Le droit à l’oubli : définition et exemples
Le Règlement général européen sur la protection des données (RGPD) s’articule autour du « droit à l’oubli numérique ». Le principe fondamental sous-jacent est la protection des personnes dont les données sont traitées en ligne ou autrement. Le droit à l’oubli permet la suppression de données numériques à caractère personnel sous certaines conditions.
Le droit à l’oubli, c’est quoi ?
Le « droit à l’oubli numérique » est l’un des instruments essentiels mis à la disposition des consommateurs pour protéger leurs données personnelles et leur vie privée. Il permet aux personnes concernées de demander l’effacement des données numériques à caractère personnel de manière permanente auprès des entreprises ou de la personne responsable. Peu importe si les entreprises collectent, stockent ou rendent simplement les données accessibles au public.
Comment le droit à l’oubli selon le RGPD a-t-il vu le jour ?
La directive RGPD trouve son origine dans l’« affaire Google » ou l’« affaire Google Spain », qui a donné lieu au jugement adopté par la Cour de justice européenne le 13 mai 2014. Le jugement s’appuie sur le fait que les personnes concernées peuvent, sous certaines conditions, exiger l’effacement de liens qui font référence à des renseignements périmés ou non pertinents sur les personnes concernées. Dans l’arrêt de la CJUE, l’obligation d’effacement des données personnelles sur demande fait référence aux moteurs de recherche qui rendent les données à caractère personnel accessibles au public. De plus, l’arrêt vise essentiellement les personnes privées, mais souligne que les droits des personnes concernées doivent être soupesés par rapport au droit à l’information quand il s’agit d’effacer des informations concernant des personnes publiques ou contenues dans des archives de presse.
Quel est le cadre de définition du droit à l’oubli ?
L’« arrêt Google » a marqué l’application par la CJUE de directives européennes existantes en matière de protection des données, qui ont adopté une forme concrète en 2016 dans le cadre du Règlement général sur la protection des données européen, mieux connu sous le nom de RGPD. On y trouve le droit à l’oubli dans l’article 17 sous l’intitulé « droit à l’effacement » ; le « droit à l’oubli » y figure comme un ajout entre parenthèses. En France, le « droit au déréférencement » trouvait d’ores et déjà une expression dans la loi du 6 janvier 1978 dite « Informatique et Libertés » avec le « droit d’opposition » qu’elle instaurait. Depuis le 1er juin 2019, cette loi nouvellement rédigée comporte les dispositions relatives aux « marges de manœuvre nationales » autorisées par le RGPD et les mesures de transposition en droit français de la directive « police-justice ». Le Conseil d’État a fixé les conditions dans lesquelles doit être respecté le droit au déréférencement sur Internet prévu par le RGPD en France en décembre 2019.
Droit à l’oubli vs droit à l’effacement selon le RGPD
Le droit à l’oubli numérique peut être compris comme une extension du droit d’effacement dans le RGPD. L’article 17 du RGPD réglemente ainsi principalement les obligations d’effacement des responsables en charge du traitement direct ou de la publication des données à caractère personnel. Il s’agit, par exemple, des éditeurs de presse ou des entreprises qui traitent directement et mémorisent les données des individus. Si les conditions préalables à l’effacement sont remplies, les personnes responsables doivent, de manière démontrable et sans délai, supprimer les liens ou les enregistrements de données correspondants sur demande.
Le droit à l’oubli est spécifiquement mentionné au paragraphe 2 de l’article 17 du RGPD, et se rapporte également aux tiers qui ne collectent pas eux-mêmes de données personnelles, mais qui, comme Google ou d’autres moteurs de recherche, les rendent accessibles au public. Les personnes concernées peuvent non seulement demander directement l’effacement des données auprès du responsable, mais aussi exiger l’effacement ou la suppression de données personnelles auprès de tiers.
Quelles sont les conditions préalables au droit à l’oubli numérique ?
Il convient de respecter des exigences spécifiques quand il s’agit de faire effacer des données par des responsables et des tiers concernés. En voici quelques-unes :
- Il n’est plus nécessaire de stocker ni de rendre accessibles les données personnelles en ce qui concerne les objectifs initiaux de la collecte et du traitement des données.
- Les personnes concernées ont révoqué leur consentement au traitement et au stockage de leurs propres données.
- Il n’existe pas d’autre base juridique ni de base juridique principale pour le stockage des données.
- La collecte et le traitement des données personnelles ont eu lieu sans fondement juridique et/ou consentement.
- Les responsables sont soumis à l’obligation légale en vertu du RGPD de respecter le droit à l’effacement et le droit à l’oubli numérique.
