Qu'est-ce que le droit à l'oubli dans le RGPD?

Mateusz Zimoch
20/10/2022
Pour des raisons évidentes, les consommateurs ne souhaitent pas que les entreprises et les institutions traitent leurs données personnelles indéfiniment. Par exemple, lorsqu'ils résilient un contrat ou cessent de s'abonner à un service spécifique, ils souhaitent généralement que l'entreprise cesse de traiter les informations les concernant. C'est ce qu'on appelle le droit à l'oubli. Que faut-il savoir à ce sujet dans le contexte du RGPD?

Les internautes sont davantage préoccupés par le "droit à l'oubli" depuis l'entrée en vigueur, ces dernières années, de la loi générale sur la protection des données (RGPD). Il est important de comprendre comment fonctionne réellement le "droit à l'oubli".

Le respect du droit à l'oubli peut être compliqué, comme c'est le cas pour toutes les autres parties du RGPD. Il y a des implications à la fois pour la personne concernée et pour l'organisation qui cherche à utiliser des données personnelles ou des informations sensibles sur une personne. Toutes les entreprises de l'Union européenne (UE) doivent connaître les obligations légales découlant du RGPD et comprendre le droit à l'oubli.

Que signifie le droit à l'oubli?

Le droit à l'effacement est l'article 17 du RGPD, bien qu'il soit plus connu sous le nom de droit à l'oubli. Selon l'article 17, une personne a le droit de demander à un responsable du traitement de supprimer toutes ses données à caractère personnel sans délai inutile et sans frais. Cela comprend tous les fichiers ou informations qui peuvent avoir été transférés dans une archive, y compris:

  • Les copies dupliquées
  • Les copies de sauvegarde
  • Les enregistrements de bases de données
  • d'autres formes de données à caractère personnel.

Les termes "responsable du traitement des données" et "sous-traitant des données" sont explicitement expliqués dans le RGPD. La partie légalement responsable de la conservation des données personnelles stockées numériquement est appelée le responsable du traitement. L'organisation qui stocke ou traite les données à caractère personnel, mais qui n'est pas propriétaire des données et n'en a pas le contrôle, est appelée "sous-traitant". En règle générale, un fournisseur de services en nuage est considéré comme un sous-traitant de données dans le contexte du RGPD.

Les données ne peuvent pas être stockées en copie ou rendues accessibles à d'autres fins par le sous-traitant. Par conséquent, le processus de prise de décision ne relève pas de la responsabilité du responsable du traitement des données; il lui incombe plutôt de supprimer les données à caractère personnel, de s'assurer qu'elles ont été supprimées et de mettre en œuvre toutes les procédures nécessaires.

Toutes les entreprises et organisations exerçant des activités dans l'Union européenne doivent être en mesure de respecter le droit à l'effacement prévu par le règlement. Dans le cas contraire, elles s'exposent à des amendes massives.

Suppression des données à caractère personnel

Un citoyen de l'UE a le droit, en vertu du RGPD, de demander à toute entreprise ou institution de supprimer ses données personnelles dans les cas suivants:

  • Les données ne correspondent plus à l'objectif pour lequel elles ont été collectées.
  • Une personne retire sa permission à l'organisation d'utiliser ses données (et s'il n'y a pas d'autre base légale pour la collecte des données par l'organisation).
  • La personne s'oppose à ce que les informations la concernant soient recueillies à des fins de marketing ou lorsque ses droits l'emportent sur les motifs légaux justifiant l'obtention des informations (par exemple, lorsqu'il s'agit d'informations sensibles concernant un enfant).
  • Les données ont été traitées de manière incorrecte.
  • La suppression des données est nécessaire pour répondre à une exigence légale.
  • Les informations ont été échangées contre des "services de la société de l'information" et appartiennent à un enfant.

Exceptions au "droit à l'oubli"

Il existe plusieurs circonstances dans lesquelles une entreprise peut affirmer qu'elle est exemptée de la règle ou qu'il est réellement nécessaire de conserver les données d'une personne. Cependant, les critères d'une telle demande sont ouverts. Les personnes ont la possibilité de demander la suppression de leurs données si elles estiment qu'il n'y a pas de base justifiable pour qu'une entreprise traite leurs données, si elles s'opposent au traitement, ou si elles retirent simplement leur autorisation pour le traitement.

Vidéosurveillance et CCTV dans le cadre du RGPD

Les informations concernant une personne physique et permettant de l'identifier sont appelées "données à caractère personnel". Par conséquent, les images vidéo peuvent être considérées comme des données à caractère personnel. Les systèmes commerciaux de vidéosurveillance sont un exemple de la manière dont les entreprises utilisent les images vidéo d'une personne pour traiter des données à caractère personnel.

Les personnes concernées sont celles qui sont surveillées. Elles ont le droit d'obtenir des données les concernant. Le responsable du traitement doit répondre si elles décident d'exercer leurs droits en tant que personnes concernées. Tous les droits prévus par le RGPD s'appliquent aux personnes concernées. Mais lorsqu'il s'agit de vidéosurveillance, une attention particulière doit être accordée aux droits d'accès, de suppression et d'opposition. Vous pouvez vous protéger si vous avez fait l'objet d'une vidéosurveillance en introduisant une demande en ce sens.

Toute entreprise ou personne gérant un système de surveillance est considérée comme un responsable du traitement des données et, à ce titre, a des obligations légales. Votre entreprise doit être prête à justifier la collecte et l'utilisation de données à caractère personnel par le biais d'un système de vidéosurveillance en tant que responsable du traitement des données.

Par conséquent, votre entreprise doit vérifier comment elle utilise l'équipement de vidéosurveillance lorsqu'il s'agit de se conformer aux dispositions du RGPD. Parfois, l'anonymisation des vidéos sera nécessaire.

Si vous traitez des vidéos et des images contenant des données personnelles (visages, plaques d'immatriculation) et que vous devez les rendre anonymes, vous pouvez le faire facilement en utilisant notre plateforme .

Conclusion

Le droit à l'oubli est une notion juridique récente qui a des conséquences importantes sur la vie privée, la liberté d'expression et la réglementation de l'internet. Les entreprises doivent être conscientes que le droit à l'effacement ne donne pas un "droit à l'oubli" absolu lorsqu'elles reçoivent des demandes de droit à l'oubli. En d'autres termes, vous n'êtes pas obligé de supprimer les données si elles ont une utilisation valable ou si vous avez une raison importante de les conserver dans vos dossiers.

En savoir plus sur le droit à l'oubli: https://www.techtarget.com/searchcontentmanagement/definition/The-right-to-be-forgotten
https://www.itpro.co.uk/general-data-protection-regulation-gdpr/what-is-the-right-to-be-forgotten
https://www.ocucon.com/blog/are-you-gdpr-ready