Appliquer le droit à l’effacement des données n’est pas si simple !
Le droit à l’effacement des données à caractère personnel est prévu par le RGDP, sous certaines conditions. Il ne s’avère pas si facile à mettre en place dans les entreprises. Son application n’étant pas systématique et les systèmes d’informations devant être remaniés, le défi s’annonce de taille.
Le droit à l’oubli n’est pas une innovation du RGPD
L’article 17 du RDGP dispose que : « La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant ».
Ce droit à l’effacement n’est pas nouveau, la loi Informatique et Liberté parlait déjà de « droit à l’oubli » et la loi pour une République numérique, appliquée dès octobre 2016, le prévoyait également pour les mineurs.
Vient s’ajouter également le droit au déréférencement, introduit par l’affaire « Google Spain ». Un particulier espagnol avait porté en justice son différend avec le géant du référencement car les premiers résultats qui apparaissent lorsque l’on recherchait son nom de famille dans le moteur de recherche faisaient état d’une saisie immobilière pour recouvrement de dettes. Il obtient gain de cause devant la Cour de justice européenne, qui dans la foulée, oblige Google à prévoir une procédure de déréférencement. Mais le droit à l’information pouvait venir contrecarrer le droit au déréférencement.
Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD, le flou juridique est dissipé puisque le droit à l’effacement de ses données personnelles est consacré. Toutes les entreprises, qu’elles soient publiques ou privées, doivent mettre en place une procédure d’effacement des données pour garantir le droit des personnes. Elles ont aussi l’obligation de supprimer les données de tous leurs systèmes d’information dans un délai de 30 jours si les personnes en font la demande. À condition que cette dernière soit légitime.
Le droit à l’effacement n’est pas sans conditions
À l’inverse du droit d’accès aux données personnelles, le droit à l’effacement quant à lui n’est pas systématique et ne s’applique pas dans toutes les situations. Par exemple, si le droit à l’effacement de données personnelles est sollicité dans le cadre de l’exécution d’un contrat alors l’entreprise pourra demander à la personne si elle souhaite résilier le contrat.
Autre exemple, les données personnelles qui revêtent une obligation légale, comme le numéro de sécurité social, obligatoire pour établir la fiche de paie, n’ouvrent pas droit à l’effacement.
De la même manière, le droit à l’effacement ne peut pas s’appliquer pendant les durées légales de conservation de certains documents. Par exemple, une police d’assurance vie doit être stockée pendant 20 après que le contrat ait cessé. Et c’est ainsi que le secteur bancaire, soumis à des réglementations strictes, risque de refuser la quasi-totalité des demandes d’effacement.
Ultime frein au droit à l’effacement, l’article 6 du RGPD, qui concerne la légitimité du traitement. L’entreprise peut très bien l’invoquer pour refuser l’effacement de certaines données personnelles.
Le droit à l’effacement, un défi technique pour l’entreprise
Si une demande d’effacement est faite, l’entreprise devra supprimer les données de tous ses systèmes d’information. Si ce n’est pas un problème pour les entreprises telles que Google, Facebook ou encore Apple, qui disposent de système d’information dit « désignés », pour toutes celles qui au contraire possèdent des SI « silotés », les données sont éparpillées et multipliées sur de nombreux supports et notamment des clouds. Il revient donc aux responsables de la sécurité des systèmes d'information et directeurs des systèmes d'information ou des données de créer un système centralisé et d’assurer la conformité de l’entreprise avec le RGPD.
Autre défi technique, le droit à l’effacement des données personnelles anciennes. Il convient de prévoir une suppression automatique de celles-ci dans un délai donné. Le temps où les entreprises pouvaient stocker indéfiniment les données est révolu, et elles doivent apprendre à opérer un tri régulier.