Qu est-ce que le droit a l effacement ?
Le droit a l effacement, aussi appele « droit a l oubli », est consacre par l article 17 du RGPD. Il permet a toute personne de demander la suppression de ses donnees personnelles aupres d un organisme qui les detient. Ce droit traduit le principe selon lequel une personne doit pouvoir garder la maitrise de ses informations personnelles, y compris en demandant leur disparition.
Ce droit s applique aussi bien aux entreprises privees qu aux administrations publiques. Le responsable de traitement doit etre en mesure de traiter ces demandes dans les delais prevus par le reglement.
Les cas dans lesquels l effacement est obligatoire
Le RGPD prevoit plusieurs situations dans lesquelles le responsable de traitement est tenu d effacer les donnees. La premiere est le retrait du consentement : si la personne retire son consentement et qu aucune autre base ne justifie le traitement, les donnees doivent etre supprimees.
L effacement est aussi obligatoire lorsque les donnees ne sont plus necessaires au regard des finalites pour lesquelles elles ont ete collectees. De meme, lorsque la personne exerce son droit d opposition et qu il n existe pas de motif legitime imperatif, l effacement s impose.
Les donnees collectees dans le cadre d une offre de services de la societe de l information a un mineur doivent egalement etre effacees sur demande. Enfin, si le traitement est illicite, l effacement est de droit.
Les exceptions au droit a l effacement
Le droit a l effacement n est pas absolu. Le RGPD prevoit plusieurs exceptions importantes. L effacement peut etre refuse lorsque le traitement est necessaire a l exercice du droit a la liberte d expression et d information.
Le traitement peut aussi etre maintenu lorsqu il repond a une obligation legale. Par exemple, les donnees comptables doivent etre conservees pendant 10 ans en vertu du code de commerce, meme si la personne demande leur suppression.
Les motifs d interet public dans le domaine de la sante publique, les fins archivistiques dans l interet public, les fins de recherche scientifique ou historique, et les fins statistiques constituent egalement des exceptions. Enfin, la constatation, l exercice ou la defense de droits en justice permet de refuser l effacement.
Les delais et modalites de reponse
Le responsable de traitement dispose d un mois a compter de la reception de la demande pour y repondre. Ce delai peut etre prolonge de deux mois supplementaires en cas de complexite ou de nombre eleve de demandes, a condition d informer la personne dans le premier mois.
La reponse doit etre claire et comprehensible. En cas d effacement, le responsable doit confirmer la suppression des donnees. En cas de refus, il doit motiver sa decision en indiquant l exception applicable et informer la personne de son droit de saisir la CNIL ou les tribunaux.
L obligation de notification aux tiers
Lorsque le responsable de traitement a communique les donnees a des tiers, il doit les informer de la demande d effacement. Cette obligation, prevue par l article 19 du RGPD, s applique sauf si la notification se revele impossible ou exige des efforts disproportionnes.
Le responsable doit pouvoir fournir a la personne la liste des destinataires auxquels la notification a ete adressee, si celle-ci en fait la demande. Cette traçabilite renforce la transparence et la confiance.
Les bonnes pratiques pour traiter les demandes
La premiere etape est de former vos equipes a reconnaitre une demande d effacement, meme lorsqu elle est formulee de maniere informelle. Un client qui ecrit « supprimez mes donnees » ou « je veux disparaitre de vos fichiers » exerce son droit a l effacement.
Mettez en place un registre des demandes pour assurer le suivi et le respect des delais. Documentez chaque decision, qu il s agisse d un effacement ou d un refus motive. Cette documentation constitue une preuve de conformite en cas de controle de la CNIL.
Pensez egalement a verifier que l effacement est effectif dans tous les systemes, y compris les sauvegardes et les sous-traitants. Un effacement partiel ne satisfait pas aux exigences du RGPD.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
