L’article 8 de la Chartes des droits fondamentaux de l’Union européenne consacre le droit fondamental à la protection des données à caractère personnel.
Dans la pratique, c’est le règlement général sur la protection des données personnelles (RGPD) et la loi informatiques et libertés qui mettent en œuvre ce droit fondamental aux bénéfices des personnes dont les données personnelles font l’objet de traitements.
A ce titre, les personnes concernées disposent des droits suivants :
Droit d’information ;
Droit au retrait du consentement ;
Droit d’accès ;
Droit d’opposition ;
Droit de rectification ;
Droit à l’effacement (droit à l’oubli)
Droit à la limitation du traitement ;
Droit à la portabilité.
Qu’est-ce que le droit à l’oubli ?
Le droit à l’oubli au regard du RGPD
Au titre de l’article 17 du RGPD, le droit à l’oubli permet à la personne concernée « d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais. »
Dans quels cas faire valoir son droit à l’oubli ?
Une personne peut demander à une organisation l’effacement des données personnelles la concernant notamment dans les situations suivantes :
Les données personnelles de la personne ne sont plus ou pas nécessaires au pour atteindre la finalité pour laquelle elles étaient collectées (par exemple, à la suite d’une phase de recrutement par un employeur, un candidat qui s’est vu refuser un poste demande la suppression de son CV auprès du responsable de traitement recruteur) ;
La personne concernée a retiré son consentement à l’utilisation de ses données personnelles (par exemple, une personne avait consenti à l’utilisation de son adresse-mail pour la réception de newsletters, elle retire son consentement, son adresse e-mail en tant que donnée personnelle doit être supprimée en conséquence) ;
Les données personnelles font l’objet d’un traitement illicite (par exemple, le traitement de données piratées) ;
Les données personnelles doivent faire l’objet d’un effacement en vertu d’une obligation légale prévue par le droit de l’Union européenne ou le droit national (par exemple, si le traitement de données personnelles effectué est illicite. En l’absence d’une telle base légale conformément au RGPD, le responsable traitement devra supprimer les données personnelles)
Le droit à l’oubli permet la suppression de données personnelles dans plusieurs contextes. Les personnes concernées peuvent aussi le déréférencement de leurs données à caractère personnel, qui permet de demander la suppression de certains liens vers des informations personnelles dans le cadre spécifique des moteurs de recherche. Au titre des lignes directrices 5/2019 du Comité européen sur la protection des données, plusieurs motifs peuvent être retenus pour demander le déréférencement :
Lorsque les données à caractère personnel ne sont plus nécessaires au regard du traitement par le fournisseur de moteurs de recherche ;
Lorsque la personne concernée a retiré son consentement ;
Lorsque la personne concernée exerce son droit d'opposition au traitement de ses données à caractère personnel ;
Lorsque les données à caractère personnel ont fait l'objet d'un traitement illicite ;
Lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale ;
Lorsque les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information à un enfant.
Comment exercer le droit à l’oubli ?
Identifier l’organisme qui détient vos données
Afin d’exercer le droit à l’oubli, il faut contacter directement l’organisme qui détient vos données personnelles.
méthodes pour retrouver les coordonnées de l’organisme :
Ces coordonnées sont disponibles dans les rubriques présentes en bas de page des sites internet. La rubrique la plus communément utilisé pour cela est souvent intitulée : « Politique de confidentialité », « Chartes de confidentialité », « Politique de protection des données », « Chartes de protection des données », « vie privée », « RGPD », « données personnelles » ;
Certains organismes ont communiqué à la CNIL les coordonnées de leur délégué à la protection des données (DPO), qui sont disponibles sur les listes de contacts publiées par la CNIL : https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/
Il sera possible de s’adresse directement à l’organisme via un formulaire de contact ou via l’adresse générique de contact, présente dans les « mentions légales » ;
Enfin, en l’absence de site web du responsable de traitement et de ses coordonnées, il est possible de recourir à de sites tels que Infogreffe ou societe.com qui disposent d’annuaire d’entreprises identifiables par leur nom ou n°SIREN par exemple.
Exercer effectivement son droit à l’oubli
3 éléments sont à prendre en compte pour exercer son droit à l’oubli :
Tout d’abord ce droit pourra s’exercer par différents moyens : voie électronique (formulaire, e-mail etc.) ou par courrier au responsable de traitement ;
L’exercice de ce droit implique d’identifier et d’indiquer quelles données doivent être effacées. La demande de suppression de certaines données ne sera pas possible, notamment les factures et autres documents comptables pour lesquels une obligation légale exige la conservation ;
En cas de doutes quant à l’identité du demandeur, un document d’identité peut être demandé par le responsable de traitement ;
Conserver une copie des démarches peut permettre de saisir la CNIL en cas d’absence de réponse ou réponse insatisfaisante. L’usage de la capture d’écran est recommandé par la CNIL pour les demandes électronique et l’accusé de réception pour les demandes postales.
Refus ou absence de réponse au droit d’oubli ?
Que faire en cas de refus ou absence de réponse ?
Le responsable de traitement doit supprimer les données personnelles sous 1 mois ou 3 mois si la/les demande(s) sont complexe(s).
Si le délai est porté à 3 mois, alors la personne concernée doit être informée des raisons de cette prolongation.
