Le « droit à l’oubli » de l’article 17 du RGPD, connu aussi sous le nom de « droit à l’effacement », permet aux individus de demander la suppression de leurs données personnelles auprès des responsables du traitement.
Cependant, le droit à l’oubli est bien plus qu’un individu demandant simplement à une entreprise de supprimer ses données personnelles.
Le droit à l’oubli est présenté dans l’article 17 du RGPD, qui décrit que si au moins une des conditions s’applique, « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».
* par « dans les meilleurs délais », on considère un délai d’un mois à compter de la réception de la demande.
De plus, le responsable du traitement doit prendre des mesures appropriées pour confirmer l’identité de la personne concernée qui a fait la demande.
Le droit à l’effacement est essentiellement un autre terme pour désigner le droit à l’oubli. Lorsque les données personnelles ne sont plus nécessaires à la finalité originelle du traitement pour lequel elles ont été recueillies, lorsque les utilisateurs ont retiré leur consentement au traitement ou lorsque les données personnelles ont fait l’objet d’un traitement illicite, les utilisateurs ont le droit de demander l’effacement de leurs données. Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande.
💡 En savoir plus sur l’ensemble des droits des utilisateurs en vertu du RGPD dans ce guide.
Les conditions spécifiques selon lesquelles le droit à l’oubli s’applique sont listées dans ce même article 17. Un individu a le droit de demander la suppression de ses données personnelles si :
Oui, dans les situations suivantes, le responsable du traitement peut annuler le droit à l’oubli de l’utilisateur si le traitement est nécessaire :
De plus, si une organisation peut démontrer qu’une demande de suppression de données est déraisonnable ou incorrecte, l’entreprise peut réclamer des « frais raisonnables » ou rejeter la demande.
Lors qu’un utilisateur exerce son droit à l’oubli, plusieurs facteurs rentrent en jeu, et chaque demande doit être évaluée individuellement.
🔍 Découvrez notre aide-mémoire en 15 points à retenir ici
Pour des raisons de conformité, la preuve du consentement des utilisateurs et toute demande de désactivation/retrait doivent être conservées. Le responsable du traitement qui reçoit une demande d’exercer son droit à l’oubli doit considérer chaque demande individuellement.
Pour que toutes les opérations de traitement des données soient effectuées sur la base juridique du consentement, le responsable du traitement doit garder une trace de la preuve du consentement obtenu.
D’autre part, les utilisateurs sont tenus de retirer tout autre consentement au traitement de leurs données qu’ils auraient pu donner ultérieurement.
Comment facilement conserver un registre des preuves de consentement ?
Collectez une preuve de consentement et documentez l’opt-in pour vos formulaires web, conformément au RGPD. 👉 Démarrez dès maintenant
Tout d’abord, il revient au responsable du traitement de déterminer si une demande de suppression des données personnelles doit être effectuée, ou non. Le responsable du traitement doit répondre à la demande dans un délai d’un mois et communiquer sa décision :
Supposons que le résultat de l’évaluation par le responsable du traitement indique qu’il est nécessaire de supprimer les données personnelles conservées dans la Consent Solution. Dans ce cas, iubenda sera là pour vous aider à régler les détails techniques.
Cependant, le responsable du traitement devra rappeler l’API pour exécuter la suppression et afin de poursuivre la demande d’exercice du droit à l’oubli. Gardez à l’esprit que le responsable du traitement devra modifier l’appel de l’API pour y inclure les données personnelles correspondantes.
Voici un exemple :
curl --location --request POST 'http://consent.iubenda.com/consent' --header 'Content-Type:application/json' --header 'ApiKey:YOUR_PRIVATE_API_KEY' --data-raw '{
"subject":{
"id":"subject_id"
},
"preferences":{
"preferencel":"false",
"preference2":"false",
"rightToBeForgotten":"true"
},
"proofs":[
{
"content":"The user requested to be forgotten,and this is the proof of it"
}
]
}
'
Le responsable du traitement peut utiliser le même processus de communication qu’emploie l’utilisateur afin d’exprimer une demande. Par exemple, si l’utilisateur a exprimé sa demande par adresse e-mail, le responsable du traitement peut utiliser cette même adresse afin de contacter l’utilisateur.