News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik
rgpd-droit-effacement

Droit à l’oubli : quelles sont vos obligations ?

Table des matières

Le droit à l’oubli est un concept qui se traduit plus spécifiquement dans le RGPD par le droit à l’effacement des données personnelles. Le droit à l’effacement fait donc partie des droits des personnes qu’on retrouve dans la définition du RGPD, avec par exemple le droit d’opposition, de portabilité ou encore le droit de rectification des données. 


Ainsi, il est possible pour un de vos utilisateurs ou client de demander à ce que vous effaciez tout ou partie des données le concernant. Nous voyons dans cet article comment fonctionne la réglementation à ce sujet : dans quelles conditions peut-on exercer son droit à l’oubli ? Quelles sont vos obligations dans ce cadre ? Pouvez-vous refuser d’effacer des données ? 


droit à l'oubli rgpd

Fonctionnement du droit à l’oubli 


D’abord, il est important de comprendre comment fonctionne le droit à l’oubli selon le RGPD. Le principe est que les données personnelles d’un utilisateur peuvent être supprimées à sa demande, sous certaines conditions. 


En pratique, ce droit à l’oubli concerne avant tout les contenus gênants ou qui ne seraient plus d’actualité, en lien également avec la notion d’e-réputation. Cependant, de nombreuses catégories de données peuvent être concernées par le droit à l’oubli. 


Rappelons que le RGPD exige que les entreprises facilitent l’exercice de ce droit : cela passe par l’accès facilité au bon canal pour faire une demande, par une information claire sur les droits des personnes et par un suivi rapide par les personnes habilitées dans l’entreprise. 


En ce qui concerne plus précisément le droit à l’effacement des données, il faut toutefois noter que tous les moyens sont bons pour exercer ce type de droit : un simple formulaire de contact, un email ou un courrier suffisent. 


A noter qu’il peut concerner tout ou partie des données personnelles que vous détenez sur la personne en fonction des cas : il est important que la personne concernée détaille les données qu’elle souhaite voir supprimées.


Les conditions d’exercice du droit à l’oubli 


L’exercice du droit à l’oubli et donc la suppression des données peut être demandée uniquement dans les cas énumérés ci-dessous. Le terme “uniquement” n’est d’ailleurs peut-être pas très bien choisir puisque comme vous allez le voir, ces cas recouvrent en réalité des réalités très variées et fréquentes. 


D’abord, le droit à l’oubli peut être demandé si les données sont utilisées à des fins de prospection. 


Ensuite, la demande peut faire suite à l’exercice d’un autre droit, le droit d’opposition. Si le responsable de traitement (c’est l’entreprise) n’a pas de motif légitime ou impérieux pour refuser l’exercice du droit d’opposition, alors passer par le droit à l’oubli peut être une solution.


Tout traitement de données doit se faire dans le cadre d’une finalité (objectif) et y répondre. Si la conservation des données n’est plus nécessaire au regard de cette finalité, alors leur suppression peut être demandée. 


Si la donnée a été collectée en s’appuyant sur le consentement de la personne, celui-ci peut être retiré et ce retrait justifie l’exercice du droit à l’oubli.


Dans certains cas, les données doivent être effacées pour respecter une obligation légale. Ce peut être un motif d’exercice du droit à l’effacement des données.


Si vous avez collecté les données sur un mineur, via un blog ou site web, la personne devenue adulte peut demander leur suppression.


Enfin, il est possible de demander l’effacement des données qui font l’objet d’un traitement illicite. 


Cependant, il faut noter que dans certaines situations, l’exercice du droit à l’oubli peut faire l’objet d’un refus. 


droit à l'effacement

Les cas dans lesquels l’effacement peut être refusé 


En effet, le droit à l’oubli se heurte parfois à d’autres considérations protégées par le RGPD qui peuvent primer. Ces cas de figure sont limités aux situations suivantes :


C’est le cas lorsque le traitement des données est protégé par l’exercice de la liberté d’expression et d’information ;


Dans certains cas, une obligation légale oblige les entreprises à conserver certaines données (par exemple les données contractuelles ou de facturation) ; 


Ensuite, la conservation de la donnée peut être justifiée par un intérêt public légitime dans les domaines de la santé ou bien de la recherche scientifique, historique ou statistique. 


Enfin, les données peuvent être conservées si elles permettent la constatation, l’exercice ou encore la défense de droits vis-à-vis de la justice. 


Comme vous le voyez, les cas dans lesquels l’exercice du droit à l’oubli peut être refusé sont extrêmement restrictifs par rapport à la liste précédente. 


Il convient donc de faciliter l’exercice du droit à l’oubli. Cela passe par l’accès facilité au droit, comme on l’a dit, mais aussi par le fait de tenir une base de données saine et à jour : les informations doivent être facilement accessibles et leur suppression doit être effective et définitive. Par ailleurs, le RGPD exige des entreprises qu’elles soient en mesure de traiter les demandes des utilisateurs relatives à leurs droits dans des délais raisonnables. 

Partager l'article