En l’absence de réponse ou si celle-ci est insatisfaisante, la personne concernée pourra saisir la CNIL : https://www.cnil.fr/fr/adresser-une-plainte
Limites au droit à l’oubli
Le droit à l’oubli n’est pas absolu et comporte des limites. Ainsi, le responsable de traitement ou DPO peut être amené à refuser et limiter une demande de droit à l’oubli au regard des situations listées ci-dessous :
Une obligation légale prévue par le droit de l’Union européenne ou le droit de l’Etat membre (par exemple, une facture devra être conservée pendant 10 ans.) ;
L’exercice du droit à la liberté d’expression et d’information (par exemple, selon le Comité européen sur la protection des données , dans le cadre des déréférencements, les fournisseurs de moteurs de recherche peuvent refuser de déréférencer un contenu lorsqu'ils sont en mesure de démontrer que son inclusion dans les résultats de recherche est strictement nécessaire pour protéger la liberté d'information des internautes) ;
L’exécution d’une mission d’intérêt public dans le domaine de la santé ;
L’utilisation des données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique, historique ou statistiques (Selon le Comité européen sur la protection des données, le fournisseur de moteur du recherche devra démontrer de façon objective que le déréférencement du contenu entrave ou empêche la réalisation d'objectifs de recherches scientifiques, historiques ou statistiques) ;
Dans le cadre de contentieux, pour l’exercice ou défense de droits en justice.
Il est important de souligner que le droit à l’oubli n’est pas automatique et nécessité une action proactive de la personne concernée afin qu’il puisse être exercé efficacement. A cet effet, le droit à l’oubli ne s’applique pas automatiquement puisque la personne concernée devra prendre l’initiative de demander la suppression de ses données personnelles au responsable de traitement.
Dans les autres situations, le responsable de traitement supprime celles-ci à l’expiration d’un délai de conservation qu’il aura fixé préalablement à la collecte et à l’utilisation desdites données personnelles.
Responsable de traitement : comment réagir à une demande de droit à l’oubli ?
Dans le cadre des traitements qu'il est amené à effectuer, le responsable du traitement doit répondre de manière appropriée aux demandes d'exercice de droit et notamment du droit à l'oubli. Voici quelques étapes clés pour répondre à une demande de droit à l’oubli.
Droit à l’oubli : identifier la personne à l'origine de la demande
Lors de la réception d'une demande de droit à l'oubli, la personne chargée des questions de protection des données personnelles auprès du responsable de traitement ou son DPO vérifient l'identité de la personne qui effectue la demande afin de s'assurer qu'elle a le droit de demander la suppression des données.
Dans ces circonstances, en cas de doutes, il peut être nécessaire de demander des informations d'identification pour confirmer l'identité de la personne concernée (par exemple, une copie d'une carte d'identité.).
Droit à l’oubli : confirmer et évaluer la validité de la demande
Le responsable de traitement ou DPO s'assure que la demande de droit à l'oubli est valide : c'est notamment le cas lorsque les données d'une personne sont inexactes, obsolète ou plus nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées initialement.
Le responsable de traitement doit déterminer si les données à supprimer satisfont les critères de suppression prévus par les législations et réglementations en vigueur. Par exemple, une demande de droit à l'oubli qui vise des factures d'achat ne sera pas valable étant donné que la loi exige la conservation de telles données pour une durée de 10 ans. En effet, dans ce cas précis, une obligation légale restreint l'exercice du droit à l'oubli.
Dans le cas où la demande de droit à l'oubli est fondée, alors il sera possible de supprimer ou anonymiser les données en question.
Droit à l’oubli : communiquer avec la personne concernée
Tout au long du processus de réponse à la demande de droit à l'oubli, le responsable de traitement communique avec la personne concernée :
D’abord, il contacte la personne qui a fait la demande et lui faire savoir qu'il a bien reçu sa demande d'exercice de droit à l'oubli ;
Il lui fait également savoir qu’il se charge de traiter sa demande ;
Il indique le délai prévu pour répondre à la demande conformément aux normes en vigueur.
Droit à l’oubli : supprimer ou anonymiser les données
Le processus de suppression ou d’anonymisation des données comprend plusieurs points clés :
Dès lors que la demande est valide, le responsable de traitement procède à la suppression ou anonymisation des données personnelles concernées, y compris toutes les copies et références aux données en question.
De plus, le responsable de traitement informe les tiers, notamment les sous-traitants qui détiennent ces mêmes données personnelles et leur demande de prendre des mesures similaires pour supprimer les données de leur système de traitement. Pour cela, le responsable de traitement peut rappeler au sous-traitant, les obligations qui lui incombent en matière de suppression des données au titre du contrat qui le lie au responsable de traitement.
Droit à l’oubli : répondre à la personne concernée et documenter la demande
Le responsable de traitement informe la personne qui a effectué la demande que les données ont bien été supprimées ou anonymisées conformément à sa demande.
Enfin, le responsable de traitement documente un registre dans lequel il recense la demande de la personne et la réponse qu'il a apportée pour exercer effectivement le droit à l'oubli de cette dernière. Cela permet de démontrer la conformité de l’organisation en la matière en cas de contrôle de la CNIL.