Tout savoir sur le droit à l’effacement dans le RGPD

Nous poursuivons notre série d’articles consacrés aux droits des personnes avec le droit à l’effacement. Cet article fait suite à notre vidéo 1 min pour tout comprendre du lundi 16 mai. Suivez-nous sur LinkedIn pour ne manquer aucune actualité ! 

Prenez un thé glacé et c’est parti, on vous explique tout en 5 min ! ? 

Quels sont les droits des personnes ? 

Les droits des personnes sont abordés au chapitre 3 du RGPD. Tous les droits ne sont pas applicables systématiquement à tous les traitements, leur application dépend notamment de la base légale du traitement en cause. 

Avec nos anciens articles et ceux à venir, nous vous expliquons les droits suivants : 

• Droit d’accès, 
• Droit de rectification, 
• Droit d’opposition (et droit de retirer le consentement), 
• Droit à l’effacement, 
• Droit à la portabilité. 

Tout comprendre sur le droit à l’effacement

Le droit à l’effacement, ou droit à l’oubli, est prévu à l’article 17 du Règlement général sur la protection des données. L’exercice de ce droit permet à tout citoyen, résidant sur le territoire d’un État membre de l’Union européenne, de demander à un responsable de traitement ou un sous-traitant d’effacer les données personnelles le concernant. 

C’est notamment le cas lorsque la personne concernée ne souhaite plus utiliser les différents services proposés par un site de commerce en ligne et demande la fermeture de son compte ainsi que l’effacement de toutes les données qui lui sont associées. 

Le droit à l’oubli doit être différencié du droit au déréférencement selon lequel « la personne concernée peut demander au fournisseur de moteur de recherche en ligne d’effacer un ou plusieurs liens vers des pages web de la liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom » (arrêt de la Cour de justice de l’Union européenne, 13 mai 2014, « Costeja »). 

Le Conseil d’État a consacré ce droit en décembre 2019 à la suite de deux arrêts de la Cour de justice de l’Union européenne du 24 septembre 2019 (CJUE, 24 septembre 2019, aff. C-136/17 et C-507/17). Le Conseil d’État rend 13 arrêts à l’occasion desquels il fixe le cadre dans lequel un exploitant de moteur de recherche doit, sous le contrôle de la CNIL, respecter le droit au déréférencement. 

« Les grands principes de ce cadre sont : 

• Le juge se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue. 
• Le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit. 
• Le droit au déréférencement n’est pas absolu. Une balance doit être effectuée entre le droit à la vie privée du demandeur et le droit à l’information du public. 
• L’arbitrage entre ces deux libertés fondamentales dépend de la nature des données personnelles. 

Trois catégories de données personnelles sont concernées : 

• Des données dites sensibles (données les plus intrusives dans la vie d’une personne comme celles concernant sa santé, sa vie sexuelle, ses opinions politiques, ses convictions religieuses …), 
• Des données pénales (relatives à une procédure judiciaire ou à une condamnation pénale), 
• Des données touchant à la vie privée sans être sensibles. 

La protection dont bénéficient les deux premières catégories est la plus élevée : il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public. Pour la troisième catégorie, il suffit qu’il existe un intérêt prépondérant du public à accéder à l’information en cause. 

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont le rôle social du demandeur (sa notoriété, son rôle dans la vie publique et sa fonction dans la société) et les conditions dans lesquelles les données ont été rendues publiques (par exemple, si l’intéressé a de lui-même rendu ces informations publiques) et restent par ailleurs accessibles. » (Source : site officiel du Conseil d’État, rubrique actualités, article du 6 décembre 2019 « Droit à l’oubli : le Conseil d’État donne le mode d’emploi »). 

Ce droit au déréférencement vient compléter, en matière de données personnelles accessibles sur internet, le droit à l’oubli. Les personnes concernées doivent exercer ce droit auprès des moteurs de recherche afin d’obtenir non pas la suppression ou l’anonymisation de la page web contenant les données personnelles dont elles souhaitent obtenir l’effacement mais bien uniquement la suppression du lien vers la page concernée dans les résultats du moteur de recherche. La page demeure accessible, elle n’apparaitra simplement plus dans la liste des résultats (pour une liste de mots clés déterminée) du moteur de recherche ayant accepté la demande  

Le droit d’effacement dans cette hypothèse devrait être exercé auprès de l’éditeur du site internet dont est issue la page web concernée. Son exercice, s’il est accepté par l’éditeur du site, aboutira à la suppression des informations identifiantes. 

Il convient de noter que le droit d’effacement dépasse le périmètre restreint des données publiées par internet et peut concerner bien d’autres traitements dans les conditions exposées ci-dessous. 

Les conditions à respecter pour exercer le droit à l’effacement 

Le droit à l’effacement des données personnelles n’est pas un droit absolu. Selon les dispositions de l’article 17 du RGPD, le droit à l’effacement s’applique dans un nombre limité de cas, lorsque : 

• Les données ne sont plus nécessaires au regard des finalités poursuivies du traitement ; 
• La personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ; 
• La personne concernée exerce son droit d’opposition et qu’il n’existe pas de motifs légitimes impérieux pour permettre au responsable de traitement de poursuivre le traitement, ou que la demande porte sur un traitement de prospection commerciale ; 
• Les données à caractère personnel font l’objet d’un traitement illicite ; 
• Les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union européenne ou celui de l’État membre auquel le responsable de traitement est soumis ; 
• Les données ont été collectées, sur la base du consentement, dans le cadre d’une offre de service destinée aux mineurs. 

Les limites au droit à l’effacement 

Le droit à l’effacement est limité dans certains cas. Ainsi, il ne doit pas entrer en conflit avec : 

• Le respect d’une obligation légale, prévue par le droit de l’Union européenne ou de l’État membre auquel le responsable de traitement est soumis ; 
• L’exercice du droit à la liberté d’expression et d’information ; 
• L’exécution d’une mission d’intérêt public ou d’une mission réalisée dans le cadre de l’exercice de l’autorité publique dont le responsable de traitement est investi ; 
• La réalisation de recherches scientifiques, historiques ou archivistiques ; 
• L’utilisation des données dans l’intérêt public, notamment dans le secteur de la santé ; 
• La constatation, l’exercice ou la défense de droits en justice. 

Le responsable de traitement pourra refuser d’accéder à une demande d’effacement en se prévalant de l’une des hypothèses listées ci-avant. 

Mission RGPD et le droit à l’effacement 

Vous n’avez pas le temps ? Vous êtes perdu ? Vous avez du mal à gérer votre conformité et plus précisément les droits des personnes ? 

Informer les personnes concernées de leurs droits dans une politique de confidentialité. Avec Mission RGPD vous disposez d’un modèle de politique de confidentialité prêt à être utilisé. Complétez cette politique pour l’adapter à la situation de votre organisation. Puis rendez-la accessible aux personnes, sur votre site internet par exemple. 

Gérez votre conformité en toute simplicité et sérénité !