News
Retrouvez-nous au Congrès des Juristes d'entreprise le 30 et 31 mars
S’inscrire en tant qu’avocat
Se connecter
Compliance et éthique
Droit de l'énergie
Environnement & ESG
Technologie et numérique
Propriété intellectuelle
Construction
Blog
Article 21 RGPD : droit d'opposition, conditions et procédure pour les entreprises
Blog
Article 21 RGPD : droit d'opposition, conditions et procédure pour les entreprises

Article 21 RGPD : droit d'opposition, conditions et procédure pour les entreprises

Guides & Ressources pratiques
28 Jan 2026
-
9
min
Copied
Points clés de l'article
  1. L'article 21 RGPD confère à toute personne le droit de s'opposer au traitement de ses données personnelles, selon deux régimes distincts : opposition pour motifs légitimes et opposition à la prospection commerciale.
  2. Lorsque le traitement repose sur l'intérêt légitime (article 6.1.f), l'entreprise peut refuser l'opposition si elle démontre des motifs impérieux prévalant sur les droits de la personne.
  3. En matière de prospection commerciale, l'opposition est inconditionnelle : l'entreprise doit cesser le traitement sans pouvoir le justifier.
  4. Le délai de réponse est fixé à 1 mois, prolongeable de 2 mois en cas de complexité, avec obligation de motivation en cas de refus.
  5. Les sanctions CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, et les contrôles portent sur la traçabilité de la procédure interne.

Besoin d'un juriste freelance ou d'un avocat ?

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.

Trouver un avocat →En savoir plus →
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Incubateur du Barreau de Paris
Réseau Entreprendre
Prix Innovation Barreau de Paris

Sommaire

Article 21 RGPD : définition et champ d'application

Texte officiel et place dans le chapitre III du RGPD

Motifs légitimes vs prospection commerciale : deux régimes distincts

Obligations de l'entreprise face à une demande d'opposition

Délai d'un mois pour répondre et formaliser le refus motivé

Sanctions CNIL encourues en cas de manquement

Procédure interne à mettre en place pour traiter les demandes

Cas pratiques et points de vigilance pour les directions juridiques

FAQ

Pour aller plus loin

Article 21 RGPD : définition et champ d'application

L'article 21 RGPD est le fondement du droit d'opposition en droit européen de la protection des données. Il permet à toute personne physique de demander à un responsable de traitement de cesser l'utilisation de ses données personnelles, sous certaines conditions. Ce droit s'applique à l'ensemble des entreprises établies dans l'Union européenne ou traitant des données de résidents européens, quelle que soit leur taille ou leur secteur d'activité.

Le champ d'application couvre deux hypothèses distinctes. La première concerne les traitements fondés sur l'intérêt légitime du responsable de traitement (article 6.1.f) ou sur l'exécution d'une mission d'intérêt public (article 6.1.e). La seconde vise spécifiquement la prospection commerciale, y compris le profilage lié à cette prospection. Cette distinction conditionne l'ensemble de la procédure de traitement des demandes.

En pratique, pour une direction juridique, chaque demande d'opposition reçue impose une analyse préalable : identifier la base légale du traitement concerné, puis appliquer le régime juridique correspondant. Une erreur de qualification à ce stade expose l'entreprise à un risque de non-conformité.

Texte officiel et place dans le chapitre III du RGPD

L'article 21 figure dans le chapitre III du RGPD, consacré aux droits de la personne concernée. Ce chapitre regroupe les articles 12 à 23 et organise l'ensemble des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. L'article 12 fixe les modalités transversales applicables à l'exercice de ces droits : transparence, gratuité, délai de réponse.

Le texte de l'article 21 se décompose en 6 paragraphes. Les paragraphes 1 et 2 traitent de l'opposition pour motifs légitimes. Le paragraphe 3 régit l'opposition à la prospection. Les paragraphes 4 et 5 précisent l'obligation d'information et les modalités d'exercice. Le paragraphe 6 concerne le cas particulier des traitements à des fins de recherche scientifique ou statistique.

