RGPD: Droit à l’effacement

Le RGPD ou Règlement général sur la protection des données est le nouveau texte de référence qui régit le traitement et l’utilisation des données à caractère personnel. Entré en vigueur le 25 mai 2018 sous le nᵒ 2016/679 et reprenant en grande partie la Loi Informatique et Liberté du 6 janvier 1978, ce dispositif prévoit des droits bien distincts permettant à tout citoyen européen de disposer de leurs données, parmi lesquels le droit à l’effacement des données.

Le droit à l’effacement, c’est quoi exactement ?

Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concerne.

Cette notion de droit à l’oubli peut être définie par sa finalité, en écartant les éventuels risques qu’un individu soit atteint de manière durable par l’utilisation des données qui le concerne à son insu, que celles-ci soient présentes en ligne par sa propre initiative, ou par celle d’une tierce personne. En plus d’obtenir du responsable du traitement l’effacement des données ayant un caractère personnel, le droit à l’oubli numérique prévoit également d’effacer la diffusion de ces données personnelles, et en particulier quand la personne concernée n’accorde plus son consentement pour leur utilisation.

Il est aujourd’hui courant d’exercer le droit à l’effacement des données lorsque la personne concernée ne souhaite plus bénéficier des différents services proposés par un site de commerce en ligne, en demandant entre autres la fermeture de son compte ainsi que l’effacement de tout data en lien avec ce compte. Il est également possible de l’évoquer lorsqu’un contenu gênant qui concerne le propriétaire des données à effacer s’affiche sur les réseaux sociaux, ou si ce dernier ne souhaite plus référencer un lien vers un contenu gênant avec ses coordonnées. Pour ce faire, il suffit de contacter directement le moteur de recherche concerné.

Dans quel cas appliquer le droit à l’effacement ?

Il faut savoir que le droit à l’effacement n’est en aucun cas un droit absolu. D’après les dispositions de l’article 17 du RGPD, il s’applique dans un certain nombre de cas :

  • lorsque les données qui font l’objet de la demande d’effacement sont utilisées en vue d’une prospection,
  • lorsque les données personnelles à supprimer ne répondent plus aux finalités pour lesquelles elles ont été initialement collectées ou lorsque celles-ci ont été traitées autrement par le responsable du traitement. La résiliation d’un contrat illustre parfaitement ce second cas, et les données en question portent entre autres les coordonnées téléphoniques, postales ou bancaires de l’individu concerné.
  • lorsque la personne concernée, c’est-à-dire le propriétaire des données à effacer, retire son propre consentement au traitement desdites données, et surtout, à partir du moment où aucun fondement juridique ne vient justifier le traitement. Il s’agit généralement des données à caractère sensible,
  • dès que les données concernées font l’objet d’une utilisation ou d’un traitement illicite,
  • lorsque les données ont été collectées dans le cadre d’un service proposé aux mineurs, c’est-à-dire lorsque la personne concernée était encore mineure au moment de la collecte des données,
  • lorsqu’une obligation légale rend l’effacement des données incontournable,
  • lorsque la personne concernée s’est opposée au traitement de ses données et que l’organisme en charge du traitement de ces dernières ne présente pas de motif valable qui le pousse à ne pas donner suite à la demande d’effacement.

Le droit à l’effacement présente toutefois quelques limites. Il ne doit donc pas aller à l’encontre :

  • du respect d’une obligation légale, tel que le délai de conservation allant jusqu’à 10 ans pour une facture,
  • de l’application du droit à la liberté d’information et d’expression,
  • d’une utilisation à des fins publiques, de recherches scientifiques, statistiques ou historiques,
  • d’une utilisation dans le cadre d’un intérêt public, et tout particulièrement dans le secteur de la santé,
  • de l’exercice, de la constatation ainsi que de la défense d’un droit en justice.

Les obligations du responsable du traitement

Bien évidemment, le droit à l’effacement mis en place par le RGPD prévoit un certain nombre d’obligations incombant au  responsable du traitement. En effet, à partir du moment où la personne concernée sollicite ce processus d’effacement de ses datas, le responsable du traitement est automatiquement tenu d’y procéder « dans les meilleurs délais », et plus précisément dans un délai maximal d’un mois à partir de la réception de la demande. Il doit ensuite prendre toutes les mesures nécessaires et raisonnables qui permettront d’effacer tous les liens qui redirigent vers ces données ainsi que leurs copies et leurs reproductions existantes. Lorsque les données personnelles qui font l’objet d’une demande d’effacement ont été rendues publiques, le responsable du traitement est tenu d’informer les nouveaux responsables de traitement auxquels les données ont été confiées de la demande d’effacement.

Le responsable du traitement qui décide de ne pas donner suite à une demande d’exercice du droit à l’effacement se voit dans l’obligation de justifier son refus auprès du propriétaire des données. Suite à l’application des nouvelles dispositions du RGPD, les entreprises traitant les données personnelles doivent mettre en place les meilleurs mécanismes qui permettent de vérifier que les données collectées ne sont pas conservées au-delà du délai nécessaire, compte tenu des finalités annoncées au départ.

Comment procéder ?

L’exercice du droit à l’effacement est une procédure relativement simple. Dans un premier temps, la personne concernée doit identifier l’organisme à contacter, c’est-à-dire l’entreprise qui assure le traitement des données. Il faudra ensuite se rendre sur la page d’information consacrée à l’exercice des droits sur la plateforme de ladite entreprise, en cliquant entre autres sur « politique vie privée », « politique confidentialité » ou « mentions légales ».

Pour exercer le droit à l’effacement auprès de l’organisme responsable du traitement, la personne concernée aura la possibilité d’y procéder par voie électronique, en remplissant un formulaire dédié, ou tout simplement en envoyant un courrier électronique. Il faudra en revanche préciser dans la demande les données que vous souhaitez effacer. En effet, ce droit à l’oubli numérique ne suppose pas la suppression définitive de toutes les données de la personne concernée confiées à l’organisme de traitement. De plus, une demande de suppression d’un compte n’entraîne pas automatiquement la suppression définitive des factures et des différents documents comptables associés à un ou plusieurs achats. Pour ce cas précis, l’organisme est tout à fait en mesure d’évoquer l’obligation légale de conservation. En cas de besoin, et ce, pour éviter toute usurpation d’identité, le responsable de traitement peut demander un justificatif d’identité. La conservation d’une copie des différentes démarches est toujours conseillée, notamment lorsque la personne concernée souhaite saisir la CNIL en cas d’absence de réponse ou de réponse non satisfaisante du responsable de traitement.

Articles liés à ce sujet :