Que deviennent mes données quand je supprime un compte ?

Image générée par IA¹

Vous avez décidé de quitter ce réseau social que vous n’utilisez plus depuis trois ans. Vous trouvez le bouton “Supprimer mon compte”, vous confirmez, et voilà. Vos données ont disparu. Enfin… c’est ce que vous croyez.

En réalité, la suppression d’un compte en ligne ressemble rarement à un coup d’éponge sur un tableau blanc. C’est plutôt comme déménager d’un appartement : même après avoir vidé les lieux, il reste des traces de votre passage un peu partout.

Désactiver ou supprimer : ce n’est pas la même chose

Première subtilité que beaucoup de services en ligne entretiennent volontairement : la différence entre désactiver et supprimer un compte.

Désactiver un compte, c’est comme fermer les volets de votre maison et mettre un panneau “Absent” sur la porte. La maison est toujours là, avec tous vos meubles à l’intérieur. Votre profil disparaît pour les autres utilisateurs, mais le service conserve absolument toutes vos données. Et si un jour vous changez d’avis, il suffit de vous reconnecter pour tout retrouver comme avant.

Supprimer un compte est censé être définitif. Vos données doivent être effacées et votre profil détruit. Mais entre la théorie et la pratique, il y a souvent un fossé.

Que se passe-t-il vraiment après la suppression ?

Quand vous cliquez sur “Supprimer mon compte”, voici ce qui se passe en coulisses :

La période de grâce

La plupart des services imposent un délai avant la suppression effective. Facebook (Meta) vous donne 30 jours pour changer d’avis. Google, 60 jours pour certaines données. Instagram, 30 jours également. Pendant cette période, vos données sont toujours là, intactes, et il suffit de vous reconnecter pour annuler la suppression.

C’est un peu comme un délai de rétractation : pratique si vous avez agi sur un coup de tête, mais ça veut aussi dire que rien n’est réellement effacé immédiatement.

Les données conservées pour obligations légales

Même après le délai de grâce, certaines données peuvent être conservées. Les entreprises ont des obligations légales qui les contraignent à garder certaines informations pendant des durées définies. Par exemple, les données de facturation doivent être conservées pendant 10 ans en France (obligation comptable). Les données liées à des transactions peuvent être gardées pour répondre à d’éventuels litiges.

L’entreprise ne vous le dit pas toujours clairement, mais c’est prévu dans ces fameuses conditions d’utilisation que personne ne lit.

Les sauvegardes

Les grandes plateformes font des sauvegardes régulières de leurs bases de données. Même si vos données sont supprimées de la base principale, elles peuvent subsister dans des sauvegardes pendant des semaines, voire des mois. Les entreprises argumentent (souvent à raison) que purger les sauvegardes de données individuelles est techniquement très complexe.

Et les données partagées ?

Il y a un cas que beaucoup de gens oublient : les données que d’autres ont partagées sur vous. Si un ami a publié une photo de vous avec votre nom en légende, la suppression de votre compte ne supprimera pas cette photo. Vos messages envoyés à d’autres personnes resteront aussi dans leur boîte de réception.

Le RGPD : votre bouclier juridique

Si vous vivez en Europe, vous avez un allié de poids : le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018.

Le droit à l’effacement (article 17)

Le RGPD vous donne un droit à l’effacement, parfois appelé “droit à l’oubli”. Concrètement, vous pouvez demander à toute entreprise de supprimer les données personnelles qu’elle détient sur vous. Et l’entreprise est obligée de le faire, sauf dans certains cas limités (obligation légale de conservation, intérêt public, exercice du droit à la liberté d’expression).

Ce droit va plus loin que la simple suppression d’un compte. Vous pouvez demander l’effacement de vos données même sans supprimer votre compte, ou demander la suppression de données détenues par un service auprès duquel vous n’avez même pas de compte (un annuaire en ligne qui affiche votre numéro de téléphone, par exemple).

Comment exercer votre droit

Voici la marche à suivre, étape par étape :

• Identifiez le DPO (Délégué à la Protection des Données) de l’entreprise. Chaque entreprise qui traite des données personnelles doit en avoir un. Ses coordonnées se trouvent généralement dans la politique de confidentialité ou les mentions légales du site.
• Envoyez une demande écrite. Un e-mail suffit, mais un courrier recommandé avec accusé de réception laisse une trace plus solide. Précisez clairement quelles données vous souhaitez voir supprimées et joignez une copie de votre pièce d’identité.
• Respectez le formalisme minimal. Votre demande doit indiquer votre identité, les données concernées et le fondement juridique (article 17 du RGPD). Pas besoin d’un avocat, une demande claire et polie suffit.
• Attendez la réponse. L’entreprise dispose d’un délai de 30 jours pour vous répondre. Ce délai peut être prolongé de deux mois pour les demandes complexes, mais l’entreprise doit vous en informer dans le premier mois.

Voici un modèle simple de demande que vous pouvez adapter :

La CNIL, votre recours

Si l’entreprise ne répond pas dans les 30 jours, ou si elle refuse sans justification valable, vous pouvez déposer une plainte auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés). La plainte se fait directement sur le site de la CNIL, et c’est gratuit.

La CNIL a le pouvoir d’enquêter et de sanctionner les entreprises qui ne respectent pas le RGPD. Les amendes peuvent aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise, ce qui pousse généralement les récalcitrants à coopérer.

Des outils pour vous faciliter la vie

JustDeleteMe

Le site JustDeleteMe (justdeleteme.xyz) est une mine d’or. Il répertorie des centaines de services en ligne et vous indique, pour chacun, comment supprimer votre compte. Chaque service est classé par difficulté de suppression (facile, moyen, difficile, impossible), avec un lien direct vers la page de suppression quand elle existe.

C’est un excellent point de départ pour faire le ménage dans vos comptes en ligne.

Retrouver vos comptes oubliés

Vous avez probablement des comptes sur des services que vous avez totalement oubliés. Pour les retrouver :

• Cherchez dans vos e-mails les messages de confirmation d’inscription. Tapez “bienvenue”, “inscription”, “votre compte” ou “welcome” dans la recherche de votre boîte mail.
• Vérifiez votre gestionnaire de mots de passe. Si vous en utilisez un, il contient la liste de tous les comptes pour lesquels vous avez enregistré des identifiants.
• Regardez les connexions tierces. Dans les paramètres de sécurité de Google, Facebook ou Apple, vous trouverez la liste des applications auxquelles vous vous êtes connecté via “Se connecter avec Google/Facebook/Apple”.

Et tant qu’on parle de cookies, n’oubliez pas que chaque site visité laisse aussi des traces dans votre navigateur. Un bon nettoyage régulier ne fait pas de mal.

Conclusion

Supprimer un compte, ce n’est pas appuyer sur un bouton magique. C’est un processus qui prend du temps et qui n’est pas toujours aussi complet qu’on le souhaiterait. Mais grâce au RGPD, vous avez des droits solides et des recours concrets.

Voici les gestes essentiels à retenir :

• Supprimez (ne désactivez pas) les comptes que vous n’utilisez plus.
• Exercez votre droit à l’effacement en écrivant au DPO de l’entreprise.
• Utilisez JustDeleteMe pour trouver comment supprimer vos comptes.
• Faites l’inventaire de vos comptes oubliés en fouillant vos e-mails.
• Saisissez la CNIL si une entreprise refuse de coopérer.

Le meilleur moment pour faire le ménage dans vos comptes en ligne, c’était il y a cinq ans. Le deuxième meilleur moment, c’est maintenant.