ParagrapheObjetBase légale visée
Art. 21.1Opposition pour motifs propres à la situation de la personneIntérêt légitime (6.1.f) ou mission publique (6.1.e)
Art. 21.2Opposition au profilage fondé sur ces basesIntérêt légitime (6.1.f) ou mission publique (6.1.e)
Art. 21.3Opposition à la prospection commercialeToute base légale utilisée pour la prospection
Art. 21.4Obligation d'information au plus tard lors du premier contactTransversal
Art. 21.5Exercice par voie automatiséeTransversal
Art. 21.6Exception recherche scientifique / statistiqueMission d'intérêt public

Ce cadre impose à la direction juridique de maîtriser le registre des traitements pour rattacher chaque demande au bon paragraphe.

Motifs légitimes vs prospection commerciale : deux régimes distincts

La distinction entre ces deux régimes constitue le pivot de toute procédure de traitement des demandes d'opposition. Confondre les deux expose à un refus illégal ou à une cessation de traitement injustifiée.

Opposition pour motifs légitimes (art. 21.1) : la personne doit invoquer des raisons tenant à sa situation particulière. L'entreprise peut alors refuser l'opposition si elle démontre l'existence de motifs impérieux et légitimes qui prévalent sur les intérêts, droits et libertés de la personne, ou si le traitement est nécessaire à la constatation, l'exercice ou la défense de droits en justice. La charge de la preuve repose sur le responsable de traitement.

Opposition à la prospection commerciale (art. 21.3) : aucune justification n'est requise de la part de la personne. L'opposition est inconditionnelle et absolue. Dès réception de la demande, l'entreprise doit cesser tout traitement de données à des fins de prospection, y compris le profilage associé. Aucun motif impérieux ne peut être invoqué pour s'y opposer.

CritèreOpposition art. 21.1Opposition art. 21.3 (prospection)
Justification requiseOui, motifs liés à la situation personnelleNon
Possibilité de refusOui, si motifs impérieux démontrésNon
Charge de la preuveResponsable de traitementSans objet
Délai de cessationDès que le refus n'est pas justifiéImmédiat
Profilage inclusOui, si lié à la base légaleOui, systématiquement
Qualifier la base légale du traitement avant de répondre à une demande d'opposition est un prérequis de conformité. Un accompagnement juridique spécialisé permet de sécuriser cette analyse.
Consulter un avocat en protection des données

Obligations de l'entreprise face à une demande d'opposition

Dès réception d'une demande d'opposition, l'entreprise doit engager un processus structuré en plusieurs étapes.

  1. Vérifier l'identité du demandeur : l'article 12.6 autorise le responsable de traitement à demander des informations supplémentaires pour confirmer l'identité de la personne, sans imposer de formalisme excessif.
  2. Identifier le traitement concerné : croiser la demande avec le registre des traitements (article 30) pour déterminer la base légale applicable.
  3. Qualifier le régime d'opposition : appliquer l'article 21.1 ou l'article 21.3 selon la base légale identifiée.
  4. Analyser la recevabilité : pour l'article 21.1, évaluer si des motifs impérieux justifient la poursuite du traitement. Pour l'article 21.3, aucune analyse de recevabilité n'est nécessaire.
  5. Formaliser la réponse : notifier la décision par écrit, en motivant tout refus éventuel.
  6. Tracer la procédure : documenter chaque étape pour démontrer la conformité en cas de contrôle CNIL.

L'absence de registre des traitements à jour rend cette procédure impossible à exécuter correctement. La CNIL a rappelé dans ses lignes directrices de 2022 que la tenue du registre conditionne la capacité de l'entreprise à répondre aux demandes d'exercice des droits.

Délai d'un mois pour répondre et formaliser le refus motivé

L'article 12.3 du RGPD fixe le délai de réponse à 1 mois à compter de la réception de la demande. Ce délai peut être prolongé de 2 mois supplémentaires lorsque la demande est complexe ou lorsque le responsable de traitement a reçu un nombre élevé de demandes. Dans ce cas, l'entreprise doit informer la personne de la prolongation et de ses motifs dans le délai initial d'un mois.

En cas de refus, l'entreprise doit motiver sa décision et informer la personne de son droit d'introduire une réclamation auprès de la CNIL ainsi que de former un recours juridictionnel. Un refus non motivé constitue un manquement autonome, indépendamment du bien-fondé de la décision.

