droit à l'oubli en rgpd

Article 17 du RGPD : le droit à l'oubli

L’article 17 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ». Si le RGPD a été mis en place afin de laisser la main aux utilisateurs concernant leurs données privées, le droit à l’oublie ne s’applique pas pour autant dans tous les cas.

Comment interpréter cet article du Règlement Général de la Protection des données et quand l’utiliser ?

Le droit à l'oubli en RGPD : les conditions

Le principe du droit à l’oubli

Le principe du droit à l’oubli permet à un internaute de demander l’effacement des données personnelles qu’une entreprise ou un organisme à collecter.

Les entreprises qui collectent des données doivent laisser la possibilité aux internautes ayant un jour consenti à l’utilisation de leurs données, de pouvoir se désengager et ne plus faire parti des données collectés et traités par l’entreprise.

Cependant, ce droit à l’oubli est soumis à des clauses particulières et ne peut être demandé dans toutes les situations. Retour sur vos droits à demander l’effacement de vos données au responsable de traitement des données d’une entreprise ou d’un organisme.

Les conditions du droit à l’oubli

Il est nécessaire de regarder les conditions dans lesquelles vous pouvez recourir à l’effacement de vos données avant de vous lancer dans ces démarches. L’un des motifs suivants doit s’appliquer :

  • Vos données ne sont plus nécessaires à la finalité définie lorsque vous acceptez le consentement de vos données.
  • Si vous retirez le consentement sur lequel vous vous êtes engagé
  • Si vous vous opposez au traitement de vos données
  • Si le traitement effectué sur vos données est illicite au vu de ce qui avait été annoncé
  • Si le délai de traitement des données est dépassé…

Les limites du droit à l’effacement

Dans certaines situations, le droit à l’oubli vous sera refusé, car ce n’est pas un droit absolu. Vous n’êtes ainsi pas en droit de réclamer votre droit à l’oubli :

  • Lorsqu’il s’agit de données utilisés dans le cadre de l’intérêt général (comme pour les données de santé)
  • Lorsque l’utilisation des données est d’ordre scientifique, historique, etc.
  • Lorsqu’il s’agit du droit de respect d’une obligation légale, telle qu’une facture…
sécurisation système d'information et sécurité numérique

Besoin d'être accompagné en RGPD ?

Audit, formations, accompagnement et suivi par un expert RGPD

Comment exercer son droit à l'oubli ?

Vous souhaitez l’effacement de vos données sur une plateforme en particulier ? Voici la procédure à effectuer afin de voir vos données effacées.

A qui demander des comptes ?

Afin de voir vos données personnelles être effacées par un organisme, il n’est pas nécessaire d’envoyer un courrier à la CNIL pour que celle-ci se charge du dossier. 

Il suffit en premier lieu d’adresser un courrier au responsable de traitement des données de l’organisme pour lui signifier votre volonté de voir vos données effacées. Le DPO a la possibilité de vous réclamer un justificatif de votre identité afin de s’assurer de la véracité de la demande. Il n’est pas nécessaire de joindre une photocopie d’un titre d’identité en cas d’exercice d’un droit dès lors que l’identité de la personne est suffisamment établie (par exemple, par la présentation d’un numéro client ou des éléments permettant d’identifier des abonnés à un service).

Si l’organisme n’exécute pas la suppression des données demandée, vous pourrez alors demander l’aide de la CNIL pour résoudre ce problème et obtenir un renfort de poids pour votre demande.

Il est primordial de garder une copie de votre demande afin de saisir la CNIL. Ainsi, si vous souhaitez faire des démarches auprès de la commission nationale de l’informatique et des libertés, il vous sera demandé une preuve de l’envoie de cette demande, qu’elle soit manuscrite (via un accusé de réception du courrier) ou électronique (capture écran).

Le délai de la procédure

Une fois votre demande effectuée auprès de l’organisme qui collecte vos données, ce dernier a un délai d’un mois (voire 2 si l’effacement de vos données nécessite une manipulation complexe) pour s’exécuter. C’est le délai dont il dispose afin de traiter votre demande. Au-delà, et sans réponse de leur part, vous avez la possibilité de contacter la CNIL pour vous aider à faire respecter vos droits.