Droit à l’oubli RGPD

droit à l'oubli rgpd

Droit à l’oubli RGPD

Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) encadre la collecte, le traitement et la suppression des données personnelles. L’article 17 du RGPD accorde le droit à l’effacement des données personnelles des utilisateurs de l’Union européenne. Connu plus communément comme le droit à l’oubli, il est accordé sous conditions et dans certains cas.

droit à l'oubli données personnelles

Qu’est-ce que le droit à l’oubli RGPD ?

Le droit à l’oubli est rattaché à la protection de la vie privée et permet à un internaute de demander la suppression de ses données chez un organisme en particulier.

Le principe du droit à l’oubli

Le droit à l’oubli s’applique aussi bien aux organisations publiques que privées pour les données de production dites « à chaud » et les données dites « à froid ».

Il permet à un utilisateur de demander la suppression de ses données personnelles auprès des organismes les ayant collectées. Après s’être assurés de son identité, les organismes doivent permettre à l’utilisateur ayant consenti au traitement de ses données de retirer son engagement et faire en sorte qu’elles ne figurent plus dans leurs bases de données.

Ce droit est encadré par la Loi Informatique et Libertés (LIL) et le Règlement Général sur la Protection des Données (RGPD).

L’article 40 de la LIL stipule que : « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient […] effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Il est maintenant renforcé par l’article 17 du RGPD selon lequel : « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».

Les conditions d’application du droit à l’oubli

Le droit à l’oubli ne s’applique qu’à certains cas :

  • si les données personnelles ont été collectées pour un traitement ou un but précis et ne sont maintenant plus nécessaires (ex jeu-concours terminé)
  • si l’utilisateur retire le consentement nécessaire au traitement de ses données personnelles « pour des raisons tenant à sa situation particulière » et que le traitement n’a pas d’autre fondement juridique
  • si l’utilisateur fait opposition au traitement et qu’il n’existe pas de motif légitime ou impérieux justifiant ce traitement
  • si les données personnelles ont été traitées de manière illicite (ex : données piratées)
  • si les données personnelles ont été collectées tant que la personne était mineure (considérant l’article 65 du RGPD)
  • si l’effacement des données personnelles répond à une obligation légale de l’UE ou de l’État membre

Si tous les utilisateurs web peuvent effectuer une demande, toutes les requêtes ne seront pas forcément consenties. En effet, le droit à l’oubli se heurte parfois à la liberté d’expression et à d’autres principes fondamentaux.

L’exercice du droit à l’oubli

La demande – précisant les données concernées – est adressée au responsable de traitement de l’organisme privé ou public ayant collecté les données. Le nom de la personne responsable du traitement est généralement retrouvé dans les mentions légales du site internet.

Ce responsable doit accuser réception de la demande en moins de 30 jours et exiger la justification d’identité du demandeur avant de pouvoir procéder. À ce niveau, seules certaines pièces justificatives pourront être demandées à l’utilisateur. Après confirmation de l’identité de la personne, le responsable de traitement dispose ensuite d’un délai d’un mois (pouvant être prolongé à trois mois pour motif de complexité) pour la traiter.

Le RGPD a digitalisé la procédure pour la fluidifier, mais si l’utilisateur le souhaite, les échanges peuvent aussi se faire par courrier AR. Si le responsable de traitement ne répond pas à la demande de l’internaute, ce dernier est en droit de se rapprocher de la CNIL.

Le droit à l’oubli est obligatoirement appliqué si le responsable du traitement ne peut justifier la nécessité de leur sauvegarde ou que les données ont été collectées dans un contexte de profilage à finalité commerciale (sauf motif impérieux).

Le profilage est défini dans l’article 4 du chapitre 1 du RGPD. Il peut être résumé comme le traitement automatisé et l’analyse des données personnelles d’un utilisateur afin de prédire son comportement, et produisant des effets juridiques à son encontre ou l’affectant de manière significative. Il implique donc le traçage, la collecte, le stockage et l’exploitation des données, le plus souvent à l’insu de la personne.

Le droit à l’oubli a été renforcé par le nouveau droit de suite (considérant l’article 66 du RGPD). Si les informations ont été diffusées ou rendues publiques et que le droit à l’oubli doit être exercé, il revient au responsable de traitement de faire suivre cette décision aux responsables de traitement ultérieurs, et également à ses sous-traitants.

Le droit à l’oubli soulève de nombreux problèmes pour les organisations n’ayant pas mis en place une politique de gestion claire des données. La plupart des entreprises fonctionnent avec des systèmes d’information en silos et dépendent de data centers externes pour l’hébergement de leurs données. Ces hébergeurs dupliquent les informations sur plusieurs serveurs en back-up. Pour ces organismes, l’application du droit à l’oubli reste compliquée tant que le problème plus large de la gouvernance des données n’est pas adressé.

Les limitations du droit à l’oubli

Le paragraphe 3 de l’article 17 précise que le droit à l’oubli n’est pas un droit inconditionnel et qu’il ne peut pas s’exercer dans certains cas.

Il doit respecter l’exercice du droit à la liberté de l’expression et de l’information, les obligations légales de collecte, les délais légaux de conservation (pour les contrats d’assurance-vie par exemple), l’intérêt public dans le domaine de la santé, l’intérêt public pour archivage à finalité de recherche scientifique, historique ou statistique et enfin la constatation, l’exercice ou la défense de droits en justice.

La preuve de l’exécution du droit à l’oubli

Si l’utilisateur en fait la demande, le responsable de traitement a l’obligation de produire les éléments prouvant que son droit à l’oubli a bien été exercé. Cette obligation est prévue par l’article 40 de la Loi Informatique et Libertés et exclut la demande de frais auprès de l’intéressé.

