Article 17 du RGPD : le droit à l’oubli

Le « droit à l’oubli » de l’article 17 du RGPD, connu aussi sous le nom de « droit à l’effacement », permet aux individus de demander la suppression de leurs données personnelles auprès des responsables du traitement.

Cependant, le droit à l’oubli est bien plus qu’un individu demandant simplement à une entreprise de supprimer ses données personnelles.

Pas le temps ? Passez directement à :

Qu’est-ce que le droit à l’oubli ? →
Quand le droit à l’oubli s’applique-t-il ? →
La Consent Solution et le droit à l’oubli →
- Comment dois-je traiter les demandes de droit à l’oubli ?
- Comment puis-je supprimer les données personnelles d’un utilisateur en particulier ?
- Comment puis-je avertir l’utilisateur que sa demande a été honorée ?

📌 Article 17 RGPD : qu’est-ce que le droit à l’oubli ?

Le droit à l’oubli est présenté dans l’article 17 du RGPD, qui décrit que si au moins une des conditions s’applique, « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».

* par « dans les meilleurs délais », on considère un délai d’un mois à compter de la réception de la demande.

De plus, le responsable du traitement doit prendre des mesures appropriées pour confirmer l’identité de la personne concernée qui a fait la demande.

Qu’est-ce que le droit à l’effacement ?

Le droit à l’effacement est essentiellement un autre terme pour désigner le droit à l’oubli. Lorsque les données personnelles ne sont plus nécessaires à la finalité originelle du traitement pour lequel elles ont été recueillies, lorsque les utilisateurs ont retiré leur consentement au traitement ou lorsque les données personnelles ont fait l’objet d’un traitement illicite, les utilisateurs ont le droit de demander l’effacement de leurs données. Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande.

💡 En savoir plus sur l’ensemble des droits des utilisateurs en vertu du RGPD dans ce guide.

📌 Article 17 RGPD : quand le droit à l’oubli s’applique-t-il ?

Les conditions spécifiques selon lesquelles le droit à l’oubli s’applique sont listées dans ce même article 17. Un individu a le droit de demander la suppression de ses données personnelles si :

les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
la personne concernée retire le consentement, et il n’existe pas d’autre fondement juridique au traitement ;
la personne concernée s’oppose au traitement (qui est fondé sur la base de l’intérêt légitime), et il n’existe pas de motif légitime impérieux pour le traitement. Cela s’applique même lors de l’utilisation de données personnelles à des fins de marketing direct ;
les données à caractère personnel ont fait l’objet d’un traitement illicite ;
les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information.

Le responsable du traitement peut-il déroger au droit à l’oubli de l’utilisateur ?

Oui, dans les situations suivantes, le responsable du traitement peut annuler le droit à l’oubli de l’utilisateur si le traitement est nécessaire :

à l’exercice du droit à la liberté d’expression et d’information ;
pour exécuter une mission d’intérêt public, respecter une obligation légale, ou si le responsable du traitement doit exercer ses responsabilités sous l’autorité publique officielle ;
pour des motifs d’intérêt public dans le domaine de la santé publique ;
à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; ou
à la constatation, à l’exercice ou à la défense de droits en justice.

De plus, si une organisation peut démontrer qu’une demande de suppression de données est déraisonnable ou incorrecte, l’entreprise peut réclamer des « frais raisonnables » ou rejeter la demande.

Lors qu’un utilisateur exerce son droit à l’oubli, plusieurs facteurs rentrent en jeu, et chaque demande doit être évaluée individuellement.

👋 Prêt à s’attaquer à la conformité RGPD ?

🔍 Découvrez notre aide-mémoire en 15 points à retenir ici

Pour des raisons de conformité, la preuve du consentement des utilisateurs et toute demande de désactivation/retrait doivent être conservées. Le responsable du traitement qui reçoit une demande d’exercer son droit à l’oubli doit considérer chaque demande individuellement.

Pour que toutes les opérations de traitement des données soient effectuées sur la base juridique du consentement, le responsable du traitement doit garder une trace de la preuve du consentement obtenu.

D’autre part, les utilisateurs sont tenus de retirer tout autre consentement au traitement de leurs données qu’ils auraient pu donner ultérieurement.

Comment facilement conserver un registre des preuves de consentement ?

👋

La Consent Database de iubenda

Collectez une preuve de consentement et documentez l’opt-in pour vos formulaires web, conformément au RGPD. 👉 Démarrez dès maintenant

Tout d’abord, il revient au responsable du traitement de déterminer si une demande de suppression des données personnelles doit être effectuée, ou non. Le responsable du traitement doit répondre à la demande dans un délai d’un mois et communiquer sa décision :

si l’évaluation effectuée indique que la demande doit être traitée (l’une des situations spécifiées dans l’article 17 du RGPD s’applique) ;
s’il est conclu que la demande ne peut pas être traitée suite à une raison en particulier. Dans ce cas, le responsable du traitement doit également indiquer pourquoi la demande n’a pas été honorée.

Supposons que le résultat de l’évaluation par le responsable du traitement indique qu’il est nécessaire de supprimer les données personnelles conservées dans la Consent Solution. Dans ce cas, iubenda sera là pour vous aider à régler les détails techniques.

Cependant, le responsable du traitement devra rappeler l’API pour exécuter la suppression et afin de poursuivre la demande d’exercice du droit à l’oubli. Gardez à l’esprit que le responsable du traitement devra modifier l’appel de l’API pour y inclure les données personnelles correspondantes.

Voici un exemple :

curl --location --request POST 'http://consent.iubenda.com/consent' --header 'Content-Type:application/json' --header 'ApiKey:YOUR_PRIVATE_API_KEY' --data-raw '{
  "subject":{
    "id":"subject_id"
  },
  "preferences":{
    "preferencel":"false",
    "preference2":"false",
    "rightToBeForgotten":"true"
  },
  "proofs":[
    {
      "content":"The user requested to be forgotten,and this is the proof of it"
    }
  ]
}
'

Le responsable du traitement peut utiliser le même processus de communication qu’emploie l’utilisateur afin d’exprimer une demande. Par exemple, si l’utilisateur a exprimé sa demande par adresse e-mail, le responsable du traitement peut utiliser cette même adresse afin de contacter l’utilisateur.

Voir également

Des questions ?

Participer à l'un de nos webinars gratuits Nous écrire par e-mail Chat en direct

Documentation