une étude de 2024 portant sur 20 000 domaines a révélé :
19,9 % rendaient la révocation plus difficile que l’octroi du consentement
57,5 % n’ont pas supprimé les cookies après le retrait du consentement
Certains ont empêché la révocation auprès de tiers, permettant ainsi la poursuite du suivi
En outre, environ 50 % des sites web placent des « cookies intractables » qui persistent même après un refus, souvent pendant plus de 10 jours.
Le non-respect des obligations en matière de gestion des cookies et du consentement peut être considéré comme un manquement au droit à l’effacement, exposant ainsi l’organisation fautive à des mesures de contrôle accrues et à des sanctions.
En plus de générer des coûts imprévisibles, les charges commerciales et techniques deviennent une préoccupation à mesure que de plus en plus de personnes exercent leurs droits en matière de protection de la vie privée. En ce qui concerne spécifiquement les cookies, chaque interaction avec une bannière déclenche des journaux, des audits de cookies et une intégration avec les systèmes de gestion du consentement, ce qui accroît la complexité et les coûts — et cela doit faire partie de la réflexion globale sur la conformité au droit à l’effacement.
Beaucoup de ces charges sont aggravées par le fait que les organisations n’ont pas toujours une vision claire de l’emplacement réel de toutes les données des consommateurs, ni de la manière dont (ou si) elles ont recueilli un consentement valide pour les cookies qu’elles ont placés et pour les données collectées par la suite.
Pour pouvoir gérer le flot à venir de demandes d’effacement, une nouvelle approche de la protection des données et de la gestion du consentement est nécessaire. Pour se préparer à cette nouvelle ère d’application plus stricte, il est temps de faire le point et d’investir dans quelques actions clés :
Cartographier les flux de données à travers les systèmes internes et tiers, en identifiant les lieux de stockage, les durées de conservation et les transferts à des tiers.
Mettre en place des workflows automatisés pour vérifier l’identité, suivre les demandes, localiser les données, déclencher la suppression et émettre des confirmations.
Maintenir des pistes d’audit avec preuves d’effacement et communications.
Savoir quand un effacement peut être légalement refusé.
Savoir comment expliquer ces exceptions.
Avec les audits CEF en cours, s’attendre à ce que les APD mènent des missions d’investigation. Préparer la piste de preuves, y compris vos politiques, journaux et communications.
Renforcer les capacités d’effacement pour éviter les sanctions administratives et les atteintes à la réputation.
S’assurer que votre CMP prend en charge la révocation en temps réel, la suppression automatique des cookies et la communication avec des tiers. Réaliser des audits pour détecter les cookies intractables.
Coordonner les processus entre les équipes juridiques, conformité et informatiques.
Inclure les cookies et le consentement dans la stratégie globale de protection des données.
L’ère de la gestion passive des données est révolue. Dans le cadre de l’initiative d’application 2025 du CEF par le CEPD, les entreprises doivent renforcer leurs opérations de protection de la vie privée, en particulier dans les domaines de l’effacement et de la gestion des cookies basée sur le consentement. Les enjeux sont importants : coûts élevés du traitement manuel (plusieurs centaines de milliers d’euros), investissements dans des infrastructures automatisées, amendes potentielles et atteintes à la réputation.
Pour rester conforme et compétitif :
Automatiser autant que possible le flux de suppression et de révocation.
Suivre et auditer en temps réel les consentements et effacements.
Documenter les justifications juridiques de tout refus ou retard.
Donner la priorité à la préparation aux contrôles des APD : les examens internes doivent reproduire la profondeur d’une enquête probable.
Adopter une plateforme complète de gestion du consentement.
En prenant ces mesures dès aujourd’hui, les organisations peuvent transformer l’effacement des données, d’un casse-tête de conformité, en une opportunité de renforcer la confiance.
©2025 CookieHub ehf.
