Il y a presque deux ans maintenant, la Cour de Justice de l’Union européenne consacrait l’existence d’un « droit à l’oubli numérique » ou, plus précisément, la possibilité pour les citoyens de demander aux moteurs de recherche, sous certaines conditions, la désindexation d’informations les concernant. La société Google a ensuite mis en ligne un formulaire permettant aux internautes d’introduire des demandes de désindexation. Rapidement, Google s’est trouvée face à des milliers de demandes dont le délai de traitement et l’issue restent incertains
Avec l’entrée en vigueur le 25 mai 2018 du nouveau règlement général 2016/679 sur la protection des données (RGPD), les citoyens pourront désormais exercer un « droit à l’oubli numérique » directement auprès de la ou des personnes qui traite(nt) leurs données. En effet, le règlement voué à remplacer la directive 95/46 en matière de protection des données à caractère personnel consacre le droit pour une personne d’obtenir l’effacement de ses données directement auprès du responsable du traitement. Le règlement va donc au-delà du droit au déréférencement consacré par la Cour de Justice.
La personne concernée pourra prétendre au droit à l’effacement de ses données dès qu’un des motifs suivants se présentera :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées par le responsable de traitement ;
- La personne souhaite retirer son consentement et il n’existe pas d’autre fondement juridique à ce traitement ;
- La personne concernée s’oppose au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable ou s’oppose au traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
- La personne concernée s’oppose au traitement de ses données à des fins de prospection (en ce compris le profilage) ;
- Les données ont fait l’objet d’un traitement illicite ;
- Les données doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
- Les données ont été collectées dans le cadre d’une offre de services de la société de l’information à des enfants.
Lorsqu’une telle demande est formulée, le responsable de traitement devra, dans les meilleurs délais et au plus tard dans le mois de la demande, prendre les mesures raisonnables en vue d’effacer tout lien vers ces données ainsi que toute copie ou reproduction existantes de celles-ci. Dans l’hypothèse où le responsable n’entendrait pas faire droit à une telle demande, il devra motiver son refus auprès de la personne concernée. Enfin, si les données ont été rendues publiques par le responsable de traitement, ce dernier devra informer les responsables de traitement qui traitent ces données de la demande d’effacement.
Face à ce nouveau règlement, les entreprises amenées à traiter des données à caractère personnel veilleront à mettre en place des mécanismes permettant de vérifier que les données ne sont pas conservées plus longtemps que nécessaire au vu des finalités annoncées. Elles devront également fournir aux personnes concernées les moyens de présenter leur demande d’effacement, y compris par voie électronique si le traitement était effectué électroniquement.
Enfin, il s’agira de répondre adéquatement à ces demandes dans le délai imparti, et de relayer ces demandes auprès des autres responsables de traitement auxquels les données auront été transmises. De telles démarches nécessitent, en amont, un travail de contrôle de la diffusion éventuelle de données à caractère personnel. À défaut, il sera matériellement impossible pour le responsable du traitement de relayer les demandes d’effacement auprès des responsables de traitements ultérieurs, qui s’exposera dès lors à de sévères amendes (pouvant s’élever pour rappel jusqu’à 20 000 000 EUR ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent).
Notre conseil :
La mise en place de procédures claires, transparentes et documentées de gestion des données s’avère donc indispensables afin de pouvoir se conformer à cette obligation. Les responsables de traitements seront avisés de procéder sans tarder à l’évaluation de leurs processus internes de traitement de l’information afin de valider et, le cas échéant, adapter les procédures en vue de prévenir toute difficulté ultérieure dans la mise en œuvre du nouveau règlement.