Décryptage complet de l’article 16 du RGPD
La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.
Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
L’essentiel à connaître sur le droit de rectification
Corriger une erreur, compléter une donnée, refuser une rectification ? Le droit de rectification n’est pas une formalité anodine. Il est au cœur de la conformité RGPD. Et pourtant, il est souvent mal compris ou mal appliqué.
Pour faire simple : toute personne peut demander à corriger ou compléter ses données personnelles, si elles sont inexactes ou incomplètes.
Et vous, en tant qu’entreprise, devez agir rapidement sans frais, sans justification abusive.
Qui peut exercer ce droit et dans quels cas ?
Le droit de rectification est un droit personnel, universel et non conditionné.
Il peut être exercé par toute personne concernée par un traitement de données, dès lors qu’une information la concernant est inexacte, incomplète ou obsolète.
Cela inclut :
- Les clients (dans un CRM, une base e-commerce, une application mobile…)
- Les salariés (dans les logiciels RH, paie, badgeuse, formations…)
- Les utilisateurs d’un service en ligne (compte, profil, préférences…)
- Les patients (dans un DMP ou un logiciel médical)
- Les candidats à un recrutement, les fournisseurs, etc.
Ce que le RGPD permet concrètement :
Vous ne pouvez ni restreindre ce droit, ni exiger des justifications excessives.
Une personne peut vous demander de :
- Corriger une donnée inexacte (ex. : nom mal orthographié)
- Compléter une donnée incomplète (ex. : ajouter un deuxième prénom ou une qualification)
- Mettre à jour une information devenue obsolète (ex. : changement d’adresse, nouveau RIB)
Exemples concrets (vous en verrez tous les jours) :
- Un client remarque une erreur dans son adresse de livraison → il vous écrit pour la corriger.
- Une salariée constate une anomalie sur son ancienneté déclarée → elle demande un ajustement.
- Un utilisateur vous alerte via un formulaire RGPD sur une erreur dans son profil (date de naissance, statut…).
- Un ancien prestataire vous demande de mettre à jour ses coordonnées de contact dans votre fichier fournisseurs.
Comment gérer une demande de rectification ?
Recevoir une demande de rectification est courant dans toute organisation. Encore faut-il y répondre rapidement et correctement pour rester conforme au RGPD.
Voici les étapes essentielles à intégrer dans votre procédure interne :
Réception de la demande
Elle peut arriver via un email, un formulaire RGPD sur votre site, ou un courrier.
➕ Conseil : prévoyez un canal dédié (email DPO, portail conformité, outil ticketing) pour centraliser ces demandes.
Vérification de l’identité du demandeur
Avant toute rectification, assurez-vous que la personne est bien titulaire des données concernées.
➕ Bonne pratique : demandez une pièce d’identité si le doute est permis (et justifié).
Analyse de la demande
Est-ce que la donnée est effectivement erronée ? Faut-il la corriger, la compléter ?
➕ Conseil : si la demande est imprécise, n’hésitez pas à revenir vers la personne pour clarification.
Rectification des données
Mettez à jour les données dans tous les systèmes concernés : base CRM, paie, logiciel métier, etc.
➕ Astuce : documentez les emplacements et traitements concernés pour ne rien oublier.
Notification des tiers
Si vous avez transmis la donnée à des partenaires ou sous-traitants, vous avez l’obligation de les informer, sauf effort disproportionné.
➕ Bon réflexe : gardez une trace écrite de chaque notification envoyée.
Information de la personne concernée
Une fois la rectification effectuée (ou refusée), vous devez répondre formellement à la personne.
➕ Incluez la date de modification, les données corrigées, ou les motifs du refus.
Archivage de la demande
Pour prouver votre conformité, archivez systématiquement la demande, votre réponse, les pièces justificatives et les actions menées.
➕ Conseil : utilisez un registre RGPD dédié ou intégrez ces données dans votre registre de traitement.
🕒 Délai légal : vous disposez d’un mois pour répondre. Ce délai peut être prolongé d’un mois supplémentaire, mais vous devez le notifier avant l’échéance initiale.
Checklist RGPD complète : Traiter efficacement une demande de rectification
Voici la checklist pratique à suivre étape par étape pour répondre à une demande de rectification conformément à l’article 16 du RGPD.
✅ Checklist – Comment traiter une demande de rectification
Et si vous refusez une rectification ?
Le RGPD prévoit cette possibilité, mais attention : elle doit être rigoureusement encadrée.
Raisons valables de refus :
- La donnée est exacte et justifiée (preuve à l’appui)
- La demande est manifestement abusive (répétitive, infondée, malveillante)
- Il s’agit d’une donnée historique ou archivistique devant être conservée en l’état
Obligations en cas de refus :
- Informer la personne par écrit
- Motiver clairement le refus (avec références juridiques si possible)
- L’informer de ses voies de recours : saisir la CNIL ou engager un recours judiciaire
➕ Astuce : même en cas de refus, documentez toute la procédure pour démontrer votre bonne foi en cas de contrôle.
Conclusion : faites du droit de rectification un réflexe conformité
L’article 16 RGPD n’est pas une simple formalité : c’est un pilier de la transparence.
Et une opportunité pour montrer que votre organisation respecte les droits fondamentaux des personnes.
Que vous soyez DPO, juriste ou responsable conformité, assurez-vous que :
- Votre procédure interne est claire
- Vos outils permettent une gestion rapide
- Vos équipes sont formées et réactives
FAQ – Les questions fréquentes
Faut-il notifier les sous-traitants en cas de rectification ? Et comment ?
Oui, sauf effort disproportionné, vous devez avertir chaque sous-traitant ayant reçu la donnée erronée.
💡 Bon réflexe : intégrez une clause de notification RGPD dans vos contrats, et mettez en place des alertes automatiques via vos API ou vos SLA (Service Level Agreement).
Comment qualifier une demande de rectification abusive ?
👉 Une demande est abusive si elle est manifestement infondée, répétitive ou malveillante.
Exemples : 12 demandes identiques par mois sans nouveau justificatif, ou une volonté de modifier des données historiques à des fins frauduleuses.
Une donnée archivée peut-elle être rectifiée ?
Non, si la donnée est archivée légalement à des fins de preuve ou d’archivage statistique, elle peut être exclue du droit de rectification.
📄 Astuce : précisez-le dans votre politique de conservation, et différenciez données actives / archivées dans votre registre de traitements.
Comment intégrer le droit de rectification dans un audit RGPD ?
Vérifiez 4 points : existence d’une procédure, délai de traitement effectif, traçabilité des rectifications, et notification des tiers.
Créez une matrice de conformité spécifique à l’article 16 RGPD dans vos audits internes (checklist dédiée + scoring par service).
Existe-t-il un modèle de réponse conforme à une demande de rectification ?
Oui, une réponse complète doit inclure : identité du responsable, résumé de la demande, action menée ou refus motivé, et voies de recours.
📤 Modèle à inclure dans vos outils de ticketing ou CRM :
« Bonjour, votre demande du [date] a été reçue. Vos données [nature des données] ont été rectifiées dans nos systèmes. Pour toute autre demande, vous pouvez nous contacter ou saisir la CNIL. »