Si le droit à l’oubli est contesté, le responsable de traitement doit aussi produire les éléments validant la contestation, sauf si les données ont été communiquées par l’intéressé ou qu’il a expressément donné son accord pour leur collecte. En cas de litige et dans le cas d’un dossier particulièrement complexe, la réalisation d’une expertise judiciaire pourra être ordonnée par la justice ou demandée par une des parties en cause.

Les autres droits RGPD des personnes physiques

Quand les données à caractère personnel d’un individu sont collectées, certains droits lui sont garantis.

Le droit à l’information permet à la personne concernée de savoir comment ses informations sont collectées et traitées. Le droit d’accès à ses données lui assure un droit de regard sur les informations la concernant. Dans certains cas, elle peut s’opposer au traitement de ses données (droit d’opposition). Le droit de rectification assure à la personne de pouvoir modifier des données inexactes ou de les mettre à jour.

La personne a également le droit à la mort numérique. Elle peut laisser des directives à la CNIL ou aux responsables de traitement pour que ses données personnelles soient supprimées après son décès. Dans certaines conditions, la personne peut exercer son droit à la limitation de traitement. Elle prévoit que vos données ne pourront plus être exploitées, mais uniquement conservées.

La personne a le droit de s’opposer au profilage pour protéger sa vie privée. En l’exerçant, elle interdit que ses données à caractère personnel soient traitées de manière automatique par des algorithmes ou des logiciels.

Enfin, le droit à la portabilité des données permet à la personne de récupérer ses données personnelles auprès d’un organisme pour les faire parvenir à un tiers. Après les avoir dûment remises, l’organisme devra les supprimer de ses fichiers de manière définitive.

suppression données personnelles

La mise en conformité RGPD

La mise en place de certains dispositifs conformera votre organisme au RGPD et facilitera le traitement des demandes de droit à l’oubli.

Pourquoi vous y conformer ?

Le Règlement Général sur la Protection des Données pose le cadre dans lequel ces données doivent être traitées dans une entreprise ou un organisme et concernent leur nature, leur utilisation et leur délai de sauvegarde. Il vous oblige aussi à prendre certaines mesures dont l’application sera vérifiée en cas de contrôle de la CNIL. Un défaut peut vous exposer à des sanctions lourdes.

Si vous travaillez avec des personnes physiques, la collecte de données personnelles est inévitable. Il s’agit de celles de vos salariés, de vos clients, de vos prestataires ou de vos prospects, mais aussi de celles des visiteurs de votre site internet. Faire appel à un cabinet de conseils RGPD est la meilleure solution pour conformer votre organisme à la réglementation informatique en vigueur. Un expert pourra également vous éclairer sur les mesures nécessaires pour un traitement conforme des données à caractère personnel.

Comment se mettre en conformité avec le RGPD ?

La mise en conformité consiste à appliquer les mesures obligatoires prévues par le Règlement Général sur la Protection des Données.

La tenue de registres des activités de traitement des données (article 30 du RGPD)

Ce document identifie quelles données personnelles sont collectées, comment elles sont collectées, la finalité de leur collecte, les personnes y ayant accès en interne, les personnes physiques ou morales à qui elles ont été transmises, le délai de conservation et leur méthode de sécurisation. Si vous employez des sous-traitants, vous devrez également produire le répertoire de vos sous-traitants ayant accès à ces informations.

Toutes les entreprises traitant des données personnelles sont concernées par cette disposition. Elle est toutefois allégée pour les entreprises de moins de 250 salariés. Le registre de ces dernières ne doit comporter que les traitements réguliers (gestion des clients, des prospects, des fournisseurs ou des salariés), les traitements potentiellement à risque pour les droits et libertés des utilisateurs (localisation géographique par exemple) et les traitements de données sensibles.

Si vous êtes sous-traitant et que vous exploitez des données personnelles pour le compte d’un autre organisme, vous devez tenir un registre de votre activité de sous-traitant concernant le traitement de données.

Le principe de minimisation des données (article 25)

Ce principe vise à protéger les droits des utilisateurs en assurant que seules les données personnelles nécessaires à la réalisation d’une finalité donnée sont traitées par l’organisme.

Selon l’article 25, « […] Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. […] ». Ce principe garantit que les données ne seront pas accessibles par d’autres personnes physiques à l’insu de la personne concernée. Il permet également au dirigeant d’éliminer les informations qui ne sont pas nécessaires et de redéfinir la politique d’accès au sein de son organisme. Ici, la mise en place de procédures automatiques d’archivage ou de suppression de données est pertinente.

L’obligation de transparence à l’égard des personnes concernées

Elle est mentionnée dans les articles 5, 12, 13, 14 et dans les sections 1 et 2 du chapitre III du RGPD.

Le principe de cette obligation est précisé par l’article 5 stipulant que les données personnelles doivent faire l’objet d’un traitement transparent, licite et loyal à l’égard de l’utilisateur. Chaque collecte doit s’accompagner d’informations claires, précises et compréhensibles concernant : sa finalité, son fondement juridique (consentement, obligation légale, etc.), les personnes physiques ou morales y accédant, le délai de conservation, leur migration hors UE (si applicable à votre cas) et les modalités d’exercice des droits de la personne pour l’accès, l’effacement et la rectification de ses données.

Ces informations peuvent être accessibles sur un support électronique, comme sur la page de politique de confidentialité de votre site web.

La sécurisation des données (article 32)

Selon l’article 32 du Règlement Général sur la Protection des Données, l’organisme doit prévoir les mesures nécessaires pour assurer la sécurité des données personnelles. Elle doit également réaliser une analyse d’impact et d’évaluation des risques si des données sensibles sont collectées. Il s’agit par exemple de données concernant la santé, la religion ou l’orientation sexuelle de l’utilisateur.