- Les données personnelles concernent des mineurs et ont été recueillies pour des services en ligne et des offres Internet.
Si les personnes concernées peuvent prouver le bien-fondé de leur réclamation, les sociétés responsables et les tiers doivent mettre en œuvre l’effacement « sans délai injustifié » et de manière immédiate. En règle générale, les responsables doivent informer les personnes concernées dans un délai d’un mois après soumission de la demande de l’application des mesures prises ou des motifs possibles de rejet.
Exemple de cas pour l’application du droit à l’oubli numérique
Le droit à l’oubli est un instrument majeur pour protéger la réputation, l’image et la vie privée des personnes et des entreprises. En pratique, ceci peut trouver une application quand des moteurs de recherche comme Google sont toujours en mesure de trouver des informations sur l’insolvabilité, une condamnation ou des actions « embarrassantes » après 10 ou 20 ans. La réinsertion des personnes condamnées joue également un rôle important ici, surtout dans le cas d’actes répréhensibles mineurs. En appliquant la loi sur l’effacement des données, les personnes et les entreprises protègent non seulement leurs propres droits personnels, mais également leurs opportunités de carrière, ainsi que leur image professionnelle et celle de l’entreprise.
Comment les données personnelles sont-elles effacées ou supprimées ?
Une méthode claire pour effectuer l’effacement n’est pas préconisée par le RGPD. Il est toutefois essentiel ici de pratiquer l’effacement de manière démontrable et immédiate. Les méthodes possibles sont les suivantes :
- la destruction et l’élimination conformes des supports physiques par des experts
- l’écrasement correct des emplacements de mémoire concernés, qui peut entraîner de manière démontrable la suppression et l’inutilisation des enregistrements de données
- l’effacement des liens, des raccourcis, des entrées et termes de recherche, et des codages correspondants
- le déréférencement et la suppression des algorithmes de moteur de recherche
Quelles sont les dérogations au droit à l’oubli ?
L’effacement des données personnelles sur demande doit être contrebalancé, selon le cas, avec l’obligation de conservation et la liberté d’information. Bien que le RGPD accorde aux particuliers le droit à plus de confidentialité, des conditions et des exceptions spécifiques garantissent que les données critiques ne peuvent pas être simplement supprimées si elles sont encore assujetties à l’obligation de conservation ou présentent un intérêt public, médical, fiscal ou un enjeu de sécurité. Lorsque des obligations de conservation prolongée s’appliquent, il convient toutefois de noter que les données personnelles qui ne sont plus traitées, mais qui doivent encore être conservées, sont soumises à une meilleure protection contre les accès.
Vue d’ensemble des dérogations concrètes au droit à l’oubli
- Les données personnelles sont toujours nécessaires à des fins démontrables de traitement des données.
- Les personnes concernées ont consenti au traitement des données encore nécessaire.
- Le droit à la liberté d’expression et à la liberté d’information l’emporte sur le droit à l’effacement et à l’oubli.
- Les données sont encore nécessaires au respect des obligations publiques et juridiques des sociétés ou des personnes.
- Le traitement des données est exercé dans le cadre de l’intérêt public.
- Le traitement des données est exercé dans le cadre de l’archivage, de la recherche ou de la collecte statistique de données d’intérêt public.
- Les données jouent un rôle démontrable pour les réclamations juridiques.
Selon le cas, les exceptions au droit à l’oubli peuvent être caduques si un droit à l’effacement peut être appliqué après le délai de prescription correspondant. Dans la même veine, la jurisprudence dans certains pays de l’Union s’est traduite par une restriction de l’obligation de conservation, dans la mesure où des données non pertinentes et excessives contenues dans ces ensembles ne sont pas nécessairement soumises à l’obligation de stockage. Une exigence de minimisation des données est ainsi formulée, où des données individuelles telles que des informations personnelles sur des noms, des partenaires commerciaux ou des adresses peuvent donc être supprimées des enregistrements en l’absence de motifs spécifiques de conservation.
Comment exercer le droit à l’oubli ?
Pour demander l’effacement et la suppression de vos données, vous devez d’abord confirmer que ces données existent. Le droit d’information stipulé à l’article 15 du RGPD intervient ici. Cela vous permet de demander des informations sur vos données personnelles stockées et traitées auprès des entreprises qui traitent vos données personnelles. Sur la base du droit d’information, les demandes d’effacement et d’oubli peuvent être présentées par écrit ou par courrier électronique aux responsables.
