Il peut arriver qu’une personne ne souhaite plus partager ses données personnelles avec une institution, une entreprise, etc. En s’appuyant sur le droit à l’oubli, elle peut alors demander leur suppression. Mais attention, cette disposition, pourtant prévue par l’article 17 du Règlement Général sur la Protection des Données (RGPD), ne peut pas toujours être évoquée. Dans quelles circonstances le « Droit à l’effacement » est-il réellement applicable ? En tant qu’outil légal, que faut-il comprendre pour en bénéficier ?
Que dit l’article 17 du RGPD sur le droit à l’oubli ?
L’article 17 de ce texte réglementaire européen est baptisé Droit à l’effacement (« droit à l’oubli »). Il prévoit que dans certaines conditions spécifiques « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».
Qu’est-ce que le droit à l’oubli selon le RGPD ?
Plus clairement, à l’heure du Big Data, c’est-à-dire de la récolte des données en masse pour leur utilisation ultérieure (analytique, marketing et autre), nous révélons tous et généralement volontairement des informations d’ordre privées sur la toile. Cela en nous inscrivant, par exemple, sur le site d’une entreprise qui vend des biens ou des services, d’un organisme officiel, etc.
Or, il peut arriver qu’un internaute ne souhaite plus que ses données personnelles figurent parmi celles amassées par un site internet. S’agissant d’un droit, y compris s’il y a consentement en premier lieu, il peut évoquer l’article 17 du RGPD, devenu l’expression populaire « droit à l’oubli ».
Toutefois, ce droit à l’oubli est bien plus subtil qu’on le pense, ce qui le rend applicable dans certaines situations précises uniquement.
Quand peut-on évoquer le droit d’effacement ?
L’article 17 du RGPD pour l’effacement de données personnelles est applicable dans les cas suivants :
- Les informations personnelles du demandeur ne correspondent plus aux objectifs évoqués dans le consentement signé au départ par l’internaute ;
- Lorsque retire son consentement ;
- Lorsqu’il s’oppose à l’exploitation de ses données privées ;
- Lorsque ses données sont traitées à des fins illicites et contraires à ce qui a été annoncé dans le consentement ;
- Lorsque le délai de traitement des données est dépassé ;
- Lorsque ses données ont été rendues publiques sans son consentement.
Le saviez-vous ?
Le droit à l’oubli n’est pas un droit absolu !
Quand le droit à l’effacement peut-il être refusé ?
Le droit à l’effacement devient caduc dès lors que les raisons du demandeur ne correspondent pas à celles prévues par l’article 17 du RGPD. Cela peut également être le cas si ses informations personnelles :
- Sont utilisées dans l’intérêt général, par exemple, des informations sanitaires ;
- S’il s’agit d’éléments d’ordre scientifique, historique, etc. ;
- Si elles entrent dans le cadre d’une obligation légale (paiement d’une facture, etc.).
Comment évoquer son droit à l’oubli ?
La procédure est simple pour évoquer son droit à l’effacement. Il suffit d’envoyer un courrier au responsable de traitement des données de l’organisme concerné. L’objet doit bien entendu expliquer clairement qu’il s’agit d’une demande de suppression d’informations privées.
Pour un meilleur traitement de la demande, l’interlocuteur peut revenir vers le demandeur pour lui demander des pièces justificatives (document d’identité, numéro client, etc.)
Combien de temps prend l’effacement de données personnelles ?
À la réception d’une demande d’effacement de données, le destinataire dispose d’un délai d’un mois pour procéder. Cette période peut être étendue à deux mois, si l’effacement des données nécessite une intervention complexe.
Demande de droit à l’oubli : que faire en l’absence de réponse ?
Il peut arriver qu’une demande d’effacement de données privées reste sans réponse. Dans un tel cas, la Commission nationale de l’informatique et des libertés (CNIL) a pour mission d’intervenir.
Il suffit d’adresser un courrier à l’organisme, accompagné d’une preuve que la demande initiale n’a pas été traitée. Il peut s’agir :
- De l’avis de réception du courrier original
Ou
- D’une capture d’écran, si la requête a été faite par e-mail.