Dans un arrêt du 13 mai 2014, en cause Google Spain contre AEPD, la Cour de Justice de l Union Européenne s’était prononcée sur le droit des citoyens européens à demander aux moteurs de recherche que certaines informations les concernant soient « désindexées », dans certaines conditions. La Cour précisait notamment que ce « droit à l’oubli » ne valait que pour des informations judiciaires concernant une personne « privée » (par opposition à une personne « publique »). Bien que restreint, ce droit nouvellement consacré avait fait couler beaucoup d’encre et suscité un grand engouement au sein du public.
Ce droit à l’oubli, actuellement uniquement « numérique », est appelé très prochainement à être étendu, par la prise d’effet, le 25 mai prochain, de l’article 17 du RGPD.
Celui-ci précise en effet que la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant.
Nous avons repris ci-dessous quelques questions pratiques relatives à cette nouvelle disposition :
Dans quel cas ce droit à l’oubli ou à l’effacement s’applique-t-il ?
Ce droit à l’effacement n’est certainement pas un droit absolu. L’article 17 du RGPD prévoit six cas dans lesquels la personne concernée pourra demander l’effacement de ses données à caractère personnel :
- lorsque les données à caractère personnel concernées ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière par le responsable du traitement ;
- lorsque la personne concernée retire son consentement au traitement des données et qu’il n’existe pas d’autre fondement juridique justifiant le traitement (tel est par exemple le cas des données sensibles);
- lorsque la personne concernée s’oppose au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou qu’elle s’oppose au traitement nécessaire aux fins d’intérêt légitime poursuivis par le responsable du traitement ou par un tiers, et qu’il n’existe pas de motif légitime impérieux pour le traitement (conformément à l’article 21.1 du RGPD) ; ou lorsque la personne concernée s’oppose au traitement de ses données à des fins de prospection ou de profilage, dans la mesure où celui-ci est lié à une telle prospection (conformément à l’article 21.2 du RGPD) ;
- lorsque les données à caractère personnel ont fait l’objet d’un traitement illicite ;
- lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l Union européenne ou le droit de l’Etat membre auquel le responsable du traitement est soumis ;
- lorsque les données à caractère personnel ont été collectées dans le cadre d’une offre de services de la société de l’information à des enfants (conformément à l’article 8 du RGPD) et qu’elles concernent donc un mineur.
Bien que cette liste soit limitative, il convient toutefois de souligner qu’elle vise un grand nombre de cas. Par ailleurs, le droit d’opposition, cas dans lequel l’effacement peut être demandé (point 3 ci-dessus), est également étendu par le RGPD (« La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur [l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ou des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers], y compris un profilage fondé sur ces [situations] »).
Il convient toutefois de souligner que ce droit à l’effacement ou à l’oubli cèdera le pas dans quelques cas précis, où un intérêt supérieur est en jeu, tel que :
- l'exercice du droit à la liberté d'expression et d'information ;
- le respect d’une obligation légale qui requiert le traitement prévue par le droit de l Union européenne ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- un motif d'intérêt public dans le domaine de la santé publique ;
- des fins archivistiques dans l'intérêt public, des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l’effacement ou à l’oubli est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.
Quelles sont les obligations concrètes du responsable du traitement ?
Lorsque la personne concernée sollicite, dans un des cas visés ci-avant, l’effacement de ses données à caractère personnel, le responsable du traitement est tenu, « dans les meilleurs délais », et en principe dans un délai maximal d’un mois suivant la demande, d’effacer les données à caractère personnel concernées.
Si le responsable du traitement a rendu les données à caractère personnel concernées publiques et qu’il se trouve dans un des cas où il est tenu de procéder à leur effacement, il devra prendre des « mesures raisonnables, y compris d'ordre technique », compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
Conformément au considérant n° 59 du RGPD, si le responsable du traitement n’a pas l’intention de donner suite à une telle demande d’effacement de la personne concernée, il devra motiver son refus.
Pour le bon ordre, l’article 13 du RGPD précise que le responsable du traitement devra désormais notamment indiquer à la personne concernée « la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée », ce qui est également de nature à renforcer l’idée du droit à l’oubli de certaines informations après l’écoulement d’un certain délai.
Quelles sont les sanctions applicables ?
Ces obligations ne sont pas de principe, dès lors que le RGPD permet notamment à chaque autorité de contrôle d’infliger des amendes administratives en cas de non-respect des dispositions qu’il consacre. La hauteur de celle-ci dépend des dispositions violées.
S’agissant des « droits dont bénéficient les personnes concernées », en ce compris le droit à l’effacement ou à l’oubli, le responsable du traitement pourra, en cas de non-respect des règles exposées ci-avant, se voir infliger une amende administrative correspondant au plus élevé des deux montants : soit une amende pouvant aller jusqu’à 20 millions EUR soit, dans le cas d’une entreprise, un montant correspondant à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.
Point d’action
Nous vous conseillons de déjà réfléchir, et le cas échéant d’adapter les processus internes de traitement des données à caractère personnel et de veiller à :
- mettre en place des mécanismes permettant de vérifier que les données à caractère personnel ne sont pas conservées plus qu’il n’est nécessaire dans le cadre d’une « politique de conservation des données »;
- fournir aux personnes concernées des informations claires et les moyens concrets de mettre en œuvre leur droit à l’oubli ou à l’effacement (comme la manière d’introduire la demande auprès du responsable du traitement, par exemple). Ceci peut se faire dans le cadre de l’obligation d’information (en pratique : par une déclaration vie privée ou un avis de confidentialité) ;
- mettre en place un système permettant de contrôler la diffusion des données à caractère personnel auprès d’autres responsables de traitement ;
- mettre en place un règlement interne à l’attention des travailleurs responsables du traitement des données à caractère personnel (département RH, marketing, ...), expliquant les règles et les procédures à suivre lorsque les personnes concernées invoquent le droit à l’effacement.
- mettre en œuvre un processus destiné à permettre au responsable du traitement d’informer, efficacement et dans les délais requis, les autres responsables de traitement de la demande d’effacement introduite par la personne concernée et de veiller à l’effacement effectif des liens vers ces données ou des copies de celles-ci.