Lexique > Droit à l’effacement

Lexique IT

Droit à l’effacement

Le droit à l’effacement de données à caractère personnel constitue l’un des sept droits dont disposent les personnes concernées sur leurs données à caractère personnel, consacrés par le RGPD, à savoir :

Au titre du droit à l’effacement, la personne concernée peut requérir du responsable du traitement l’effacement, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande, de données à caractère personnel la concernant traitées par ce dernier.

Ce droit n’est toutefois pas absolu. La personne concernée ne peut en effet le solliciter que lorsque :

  • Ses données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  • La personne concernée retire le consentement sur lequel est fondé le traitement, et qu’il n’existe pas d’autre fondement juridique ;
  • La personne concernée exerce son droit d’opposition au traitement, et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
  • Ses données à caractère personnel ont fait l’objet d’un traitement illicite ;
  • Une obligation légale le prévoit ;
  • Ses données ont été collectées dans le cadre de l’offre de services de la société de l’information.

En outre, lorsque le responsable du traitement a rendu les données à caractère personnel publiques, et qu’il est tenu de les effacer, il doit, compte tenu des technologies disponibles et des coûts de mise en œuvre, prendre des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci mais également de toute copie ou reproduction.

Enfin, l’exercice du droit à l’effacement peut être refusé par le responsable du traitement lorsque les données à caractère personnel traitées sont nécessaires :

  • A l’exercice du droit à la liberté d’expression et d’information ;
  • Pour respecter une obligation légale ou pour exécuter une mission d’intérêt public ;
  • Pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique, historique ou statistiques ;
  • A la constatation, à l’exercice ou à la défense de droits en justice.

Point RGPD

« Des modalités devraient être prévues pour faciliter l’exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l’objet d’un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d’un mois et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes. » 

Considérant 59 du RGPD

Point jurisprudence

La CNIL a pu lourdement sanctionner une société au motif « que la plaignante n’a reçu aucune réponse de la société concernant l’effacement de ses données qu’elle avait requis de la société.

Or, dès lors que la Commission considère que le traitement mis en œuvre ne peut reposer sur aucune base légale valide au regard de la réglementation européenne, l’effacement était de droit.

Ce fait constitue un manquement à l’article 17 du Règlement. »

CNIL, 26 novembre 2021, N°MED-2021-134

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.