Le droit a l’effacement prevu par le RGPD
Le droit a l’effacement, souvent appele « droit a l’oubli », est consacre par l’article 17 du RGPD. Il permet a toute personne d’obtenir du responsable de traitement l’effacement de ses donnees personnelles dans les meilleurs delais, sous certaines conditions. Ce droit constitue l’un des piliers de la maitrise par les individus de leurs donnees personnelles.
Le responsable de traitement doit effacer les donnees dans les meilleurs delais lorsque l’un des motifs suivants s’applique : les donnees ne sont plus necessaires au regard des finalites pour lesquelles elles ont ete collectees, la personne retire son consentement, la personne exerce son droit d’opposition, les donnees ont fait l’objet d’un traitement illicite, ou l’effacement est necessaire pour respecter une obligation legale.
Les exceptions au droit a l’effacement
Le droit a l’effacement n’est pas absolu. Le RGPD prevoit plusieurs exceptions : l’exercice de la liberte d’expression et d’information, le respect d’une obligation legale, des motifs d’interet public dans le domaine de la sante publique, des fins archivistiques dans l’interet public, ou la constatation, l’exercice ou la defense de droits en justice.
En pratique, l’obligation legale de conservation constitue l’exception la plus frequemment invoquee. Les factures doivent etre conservees 10 ans, les bulletins de paie 5 ans, les donnees de connexion 1 an : ces obligations legales priment sur la demande d’effacement. Le responsable de traitement doit cependant supprimer les donnees dont la conservation n’est plus justifiee par aucune obligation.
La procedure de traitement d’une demande d’effacement
La demande d’effacement peut etre formulee par tout moyen. Le responsable de traitement doit faciliter l’exercice de ce droit et ne peut pas imposer de formulaire specifique. L’identite du demandeur doit etre verifiee sans exiger de justificatifs excessifs.
Le responsable de traitement dispose d’un delai d’un mois pour repondre. Ce delai peut etre prolonge de deux mois en cas de complexite. En cas de refus, le responsable de traitement doit motiver sa decision et informer la personne de son droit de saisir la CNIL ou de former un recours juridictionnel.
Lorsque les donnees ont ete rendues publiques, le responsable de traitement doit prendre des mesures raisonnables pour informer les autres responsables de traitement qui traitent ces donnees de la demande d’effacement. Cette obligation s’etend aux liens vers ces donnees et aux copies ou reproductions.
L’effacement technique des donnees
L’effacement doit etre effectif et irreversible. La simple desactivation d’un compte utilisateur ne constitue pas un effacement au sens du RGPD si les donnees restent stockees dans les systemes. L’effacement doit couvrir l’ensemble des systemes : bases de donnees de production, sauvegardes, archives, systemes de test.
La question des sauvegardes est particulierement delicate. La suppression selective de donnees dans des sauvegardes n’est pas toujours techniquement realisable. Une approche pragmatique consiste a supprimer les donnees des systemes de production et a s’assurer que les donnees presentes dans les sauvegardes seront supprimees lors de la prochaine rotation des sauvegardes, dans un delai raisonnable.