Il n’est pas nécessaire de respecter un modèle prescrit pour formuler la demande correspondante. La procédure doit toutefois toujours être effectuée par écrit afin de pouvoir s’y référer. Vous trouverez ainsi des modèles gratuits auprès de la CNIL. Pour éviter les demandes laborieuses ou les rejets, tenez compte des points suivants : l’identité du demandeur, la référence aux données concernées et la base juridique du droit doivent être clairement précisées dans la demande.
Un site Web professionnel de haute qualité qui répond à toutes les dispositions du RGPD ? L’outil de création de page d’accueil de IONOS vous permet de vous reposer sur un domaine sécurisé, avec une protection des données conforme aux normes SSL et RGPD à la clé.
Invoquer le droit à l’oubli auprès de Google
Des entreprises comme Google ou Facebook proposent leurs propres formulaires Web gratuits que vous pouvez utiliser pour soumettre votre demande. La page d’assistance Google fournit des informations sur le processus de soumission de la demande et les indications requises. Pour supprimer les entrées Google, vous devez, entre autres choses fournir les indications suivantes :
- URL concernées avec le contenu de recherche à supprimer
- preuve de la pertinence des données concernant votre personne et les raisons de leur suppression
- recherches à supprimer qui conduisent au contenu en question (par exemple votre propre nom)
- adresses email qui mènent à des résultats de recherche pertinents
- preuves et contexte démontrant la légitimité de la mise en œuvre de l’effacement et du retrait des contenus
Aucun droit fondamental à la protection de la vie privée et à l’effacement des données
À première vue, le droit à l’oubli numérique peut donner l’impression que les données personnelles ne doivent pas être rendues accessibles contre sa propre volonté. Cependant, si les gens consentent au traitement des données dans leur utilisation quotidienne du numérique, aucun droit général à l’effacement des données n’existe dans un premier temps. Ceci n’est pas seulement justifié par les conditions qui s’appliquent à toute réclamation légale, mais aussi par le fait que tout effacement injustifié peut même être considéré comme une violation de données. C’est particulièrement le cas lorsque des exigences de conservation existent et qu’il s’agit de données sensibles. Dans ce cas, l’effacement injustifié de données motivé par la dissimulation d’activités criminelles de personnes ou d’entreprises publiques.
L’anonymisation des données est-elle suffisante ?
L’anonymisation complète des données peut constituer une alternative à l’effacement. Les données traitées et stockées sont tellement anonymisées par ce biais qu’elles ne peuvent plus être décrites comme des données personnelles à proprement parler. Les directives sur la protection des données conformément au RGPD ne peuvent donc plus s’appliquer directement si les données sont suffisamment rendues anonymes à des fins d’analyse statistique ou de recherche.
Cela s’applique notamment lorsqu’aucune partie n’est en mesure d’établir un lien avec des individus et entre des enregistrements de données associés ou indépendants. Les méthodes d’anonymisation incluent la randomisation, la généralisation et la prévention des liens. Les bases juridiques de l’anonymisation comme alternative à l’effacement sont décrites à l’article 4 du RGPD.
Concevez votre propre boutique en ligne professionnelle avec IONOS et bénéficiez d’une solution de site marchand sur mesure, conforme au RGPD.
Quel rôle joue le droit à l’effacement pour les entreprises ?
Les réglementations européennes en matière de protection des données, telles que le RGPD ou le règlement ePrivacy, jouent un rôle important pour les entreprises en ce qui concerne la protection des données et le droit à l’oubli. Ainsi, le RGPD stipule que les entreprises ne peuvent pas recueillir des données sans discrimination et que le traitement des données ne peut avoir lieu qu’après consentement écrit. Le règlement ePrivacy stipule également que les individus doivent expressément autoriser l’utilisation de cookies et de traceurs sur les sites Web.
Étant donné que le traitement des données personnelles est incontournable dans le marketing en ligne et l’E-commerce, il est conseillé de prendre dès le départ les précautions appropriées pour la protection des données et s’assurer la souveraineté des données . En voici quelques-unes :
- déclaration de protection des données accessible et visible conformément au RGPD sur les sites Web
- outils et stratégies pour l’examen et la mise en œuvre des demandes de suppression de données personnelles
- application conforme au droit de l’obligation de notification concernant les cookies et le suivi
- protection juridique en ce qui concerne le traitement et le transfert des données par les responsables de la protection des données et le service juridique informatique (en particulier, si ces données sont délocalisées aux États-Unis après expiration de l’accord Privacy Shield entre les États-Unis et l’Union européenne.
Veuillez prendre connaissance des mentions légales en vigueur sur cet article.