Droit à l'effacement : comment les entreprises doivent-elles répondre aux demandes de suppression de données ?

Une donnée personnelle « est une information se rapportant à une personne physique identifiée ou identifiable », comme son nom, son prénom, son numéro de sécurité sociale, son adresse, son numéro de téléphone, son adresse mail, sa photo, son empreinte, sa donnée de géolocalisation, son adresse IP ou son identifiant en ligne, comme le précise la Direction de l’information légale et administrative.

Souvent appelé « droit à l’oubli », le droit à l’effacement est inscrit dans l’article 17 du RGPD et permet à toute personne de demander la suppression de ses données personnelles détenues par une entreprise. Le responsable de traitement doit répondre à cette demande « dans les meilleurs délais ».

Dans quels cas le droit à l’effacement s’applique-t-il ?

Lorsqu’une personne en fait la demande, le responsable de traitement doit procéder à l’effacement des données personnelles quand l’une des situations suivantes se présente :

les données ne sont plus nécessaires pour les finalités qui ont justifié leur collecte ou leur traitement initial ;
la personne retire son consentement qui fondait le traitement, et aucune autre base légale ne justifie le maintien de ce traitement (par exemple, l’exécution d’un contrat) ;
la personne s’oppose au traitement de ses données et il n’existe pas de motif légitime pour poursuivre le traitement ;
les données ont fait l’objet d’un traitement illicite (par exemple, le consentement requis n’a pas été recueilli) ;
l’effacement s’impose pour respecter une obligation légale prévue par le droit de l’Union européenne ou le droit national.

Le responsable du traitement doit procéder à l’effacement de ces données dans les meilleurs délais (au plus tard dans un délai d’un mois, porté à 3 en cas de demande complexe). Dans ce cas, le responsable de traitement doit informer la personne ayant fait la demande d’effacement des raisons de la prolongation.

Les entreprises ne respectant pas le droit à l’effacement s’exposent à des sanctions. Pour traiter efficacement ces demandes, les entreprises doivent mettre en place des procédures internes, telles que :

la formation des équipes aux obligations du RGPD ;

la mise en place d’un processus de réception et de traitement des demandes ;
l’identification des données concernées et de leur localisation dans les systèmes d’information.

Les entreprises doivent également veiller à informer leurs sous-traitants des demandes d’effacement lorsque ces derniers traitent les données concernées pour leur compte.

Les trois points clés à retenir

Le droit à l’effacement est prévu à l’article 17 du RGPD et s’applique dans certains cas précis.
Le responsable de traitement doit y répondre dans les meilleurs délais, au plus tard un mois après la demande (qui peut être porté à 3 mois en cas de demande complexe).
Le non-respect de ce droit expose les entreprises à des sanctions et nécessite la mise en place de procédures internes efficaces de traitement de ces demandes.