Droit à l’oubli RGPD : conseil pour se mettre en conformité

Droit à l’oubli RGPD : conseil pour se mettre en conformité

6 mai 2022 0 Par Thomas

Le règlement général sur la protection des données améliore le droit à l oubli RGPD. La gestion de cette dernière peut être stressante tant pour les petites et moyennes que pour les immenses industries du Web. Cependant, comment se mettre en conformité RGPD face à ce droit ?

Le droit à l’oubli RGPD : qu’est-ce que c’est ?

 

Rappel : la conservation des données personnelles doit être limitée au fil du temps

Le droit à l oubli RGPD s’appuie sur le principe de limitation de la sauvegarde des données. Les règles de protection des données prévoient que les données personnelles doivent être conservées pendant une durée de conservation limitée par rapport à leur finalité. La mise en place d’un processus systématique ou automatique d’effacement des données permet ainsi de délimiter la demande de droit à l’oubli digital. Veuillez lire l’article pour plus d’information.

 

Comment définir le droit à l’oubli RGPD ?

Le droit à l’oubli permet à toute personne concernée par le traitement des données à caractère personnel d’en solliciter le déréférencement et/ou l’effacement, surtout si le responsable de son traitement est un moteur de recherche. Le droit à l’oubli RGPD conformément à la loi informatique peut être pratiqué dans des circonstances extrêmement vastes :

  • le consentement était indispensable au moment de la collecte des données sensibles ;
  • certaines données ne sont plus essentielles selon les finalités pour lesquelles ces dernières ont été collectées ;
  • une personne peut exercer son droit d’opposition « pour des causes tenant à sa condition particulière ». Un délégué à la protection des données doit actuellement montrer l’existence de motifs impérieux et légitimes pour s’y opposer. Cette personne peut exercer le droit à l’oubli à n’importe quel moment dans les cas de profilage et de prospection et le responsable du traitement aura une plus grande responsabilité afin de prouver l’intérêt légitime du traitement ;
  • les données nominatives ont fait l’objet d’un traitement illégal ;
  • elles impliquent un mineur ;
  • la suppression est prévue par l’obligation légale.

Les droits et libertés à l’oubli RGPD prévoient un processus inversé : actuellement le demandeur n’a plus à prouver sa demande, c’est son représentant qui doit trouver la raison de ne pas agréer la mise en place du droit à l’oubli.

 

Conseil pour permettre l’application du droit à l’oubli RGPD

 

Le RGPD a réduit les durées de traitement des demandes personnelles en ce qui concerne l’exercice d’un droit. Le droit à l’oubli ne fait pas exception. Le chargé du traitement doit aviser la réception de la demande en moins d’un mois et considérer la demande dans le délai raisonnable, prévu entre 1 et 3 mois en fonction de la complication du dossier. Le RGPD prévoit un processus numérique qui permet d’exercer le droit de façon entièrement dématérialisée. La démarche peut être écrite, à la demande de la personne concernée, avec un échange classique de courrier en A/R où le frais administratif ne peuvent être appliqués que de manière proportionnée à la réponse apportée et pas à la demande elle-même.

 

Quand doit-on y faire droit ?

 

Les chargés du traitement doivent permettre le droit à l’oubli des personnes concernées lorsqu’ils ne sont pas capables d’apporter l’élément justificatif. Le chargé du traitement doit faire droit à la requête de droit à l’oubli quand les données personnelles viennent du profilage à des buts commerciaux. Pour des raisons impérieuses, c’est possible de nier l’exercice du droit à l’oubli dans le cas de profilage à d’autres buts. Le profilage est actuellement défini par le RGPD comme suit : “Chaque traitement automatisé de données à caractère personnel consiste à estimer les aspects personnels liés à une personne physique, surtout pour prédire ou analyser des aspects en ce qui concerne la productivité au travail de la personne touchée, ses préférences, sa santé, sa situation économique… une fois qu’il produit des valeurs juridiques au sujet de la personne touchée ou qu’il l’affecte de manière similaire de façon significative.”

 

La nouvelle obligation transmet la demande à d’autres gestionnaires ultérieurs

 

Le RGPD améliore le droit à l’oubli. Actuellement, le chargé du traitement, s’il a propagé des données à caractère personnel, doit faire suivre une demande de droit à l’oubli d’une personne concernée entre les mains des responsables du traitement ultérieurs. Les nouveaux droits des personnes de suite sont limités quand l’effort supporté par un responsable de traitement des données personnelles est disproportionné.