RGPD: Le droit à l’effacement ou le « droit à l’oubli »

Le droit à l’effacement, dit encore, droit à l’oubli se rattache à la protection classique de la vie privée, mais son intégration dans le RGPD est particulièrement poussée.

Alors que le droit au déréférencement avait été introduit par la CJUE dans un arrêt notoire du 13 mai 2014 (CJUE, GC, 13 mai 2014, Google Spain SL et Google Inc.), le RGPD met en place une double obligation pour les responsables du traitement et les sous-traitants : ils doivent effacer, dans les meilleurs délais, les données à caractère personnel qu’un citoyen leur demande de supprimer mais aussi, compte tenu de leurs capacités techniques et du coût que cela peut représenter, prendre toute mesure raisonnable pour informer, lorsqu’il a rendu les données publiques, les autres responsables de traitement de la demande d’effacement.

Le considérant 65 du RGPD précise à cet égard, que ce droit à l’effacement est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet.

La personne concernée doit donc pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant.

Afin de renforcer le «droit à l’oubli» numérique, le RGPD pose encore, en son considérant 66, que le droit à l’effacement doit également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci.

Ce faisant, ce responsable du traitement doit prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

§1 : Le principe du droit à l’effacement

L’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient […] effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Dans le même sens, l’article 17 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».

Il ressort de ces deux textes que c’est un véritable droit à l’oubli qui a été consacré par le législateur.

§2 : Les conditions du droit à l’effacement

Le législateur a entendu limiter l’exercice du droit à l’effacement à certains cas. A cet égard, il ne peut être exercé que lorsque l’un des motifs suivants s’applique :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  • La personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement;
  • La personne concernée s’oppose au traitement, et il n’existe pas de motif légitime impérieux pour le traitement
  • Les données à caractère personnel ont fait l’objet d’un traitement illicite;
  • Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  • Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information, soit lorsque la personne était mineure au moment de la collecte de ses données

§3 : L’exercice du droit à l’effacement

  • Le destinataire de la demande
    • La demande d’effacement doit être adressée au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulée

§4 : L’exécution du droit à l’effacement

  • Délai
    • A réception de la demande d’effacement, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
    • En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
    • Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
    • En cas de non-exécution de l’effacement des données à caractère personnel dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
  • Cas particuliers des données rendues publiques
    • L’article 17 du RGPD prévoit que lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
    • L’obligation est ici, non pas de résultat, mais de moyen

§5 : Les limites du droit à l’effacement

Le législateur européen a assorti le droit à l’effacement de plusieurs limites énoncées à l’article 17 du RGPD.

Ainsi, le droit à l’oubli ne s’applique pas :

  • A l’exercice du droit à la liberté d’expression et d’information ;
  • Pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  • Pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;
  • A la constatation, à l’exercice ou à la défense de droits en justice.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.