Droit à l’effacement (“droit à l’oubli”)
Home » RGPD » Droits des personnes concernées » Droit à l’effacement (“droit à l’oubli”)

L’article 17 du RGPD accorde à la personne concernée le droit de faire effacer ses données personnelles sans retard excessif. Ce droit reflète le principe de minimisation des données (voir “Principe de minimisation des données” dans la section “Principes” de la partie II des présentes lignes directrices) et le principe de précision(voir “Principe de précision” dans la section “Principes” de la partie II des présentes lignes directrices), selon lesquels les données à caractère personnel doivent être limitées à ce qui est nécessaire pour les finalités pour lesquelles ces données sont traitées, et doivent être exactes et mises à jour (article 5.1, points c) et d)).

Conformément à l’article 17.1 du RGPD, le droit à l’effacement s’applique dans les cas suivants :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées ;
  • La personne concernée retire le consentement sur lequel le traitement est fondé et il n’existe pas d’autre motif juridique applicable ;
  • La personne concernée s’oppose au traitement et il n’existe pas de motifs légitimes prépondérants pour le traitement ;
  • Les données à caractère personnel ont été traitées illégalement ;
  • Les données à caractère personnel doivent être effacées afin de se conformer à une obligation légale prévue par la législation de l’UE ou d’un État membre à laquelle le responsable du traitement est lié ;
  • Les données à caractère personnel ont été collectées concernant l’offre de services de la société de l’information aux enfants conformément à l’article 8.1 du RGPD.

D’un point de vue pratique, le droit à l’effacement consiste à rendre les données inutilisables de quelque manière que ce soit, afin d’empêcher le responsable du traitement et toute autre partie de (ré)accéder aux données et de les (re)traiter[1] . Que ce soit en détruisant le support physique (par exemple, des documents papier) ou en supprimant les données des systèmes informatiques. Le processus d’effacement est réussi dans la mesure où il n’est plus possible de restaurer les données sans effort excessif. Voigt et von dem Bussche, par exemple, considèrent comme raisonnable la possibilité théorique de restaurer les données au moyen d’un logiciel spécialisé[2] .

D’une part, il existe des normes internationales spécifiquement créées pour indiquer comment les informations sur papier doivent être détruites. En particulier, le papier doit être détruit par une déchiqueteuse appropriée. Un exemple de norme en la matière est la norme DIN 66399[3] , qui donne des conseils sur l’adéquation des déchiqueteuses et leur configuration. La destruction des informations peut être effectuée soit en interne par le responsable du traitement, soit par une société externe. En cas d’externalisation, l’entreprise externe doit être considérée comme un sous-traitant de données puisque l’article 4.2 du RGPD considère également “l’effacement ou la destruction” comme une opération de traitement. Conformément à l’article 28.3 du RGPD, le responsable du traitement doit rédiger un contrat qui impose au sous-traitant toutes les obligations nécessaires pour mettre en œuvre les garanties appropriées (voir article 28 du RGPD pour plus de détails).

D’autre part, il arrive que l’effacement des systèmes actifs ne se fasse pas immédiatement. Déplacer les données vers la poubelle de l’ordinateur n’est pas suffisant. Par exemple, les données pourraient être stockées à un autre endroit, ainsi que dans des référentiels de sauvegarde. Dans ce cas, agir à la demande de la personne concernée pourrait être plus compliqué et plus long en raison des mécanismes techniques en vigueur. En conséquence, le responsable du traitement doit mettre les données de sauvegarde hors d’usage (c’est-à-dire de telle sorte que personne ne puisse traiter les données dans le répertoire de sauvegarde à quelque fin que ce soit), jusqu’à ce que le répertoire soit mis à jour selon le calendrier prévu et que les données puissent enfin être effacées définitivement. Un exemple récent de normes applicables à ce processus se trouve dans la norme ISO 27701.

