Le droit à l’oubli : dans quels cas s’applique-t-il et comment le traiter ?

  • Accueil
  • >
  • Blog
  • >
  • Le droit à l’oubli : dans quels cas s’applique-t-il et comment le traiter ?

Le RGPD accorde aux citoyens européens un droit à l’effacement de leurs données personnelles (consulter l'article 17 du règlement).
Plus connu sous l'expression de "droit à l'oubli", ce droit phare de la nouvelle réglementation n'est pas inconditionnel. S’il s'applique dans certains cas de figure précis, il est écarté dans d’autres.

Droit à l'oubli RGPD

Les situations dans lesquelles une personne peut demander l'exercice du droit d'effacement de ses données personnelles :

  • Ses données ne sont pas ou plus nécessaires au regard des finalités pour lesquelles elles ont été initialement collectées ou traitées.
  • Elle souhaite retirer son consentement initialement donné.
  • Ses données sont utilisées à des fins de prospection.
  • Ses données ont été collectées lorsque elle était mineure (sur un blog, forum, réseau social, site web…).
  • Ses données doivent être effacées pour respecter une obligation légale.
  • Ses données ont fait l’objet d’un traitement illicite.
  • Elle s'est opposée au traitement de ses données et le responsable du fichier n’a pas de motif légitime de s'y opposer.

--> Le but est de lui donner le droit de demander et d'obtenir l’effacement de ses données personnelles s’il n’y a plus de raison valable de les conserver.

L'effacement des données personnelles

Les cas dans lesquels le droit à l'effacement ne s'applique pas  :

Le droit à l’effacement est en revanche écarté s’il va à l'encontre :

  • de l’exercice du droit à la liberté d’expression et d’information ;
  • du respect d’une obligation légale (exemple : 10 ans pour la conservation de documents comptables) ;
  • de l’utilisation de données si elles concernent un intérêt public dans le domaine de la santé ;
  • de leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • de la constatation, de l’exercice ou de la défense de droits en justice.

--> Le délai légal de traitement d'une demande d’effacement des données personnelles est de 30 jours.

30 jours, la durée légale de traitement d'une demande d'effacement de données personnelles

Que vous soyez une organisation publique ou privée, vous devez être en mesure de garantir aux personnes qui en font la demande que leurs données ont bien été supprimées définitivement de l’ensemble de vos systèmes.

Exemple d’une demande légitime de droit à l’oubli :

Une personne inscrite à votre newsletter souhaite se désabonner et demande à ce que ses données soient effacées ? Cette demande est légitime.

Vous devez :

  • historiser les actions consécutives à sa demande 
  • placer ses données personnelles dans une liste d’opposition
  • traiter et répondre à sa demande dans un délai de 30 jours
  • être capable de justifier ce traitement en cas de contrôle

Vous souhaitez vous mettre en conformité et gérer facilement le droit à l'oubli des personnes pour lesquelles vous gérez des données personnelles ?
Net Hélium vous propose une solution clé en main :
1/ permettant à vos contacts d'exercer leurs droits
2/ vous permettant de gérer facilement ces demandes et de pouvoir justifier vos traitements.

Pour en savoir plus sur cette offre, contactez-nous !

D'autres ressources sur le sujet