Article 17 du RGPD
Droit à l'effacement («droit à l'oubli»)

1.  La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;

c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;

d) les données à caractère personnel ont fait l'objet d'un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

2.  Lorsqu'il a rendu publiques les données à caractère personnel et qu'il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3.  Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire:

a) à l'exercice du droit à la liberté d'expression et d'information;

b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;

d) à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e) à la constatation, à l'exercice ou à la défense de droits en justice.

1 - Le droit à l’effacement des données personnelles, c’est quoi ? 🤓

L’article 17 du RGPD est l’expression d’un des objectifs du système européen de la protection des données : redonner la maîtrise aux personnes dans l’utilisation qui est faite de leurs informations personnelles !

Le RGPD prévoit une série de droits que les personnes peuvent exercer dont le plus significatif : droit à l’effacement des données personnelles 🪄 !

Cependant, la personne concernée ne peut l’exercer que pour un motif précis (1.1) et le responsable de traitement est en droit de refuser dans certains cas (1.2).

💡 Pour rappel, l’article 4 RGPD prévoit que le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.

1.1 - Le droit à l’effacement des données personnelles : conditions

Il est prévu que la personne concernée puisse former une telle demande pour un des motifs suivants (article 17 §1 RGPD) :

a. Les données ne sont plus nécessaires au regard des finalités.

C’est l’hypothèse où le responsable de traitement utilise les données pour un objectif différent que celui fixé initialement.

Par exemple, lorsque l’employeur traite de la donnée personnelle d’un candidat à un emploi (CV, lettre de motivation, lettres de recommandation etc.), à l’issue de la procédure de recrutement, ces informations ne sont plus nécessaires au regard de la finalité (gestion de la procédure de recrutement).

b. La personne ayant expressément donné son consentement le retire.

C’est l’hypothèse où la personne concernée retire son consentement qu’elle avait expressément donné pour l’utilisation de ses données personnelles.

Par exemple, lorsque vous donnez votre consentement pour recevoir des offres promotionnelles d’une entreprise, ce consentement peut être retiré et vos données supprimées.

c. La personne concernée exerce son droit à l’effacement de ses données après avoir exercé son droit d’opposition.

Cet alinéa renvoie directement à l’article 21 RGPD pour lequel vous trouverez notre analyse 😊.

d. Les données ont fait l’objet d’un traitement illicite.

C’est l’hypothèse où les données personnelles sont traitées de manière illégale.

Par exemple, vos données liées à votre activité sur un site web sont collectées sans votre consentement (vous n’avez pas accepté les cookies 🍪!).

e. La suppression de ces données est dictée par une obligation légale.

C’est l’hypothèse où la loi elle-même impose l’effacement de ces données.

Par exemple, le sous-traitant d’un responsable de traitement, a l’obligation légale de supprimer les données personnelles qu’il traite pour le responsable de traitement (qui est son client) lorsque ce dernier lui ordonne.

f. Les données à caractère personnel ont été collectées dans le cadre de l'offre directe de services de la société de l'information aux enfants.

Ce dernier alinéa renvoie à l’article 8 RGPD et désigne la situation où la personne concernée est enfant au moment de la collecte de ses données, lui ouvrant droit à l’effacement de ses données à tout moment.

Notons qu’au sens du RGPD, sont des “enfants” toutes personnes de moins de 16 ans (article 8, §1 RGPD).

1.2 - Le droit à l’effacement des données personnelles : limites

Même dans l’hypothèse où la demande concerne effectivement l’un des motifs énoncés ci-dessus, elle peut être refusée par le responsable de traitement dans les cas suivants (article 17 §3 RGPD) :

a. Le traitement est nécessaire à l’exercice de la liberté d’expression.

Cette exception a été écrite pour tenir compte de la liberté de la presse et de l’information. C'est-à-dire qu’on accepte de faire passer le droit de l’individu au second plan pour les besoins de l’information du public. Cette exception concerne principalement la presse écrite et l’audiovisuel, notamment pour les documents d’archives.

b. Le traitement est nécessaire au respect d’une obligation légale.

Cette exception désigne les cas où le responsable de traitement a l’obligation légale de traiter ces données. À titre d’exemple, l’employeur a l’obligation de conserver les bulletins de paie de ses employés même après leurs départs (L. 3243-4 et D3243-8 du code du travail). Dans ce cas, l’employeur doit refuser une demande de suppression.

c. Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique.