En outre, lorsque les données à caractère personnel sont publiques et doivent être effacées, le responsable du traitement doit prendre des mesures raisonnables pour informer les autres responsables du traitement qui traitent les mêmes données de la demande d’effacement du sujet. Ce caractère raisonnable découle des technologies disponibles et du coût de mise en œuvre, comme expliqué au considérant 66 du RGPD. De même, l’article 19 du RGPD exige du responsable du traitement qu’il communique l’effacement à chaque destinataire auquel les données ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés (voir “Principe de précision” dans la section “Principes” de la partie II des présentes lignes directrices).

Une question très débattue concerne la charge de la preuve. D’une part, selon Voigt et von dem Bussche (2017), les personnes concernées doivent démontrer l’existence de leur droit à l’effacement ; le responsable du traitement sera néanmoins tenu de prouver les circonstances favorables à celui-ci, comme la production d’une contre-preuve pour nier le traitement illicite au titre de l’article 17.1 (d) du RGPD. Il en va de même pour prouver les exceptions au droit à l’effacement prévu à l’article 17. 3 du RGPD (voir ci-dessous)[4] . D’autre part, l’Agence des droits fondamentaux indique que, sur demande d’effacement de la personne concernée, il incombe simplement au responsable du traitement d’indiquer la licéité du traitement.[5]

Dans ce contexte, en effet, l’article 17.3 du RGPD prévoit plusieurs exemptions au droit à l’effacement, notamment lorsque le traitement des données personnelles est nécessaire pour :

  • L’exercice du droit à la liberté d’expression et d’information ;
  • Le respect d’une obligation légale qui requiert un traitement en vertu du droit de l’UE ou des États membres auquel le responsable du traitement est lié, ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • Raisons d’intérêt public dans le domaine de la santé publique ;
  • À des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • L’établissement, l’exercice ou la défense de revendications légales.

Se concentrant sur la limitation du droit à l’effacement lorsque son exercice rendrait impossible ou compromettrait la réalisation des objectifs de la recherche, Ducato souligne qu’une telle limitation […] est justifiée à la lumière des besoins spécifiques du contexte de la recherche : l’effacement de tout ou partie des données utilisées pour une étude, même lorsque cela est techniquement possible, risquerait de porter atteinte à la validité scientifique de la recherche en empêchant la vérification de ses résultats et le processus d’examen par les pairs[6] . La restriction, rapporte l’auteur, est donc apparemment limitée aux études déjà conclues, étant donné que le fait de ne pas commencer la recherche et l’exercice ultérieur du droit à l’effacement n’affecteraient pas les objectifs de la recherche[7] .

Liste de contrôle pour donner suite à une demande d’effacement :

L’exercice du droit à l’effacement est-il conforme au RGPD ?

☐ Avez-vous reçu une demande d’effacement de la part d’une personne morale ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ;

☐ Les personnes se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ;

☐ La demande relève-t-elle de l’un des scénarios prévus à l’article 17.1 du RGPD ? Si ce n’est pas le cas, veuillez informer et expliquer à la personne concernée que la demande sera refusée ;

☐ La demande satisfait-elle à l’une des exemptions prévues par l’article 17.3 du RGPD ? Si oui, veuillez informer et expliquer à la personne concernée que la demande sera refusée ;

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande.

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations découlant du RGPD :

☐ Rendre les données inutilisables d’une manière qui vous empêche, ainsi que toute autre partie, de (ré)accéder aux données et de les (re)traiter ;

☐ Communiquer l’effacement à chaque destinataire auquel les données à caractère personnel ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés.

 

  1. P. Voigt & A. von dem Bussche, op. cit. p. 161
  2. Ibid. , p. 161
  3. Cette norme a été élaborée par le DIN, qui estl’abréviation de l’Institut allemand de normalisation. Pour de plus amples informations, voir : https://din66399.de
  4. P. Voigt & A. von dem Bussche, op. cit. p. 159
  5. Agence des droits fondamentaux (ed.), op. cit. , p. 223
  6. R. Ducato, op. cit. , p. 6
  7. Ibid.

 

Aller au contenu principal