Mandat pour exercer tes droits RGPD : ce que dit la recommandation CEPD

27 février 2026 · Data Knight

Le RGPD te donne des droits (accès, rectification, effacement, opposition, etc.). Tu peux les exercer toi-même auprès des organismes qui détiennent tes données — ou mandater une personne ou un organisme pour agir en ton nom. Le CEPD (Comité européen de la protection des données, anciennement G29) et les autorités nationales comme la CNIL ont précisé ce cadre. Voici ce qu’il faut savoir sur l’exercice des droits RGPD par mandat.

Le RGPD permet déjà d’agir par l’intermédiaire d’un mandataire

L’article 12 du RGPD impose au responsable du traitement de faciliter l’exercice des droits des personnes concernées (articles 15 à 22). Le règlement prévoit explicitement que les demandes peuvent être présentées par un tiers agissant pour le compte de la personne concernée. Tu n’es donc pas obligé de faire toi-même chaque demande d’accès, d’effacement ou de rectification : tu peux donner un mandat à quelqu’un pour qu’il exerce tes droits à ta place.

Cela vaut pour le droit d’accès, le droit à l’effacement, le droit à la rectification, à la limitation du traitement, à la portabilité, à l’opposition, etc. Les organismes qui reçoivent ces demandes (sites, courtiers en données, annuaires) doivent les traiter comme les demandes faites directement par la personne concernée, dès lors que le mandat est valable et que l’identité peut être vérifiée.

Ce que le CEPD a clarifié en 2022

En janvier 2022, le CEPD (Comité européen de la protection des données, en anglais EDPB) a publié les Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès. Ces lignes directrices précisent comment les responsables de traitement doivent appliquer l’article 15 du RGPD (droit d’accès) et, plus largement, comment faciliter l’exercice des droits des personnes. La version finale a été adoptée en 2023.

Dans ce cadre, l’exercice des droits par un représentant ou un mandataire est reconnu : le responsable du traitement doit accepter et traiter les demandes présentées par un tiers mandaté, sous réserve de vérifier le mandat et l’identité de la personne concernée. Cela renforce la sécurité juridique pour les personnes qui choisissent de déléguer l’envoi de leurs demandes (accès, effacement, etc.) à un prestataire ou une association.

Tu peux consulter les lignes directrices sur le site du CEPD/EDPB.

La recommandation de la CNIL sur le mandat (2021)

En juin 2021, la CNIL a publié une recommandation dédiée à l’exercice des droits par un mandat. Elle détaille les bonnes pratiques pour les mandataires (organismes ou personnes qui agissent pour le compte des personnes) et pour les responsables de traitement qui reçoivent des demandes par mandataire.

Points importants :

Forme du mandat : la personne concernée mandate explicitement un tiers pour exercer tout ou partie de ses droits. La CNIL propose un mandat-type à titre de référence.
Vérification : le responsable de traitement peut demander une preuve du mandat et une preuve d’identité de la personne concernée, pour s’assurer que la demande est légitime.
Délais et refus : les mêmes délais (un mois en principe) et les mêmes règles (demande manifestement infondée ou excessive) s’appliquent que pour une demande directe.

Cette recommandation donne un cadre pratique en France pour les services qui envoient des demandes d’effacement ou d’accès en ton nom : après ton audit gratuit, tu nous autorises par mandat à envoyer les demandes d’effacement aux sites et courtiers que tu choisis, et nous agissons pour le compte de toi.

Pourquoi confier l’exercice de tes droits à un mandataire ?

Exercer ses droits soi-même demande du temps : identifier chaque responsable de traitement (sites, courtiers, annuaires), trouver le bon contact (DPO, formulaire), envoyer la demande, relancer. En donnant un mandat à un organisme spécialisé, tu centralises les démarches : tu choisis ce que tu veux faire effacer (ou accéder), et le mandataire envoie les demandes pour toi, dans le respect du RGPD et des recommandations CEPD/CNIL.

Chez Data Knight, nous nous appuyons sur ce cadre : tu fais un audit gratuit de ta présence en ligne (web public, courtiers, fuites), tu sélectionnes les données à faire effacer, tu nous donnes une autorisation (mandat), et nous envoyons les demandes d’effacement en ton nom. Nous détaillons comment ça marche (audit, autorisation, envoi, suivi).

Tu veux faire effacer tes données sans gérer chaque demande toi-même ? Lance un audit gratuit, choisis ce que tu veux supprimer et nous envoyons les demandes pour toi.

Ça pourrait vous intéresser

Le RGPD permet déjà d’agir par l’intermédiaire d’un mandataire

Ce que le CEPD a clarifié en 2022

Tu peux consulter les lignes directrices sur le site du CEPD/EDPB.

La recommandation de la CNIL sur le mandat (2021)

Points importants :

Forme du mandat : la personne concernée mandate explicitement un tiers pour exercer tout ou partie de ses droits. La CNIL propose un mandat-type à titre de référence.

Vérification : le responsable de traitement peut demander une preuve du mandat et une preuve d’identité de la personne concernée, pour s’assurer que la demande est légitime.

Délais et refus : les mêmes délais (un mois en principe) et les mêmes règles (demande manifestement infondée ou excessive) s’appliquent que pour une demande directe.

Pourquoi confier l’exercice de tes droits à un mandataire ?

Tu veux faire effacer tes données sans gérer chaque demande toi-même ? Lance un audit gratuit, choisis ce que tu veux supprimer et nous envoyons les demandes pour toi.