Cet alinéa renvoie directement à l’article 9 RGPD pour lequel vous trouverez notre analyse 😊.

d. Le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Cette disposition permet de faire obstacle à l’effacement des données personnelles relatives à l’histoire (crimes contre l’humanité, crimes de guerre etc.) ou les informations utiles aux chercheurs pour l’avancé des sciences.

e. Le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.

C’est l’hypothèse où le responsable de traitement a intérêt à conserver certains documents lui permettant d’assurer sa défense en justice ou l’exercice d’une telle action.Par exemple, concernant un contrat de travail, l’employeur a intérêt à le conserver postérieurement au départ de son employé car en cas d’une action aux Prud'hommes. Il peut dans ce cas refuser la demande de suppression des données liées au contrat de travail.

1.3 - Le droit à l’effacement des données personnelles : exercice et suites

Exercice du droit à l’effacement par la personne concernée :

• Quand ? À tout moment pour la personne concernée.
• Comment ? La demande doit être adressée au responsable de traitement. En cas de refus injustifié ou d’absence de réponse, la CNIL peut être saisie.

Obligation du responsable de traitement de donner suite à la demande :

• Dans quel délai ? L’effacement doit intervenir “dans les meilleurs délais”(article 17 §1). L’article 12 §2 RGPD nous livre plus de précision puisqu’il prévoit que :
• Un délai d’1 mois à compter de réception de la demande.
• Ce délai peut être prolongé de 2 mois (soit 3 mois en tout) en présence d’une certaine complexité. Par exemple, lorsque le responsable doit gérer un très grand nombre de demandes, ou en cas de doutes sur l’identité de la personne ou l’interprétation des conditions de l’article 17 RGPD).
• Obligation d’information : il ressort également de l’article 12 RGPD que le responsable de traitement doit informer la personne concernée, au cours de ce délai, des mesures prises, des raisons du prolongement du délai ou des motifs de son inaction et de la possibilité de saisir la CNIL en cas de désaccord.

Quid de la situation où le responsable de traitement a rendu publique les données personnelles qu’il doit supprimer ?

Par exemple, lorsqu’un site interne publie des informations qui font ensuite l’objet d’une demande de suppression, il est très difficile d’identifier toutes les personnes qui ont utilisé ces données. Dans ce cas, l’article 17 §2 RGPD prévoit que le responsable de traitement doit faire au mieux pour informer les autres responsables de traitement que la personne concernée souhaite l’effacement de ces données.

2 - Pourquoi l’effacement de données personnelles doit s’accompagner de la conservation de certaines d’entre elles ? 🤯

À première vue, l’obligation de suppression des données personnelles n’est pas censée aller de pair avec la conservation obligatoire d’une partie de ces données. Et pourtant…

En application du principe d’accountability, le responsable de traitement qui a l’obligation de supprimer les données personnelles à la suite d’une demande, a également l’obligation de garder une trace de la demande.

💡Pour rappel, le principe d’accountability (article 24 RGPD) désigne l’obligation pour les responsables de traitement de mettre en œuvre des mécanismes permettant de démontrer sa conformité au RGPD.

→ Concrètement, le responsable de traitement qui reçoit une demande de suppression des données personnelles doit conserver la trace du contenu cette demande (date, identité de l’individu, adresse email ou postale, mesures prises, réponse/ confirmation).

Exemple de traitement associé :

• La base légale correspond à “obligation légale” puisque le RGPD impose de garder une trace des demandes.
• La durée de conservation en base active correspond à la durée nécessaire au traitement de la demande.
• La durée de conservation en archivage intermédiaire doit être distinguée selon les données :
• Concernant les justificatifs de l’identité de la personne, ces informations doivent être conservées 1 an (article 9 code de procédure pénale)
• Concernant le justificatif de réponse, il est important de le conserver 5 ans puisque ce délai est fixé en référence à prescription légale (article 2224 code civil). C’est un élément important en cas de contrôle.
• La durée de conservation en archivage intermédiaire doit être distinguée selon les données :
• Concernant les justificatifs de l’identité de la personne, ces informations doivent être conservées 1 an (article 9 code de procédure pénale)
• Concernant le justificatif de réponse, il est important de le conserver 5 ans puisque ce délai est fixé en référence à prescription légale (article 2224 code civil). C’est un élément important en cas de contrôle.

→ Il s’agit d’un des éléments de la conformité que Leto permet d’automatiser 🪄 !

Notre solution vous livre le formulaire de demander d’exercice relié à la plateforme permettant la notification de la demande auprès des bonnes équipes en interne, l’identification des données à supprimer, le rappel des délais légaux, l’envoie du mail de confirmation et le traitement associé (et plus encore !) 😎