Le règlement sur la protection des données renforce le droit à l’oubli RGPD. Sa gestion peut être génératrice de stress autant pour les TPE-PME que pour les géants du web. Alors, comment se mettre en conformité RGPD vis-à-vis de ce droit ?
1. Rappel : la sauvegarde des données personnelles doit être limitée dans le temps
Le droit à l’oubli RGPD vient en renfort du principe de limitation de la conservation des données. Ce principe prévoit que les données personnelles doivent être sauvegardées pour un temps limité en rapport avec leur finalité.
Instaurer une procédure automatique ou systématique d’effacement des données permet ainsi de limiter les demandes de droit à l’oubli numérique.
2. Qu’est-ce que le droit à l’oubli RGPD ?
Le droit à l’oubli, c’est « la possibilité offerte à toute personne concernée par un traitement de ses données à caractère personnel, d’en demander l’effacement et/ou le déréférencement si le responsable du traitement est un moteur de recherche. »
Le RGPD prévoit que le droit à l’oubli peut être exercé dans des cas extrêmement larges :
1. Le consentement était nécessaire lors de la collecte des données sensibles.
2. Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
3. La personne exerce son droit d’opposition « pour des raisons tenant à sa situation particulière». Le responsable de traitement doit désormais démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne peut exercer son droit à l’oubli à tout moment dans les cas de prospection et de profilage et le responsable de traitement aura une responsabilité plus lourde pour démontrer l’intérêt légitime du traitement.
4. Les données ont fait l’objet d’un traitement illicite.
5. Elles concernent un mineur.
6. L’effacement est prévu par une obligation légale.
Le RGPD prévoit une démarche inversée : le demandeur n’a désormais plus à justifier sa demande, c’est le responsable du traitement ou son représentant qui devra trouver une raison pertinente de ne pas accepter la mise en oeuvre du droit à l’oubli.
3. Comment permettre l’exercice du droit à l’oubli RGPD ?
Le RGPD a réduit les durées de traitement des demandes concernant l’exercice d’un droit. Le droit à l’oubli ne fait pas figure d’exception. Le responsable du traitement doit accuser réception de la demande sous moins d’un mois et traiter la demande dans un délai raisonnable, prévu entre un et trois mois selon la complexité du dossier.
Le RGPD prévoit une procédure numérique, permettant l’exercice du droit de manière totalement dématérialisée. À la demande de la personne concernée, la procédure peut être écrite, avec un échange traditionnel de courrier en A/R pour lesquels des frais administratifs ne peuvent être appliqués que de manière proportionnée avec la réponse apportée, et non sur la demande elle-même.
4. Quand dois-je y faire droit ?
Le responsable du traitement doit permettre le droit à l’oubli de la personne concernée lorsqu’il n’est pas en mesure d’apporter un élément justificatif.
Le responsable du traitement doit toujours faire droit à la demande de droit à l’oubli lorsque les données personnelles proviennent du profilage à des fins commerciales. Pour des motifs impérieux, il est possible de refuser l’exercice du droit à l’oubli en cas de profilage à d’autres fins.
Le profilage est désormais défini par le RGPD comme : « toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnel, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative. »
Nos conseils :
- Sauf si des informations ont pour vous un particulier intérêt ou que vous êtes confrontés à des demandes massives de droit à l’oubli, faites toujours droit aux demandes, sauf abusives, afin de préserver votre énergie pour des cas plus appropriés.
- Dresser une typologie des demandes, des traitements et des finalités associés permettrait d’apporter des réponses types évolutives avec la situation de la personne concernée, permettant ainsi de préserver sa base de données.
5. La nouvelle obligation de transmission de la demande aux autres responsables de traitements ultérieurs
Le RGPD renforce le droit à l’oubli. Dorénavant, le responsable du traitement, s’il a diffusé les données personnelles, doit faire suivre la demande de droit à l’oubli de la personne concernée dans les mains des responsables de traitement ultérieurs. Ce nouveau droit de suite trouve sa limite lorsque l’effort supporté par le responsable du traitement est disproportionné.
Nos conseils :
- Prévoir un suivi de toute transmission des données dans un fichier.
- Notifier les évolutions du dossier à la personne concernée lorsqu’elle demande d’exercer son droit à l’oubli envers des responsables de traitements ultérieurs.
- Choisissez judicieusement vos partenaires.
- Si vous êtes un sous-traitant, adopter une procédure régulière de traitement des demandes concernant le droit de suite.