  • Jour 0 : réception de la demande → accusé de réception recommandé
  • Jour 1 à 15 : qualification de la base légale, analyse de recevabilité
  • Jour 15 à 25 : rédaction de la réponse motivée, validation juridique
  • Jour 30 maximum : envoi de la réponse ou notification de prolongation

Le non-respect du délai d'un mois, même en l'absence de préjudice pour la personne, constitue un manquement constaté par la CNIL lors de ses contrôles.

Formaliser un processus de réponse conforme aux délais du RGPD nécessite une expertise en protection des données adaptée à la structure de l'entreprise.
Trouver un avocat spécialisé en protection des données

Sanctions CNIL encourues en cas de manquement

Le non-respect du droit d'opposition relève des violations les plus sévèrement sanctionnées par le RGPD. L'article 83.5.b prévoit des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu.

La CNIL a prononcé plusieurs sanctions significatives liées au droit d'opposition ces dernières années. En décembre 2022, elle a infligé une amende de 60 millions d'euros à Microsoft Ireland pour des manquements liés aux cookies, incluant l'absence de mécanisme d'opposition conforme. En juin 2023, Criteo a été sanctionné à hauteur de 40 millions d'euros, notamment pour défaut de prise en compte effective des demandes d'opposition.

Les contrôles CNIL portent sur 3 points :

  • L'existence d'une procédure documentée de traitement des demandes d'opposition
  • La traçabilité des réponses : horodatage, contenu de la réponse, motivation du refus le cas échéant
  • L'effectivité de la cessation du traitement après acceptation de l'opposition

Au-delà de l'amende administrative, la personne concernée peut engager une action en réparation du préjudice subi (article 82 RGPD), devant les juridictions civiles françaises.

Procédure interne à mettre en place pour traiter les demandes

Une direction juridique doit structurer un processus reproductible et auditable. La CNIL recommande de formaliser cette procédure dans une politique interne accessible aux équipes concernées.

Étape 1 – Point d'entrée unique : désigner une adresse email ou un formulaire dédié à la réception des demandes d'exercice des droits. Le DPO (Data Protection Officer), lorsqu'il est désigné, doit être systématiquement informé.

Étape 2 – Grille de qualification : établir une matrice croisant le type de demande (opposition art. 21.1 ou 21.3), la base légale du traitement et les critères de recevabilité. Cette grille permet de standardiser l'analyse et de réduire le délai de traitement.

Étape 3 – Modèles de réponse : préparer des courriers types pour chaque scénario (acceptation, refus motivé, demande de complément d'identité, notification de prolongation). Chaque modèle doit inclure les mentions obligatoires : voies de recours, coordonnées du DPO, droit de réclamation auprès de la CNIL.

Étape 4 – Registre des demandes : tenir un registre dédié consignant la date de réception, la nature de la demande, la décision prise, la date de réponse et les pièces justificatives. Ce registre constitue la pièce centrale en cas de contrôle.

Étape 5 – Sensibilisation des équipes : former les services susceptibles de recevoir des demandes (marketing, relation client, RH) à identifier une demande d'opposition et à la transmettre immédiatement au point d'entrée désigné.

Structurer une procédure conforme au RGPD implique souvent un audit préalable des traitements et des flux de données. Un avocat spécialisé peut accompagner cette mise en conformité.
Accéder au réseau d'avocats en protection des données

Cas pratiques et points de vigilance pour les directions juridiques

Cas 1 – Opposition d'un client à la prospection par email. Un client demande à ne plus recevoir de communications commerciales. Le traitement repose sur l'intérêt légitime. L'article 21.3 s'applique : l'opposition est inconditionnelle. L'entreprise doit supprimer l'adresse email des listes de prospection dans un délai raisonnable, idéalement sous 48 heures, et confirmer la cessation par écrit.

Cas 2 – Opposition d'un salarié au traitement de ses données par un outil de monitoring. Le traitement repose sur l'intérêt légitime de l'employeur (article 6.1.f). Le salarié invoque le caractère disproportionné de la surveillance. La direction juridique doit évaluer si l'intérêt légitime de l'employeur (sécurité informatique, par exemple) constitue un motif impérieux prévalant sur les droits du salarié. L'analyse doit être documentée et la réponse motivée.

