Faire valoir son droit à l’oubli : le droit à l’effacement vu par le RGPD

Depuis son entrée en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD), en reprenant en grande partie la Loi Informatique et Libertés (LIL) du 6 janvier 1978, prévoit des droits bien distincts à tout citoyen européen. En ayant pour vocation l’élaboration d’une politique globale de la protection de la vie privée, il pose les fondements et les principes d’une protection devenue essentielle et intrinsèque à l’ère numérique. Il permet notamment à chacun de ses citoyens de disposer pleinement de ses données à caractère personnel, entre autres en encadrant le droit à l’effacement (ou droit à l’oubli) dans son article 17.

Faire prévaloir son droit à l’effacement signifie que chaque résident d’un pays membre de l’Union européenne est en mesure de demander à un quelconque organisme de supprimer définitivement de son registre ses données à caractère personnel.

Les origines du droit à l’effacement

Le droit à l’oubli est doublement consacré par le législateur, dans un premier temps via l’article 40 de la LIL qui dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient […] effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ». Dans un second temps, par l’article 17 du RGPD qui prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».

Comment l'exercer concrètement ?

L’exercice du droit à l’effacement est une procédure relativement simple. Voici les étapes que la CNIL préconise de suivre :

• Identifier l’organisme à contacter : soit l’entreprise ainsi que le responsable qui assure le traitement de ses données, le débiteur de l’obligation. Pour cela, il est possible de se rendre sur la page d’information consacrée à l’exercice des droits sur le site web de ladite entreprise, en cliquant sur « politique vie privée », « politique confidentialité » ou « mentions légales ». 
• Justifier de son identité : pour éviter toute usurpation, le responsable est en droit d’exiger un justificatif d’identité, qui ne devra ni être disproportionné, abusif ou non-pertinent eu égard à la demande formulée. 
• Préciser quelles données sont concernées : cette étape est primordiale car ce droit n’entraîne pas la suppression automatique de toutes les données détenues par l’organisme, particulièrement celles qui sont assujetties à une obligation légale de conservation (les factures par exemple). 
• Adresser sa demande : divers moyens sont admissibles, tels que les formulaires, les courriers électroniques ou papiers, etc.
• Conserver une copie de la démarche : particulièrement lorsque la réponse obtenue est insatisfaisante ou tout simplement absente. Grâce à un accusé de réception, une capture d’écran ou une copie du courriel, il est possible de saisir la CNIL.

Dans quels cas ?

Son objectif est fondé sur la réalité selon laquelle la course à la collecte des données dans les entreprises, pour les analyser afin d’en exploiter la valeur, est ancienne.

Ces dernières, en consacrant d’importants moyens quant à l’exploitation des données à caractère personnel, obtiennent un retour sur investissement rapide et durable. Toute action d’une personne justifie la collecte de données, que ce soit l’obtention d’une carte de fidélité, un achat sur Internet, une souscription à un abonnement, etc. Si la personne concernée ne souhaite plus bénéficier des services proposés par une entreprise commerciale, il lui est donc tout à fait possible de demander la suppression de son compte client et des données en lien avec ce dernier.

Il est également question de tout contenu (images, photos, …) que l’individu met de son plein gré à disposition sur Internet, que ce soit via un blog, un réseau social, un forum, etc. À l’heure actuelle, il est devenu extrêmement aisé que des données à caractère personnel devenues obsolètes nuisent à la réputation de la personne concernée, et que cette dernière soit atteinte de manière durable par leur utilisation à son insu.

Voici les cas référencés par l’article 17 du RGPD pour justifier un effacement :

1. les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière 
2. la personne concernée retire le consentement sur lequel est fondé le traitement, […] et il n'existe pas d'autre fondement juridique au traitement 
3. la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2 
4. les données à caractère personnel ont fait l'objet d'un traitement illicite 
5. les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis 
6. les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1

Il est important de noter que ce n’est pas un droit absolu, le RGPD notifie les exceptions qui le limitent :

1. à l'exercice du droit à la liberté d'expression et d'information 
2. pour respecter une obligation légale qui requiert le traitement prévu par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement
3. pour des motifs d'intérêt public dans le domaine de la santé publique […] 
4. à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement
5. à la constatation, à l'exercice ou à la défense de droits en justice.

Les obligations du responsable du traitement

Une fois la demande réceptionnée, le responsable doit, toujours selon le RGPD, s’exécuter « dans les meilleurs délais » soit au plus tard un mois - au besoin, ce délai peut être prolongé de deux mois. Bien évidemment, il doit avertir le demandeur de cette prolongation et de ces motifs (complexité ou nombre de demandes à traiter) dans un délai d’un mois à compter de la réception de la demande.

En cas d’acceptation de la demande, le responsable doit prendre toutes les mesures nécessaires, disponibles et appropriées pour l’effacement desdites données, de leurs copies ou leurs reproductions existantes. En effet, il est dans l’obligation de contacter et d’informer tous les organismes et autres responsables de traitement avec qui il a partagé les données, plus particulièrement lorsque celles-ci ont été rendues publiques. Enfin, l’article 40 de la LIL prévoit qu’une preuve de cet effacement soit fournie au demandeur s’il en a fait la demande au préalable. Le responsable de traitement doit donc justifier, sans frais pour la personne concernée, qu’il a procédé aux opérations exigées.

En cas de non-exécution de l’effacement, le responsable doit notifier et justifier son refus au demandeur dans un délai d’un mois. Il doit également joindre à sa réponse la possibilité pour le demandeur de faire une réclamation auprès d’un autorité de contrôle (en général, la CNIL qui a un délai de trois semaines pour se prononcer à compter de la réception de la réclamation) et/ ou de former un recours juridictionnel au tribunal d’instance de proximité.

Le RGPD s’avère donc strict et exigeant envers les responsables de traitement. En effet, les entreprises doivent, tout en respectant le court délai mis à leur disposition, identifier le nombre et le type d’informations qu’elles disposent au sujet de la personne, déterminer quelles données sont sujettes (ou non) à suppression tout en restant juridiquement et légalement conforme à cette disposition.

De cette prise de conscience collective quant à l’importance de la protection de la vie privée et de la valeur des données à caractère personnel, découle ce cadre législatif européen ayant pour ambition la protection de ses citoyens face aux géants économiques. Ceci obligeant un véritable remaniement de la collecte et de traitement des informations de la part des entreprises et organismes, qui doivent repenser en profondeur leurs outils de détection et de classification des données.

SOURCES :

BAMDE, Aurélien, 2019. RGPD : le droit à l’effacement ou le « droit à l’oubli ». aurelienbamde.com. [En ligne]. 2 janvier 2019 [Consulté le 22 mars 2020]. Disponible ICI.

CNIL. Le droit à l’effacement : supprimer vos données en ligne. Cnil.fr [En ligne]. [Consulté le 15 mars 2020]. Disponible ICI.

EDITIONEO, 2019. RGPD : Droit à l’effacement. Editineo.com [En ligne]. 20 février 2019. [Consulté le 22 mars 2020]. Disponible ICI.

LUSSAN, Pierre-Louis, 2020. Le droit à l’effacement, loin d’être oublié par la législation européenne. Lesechos.fr [En ligne]. 6 février 2020. [Consulté le 22 mars 2020]. Disponible ICI.

Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – article 40. Legifrance.gouv.fr [En ligne]. [Consulté le 15 mars 2020]. Disponible ICI.