Cas 3 – Demande d'opposition portant sur un traitement fondé sur le contrat. L'article 21 ne s'applique pas aux traitements fondés sur l'exécution d'un contrat (article 6.1.b) ni sur une obligation légale (article 6.1.c). La direction juridique doit informer le demandeur que sa demande est irrecevable au titre de l'article 21, tout en l'orientant vers d'autres droits éventuellement applicables (effacement, limitation).

Points de vigilance récurrents :

  • Ne pas confondre opposition et retrait du consentement : le retrait du consentement (article 7.3) concerne les traitements fondés sur le consentement (article 6.1.a), tandis que l'opposition vise les traitements fondés sur l'intérêt légitime ou la mission publique.
  • Vérifier que la cessation du traitement est effective dans tous les systèmes d'information, y compris les sous-traitants (article 28).
  • Anticiper les demandes massives liées à des campagnes de sensibilisation ou à des fuites de données, en prévoyant des ressources dédiées.

FAQ

L'article 21 RGPD s'applique-t-il à tous les traitements de données ?

Non. L'article 21 RGPD s'applique uniquement aux traitements fondés sur l'intérêt légitime (article 6.1.f), la mission d'intérêt public (article 6.1.e) et la prospection commerciale. Les traitements fondés sur le consentement, l'exécution d'un contrat ou une obligation légale ne sont pas concernés par le droit d'opposition.

L'entreprise peut-elle refuser une demande d'opposition à la prospection commerciale ?

Non. L'opposition à la prospection commerciale est inconditionnelle en vertu de l'article 21.3. L'entreprise ne peut invoquer aucun motif pour poursuivre le traitement. Elle doit cesser toute utilisation des données à des fins de prospection dès réception de la demande.

Quel est le délai légal pour répondre à une demande d'opposition ?

Le délai est de 1 mois à compter de la réception de la demande. Il peut être prolongé de 2 mois supplémentaires si la demande est complexe, à condition d'en informer la personne dans le délai initial d'un mois.

Que risque une entreprise qui ne répond pas à une demande d'opposition ?

L'absence de réponse constitue un manquement au RGPD. La CNIL peut prononcer une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La personne concernée peut également saisir les juridictions civiles pour obtenir réparation de son préjudice.

Faut-il désigner un DPO pour traiter les demandes d'opposition ?

La désignation d'un DPO n'est obligatoire que dans les cas prévus par l'article 37 du RGPD (autorités publiques, traitements à grande échelle de données sensibles ou de suivi systématique). En revanche, toute entreprise doit disposer d'un processus interne pour traiter les demandes d'exercice des droits, qu'elle ait ou non désigné un DPO.

Pour aller plus loin

Droit d'opposition : refuser l'utilisation de vos données - CNIL

Chapitre III - Droits de la personne concernée (RGPD) - CNIL

Droit d'opposition : conditions de dérogation en vertu de l'article 23 du RGPD - CNIL

SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
Télécharger la ressource

Plateforme de mise en relation d’avocats d’affaires
Copied
Ressources

Derniers articles

Découvrir plus de contenu
Guides & Ressources pratiques
Article L1232-2 du Code du travail : convocation à l'entretien préalable, délai de 5 jours et obligations de l'employeur
04 Mar 2026
-
11
Guides & Ressources pratiques
Attestation de chiffre d'affaires : comment l'obtenir et l'utiliser
30 Jan 2026
-
9
Guides & Ressources pratiques
Comment appelle-t-on le droit qui protège une œuvre ? Définition et cadre légal du droit d'auteur
24 Feb 2026
-
9
SWIM n’est pas un cabinet d’avocats, ne fournit pas de services juridiques, ni de conseils juridiques ou de représentation légale.



Nous ne sommes pas une agence de travail temporaire ni de référencement d’avocats.
Aperçu
Vous êtes une entrepriseVous êtes un cabinetVous êtes un indépendantRessourcesNous contacterDéposer une mission
Légal
CVGUCookiesConfidentialitéDonnées personnelles
Réseaux
Linkedin
© 2025. SWIM Legal