Le Règlement Général sur la Protection des Données (RGPD) a marqué un tournant dans la manière dont les données personnelles sont traitées et protégées au sein de l’Union européenne. Parmi les droits fondamentaux qu’il confère aux individus, le droit de suppression occupe une place prépondérante. Ce droit permet aux personnes de demander la suppression de leurs données personnelles sous certaines conditions. Toutefois, la mise en œuvre de ce droit est nuancée.
Qu’est-ce que le droit de suppression selon le RGPD ?
Le droit de suppression est un principe clé du RGPD qui permet aux individus de demander à ce que leurs données personnelles soient effacées par l’organisation détenant ces informations.
Article 17 – Droit à l’effacement
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsqu’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
Les organisations sont tenues de répondre aux demandes de suppression dans un délai de 30 jours après réception (ce délai peut être prolongé de deux mois supplémentaires si la demande s’avère complexe ou si l’organisation reçoit un grand nombre de demandes).
Les exceptions au droit de suppression
Bien que ce droit soit un pilier du RGPD, il existe donc des situations où les organisations sont autorisées, voire obligées, de conserver les données personnelles malgré une demande de suppression.
Il s’agit finalement des situations opposées aux motifs pour lesquels il doit être procédé à la suppression des données :
- contrat en cours : si les données personnelles sont nécessaires à l’exécution d’un contrat auquel la personne concernée est partie, la suppression ne peut avoir lieu avant la fin du contrat ;
- obligations légales : lorsqu’une loi impose la conservation des données personnelles pour une période déterminée, les organisations doivent s’y conformer – un organisme ne pourra pas justifier l’absence de données dont la conservation est rendue obligatoire par le respect d’une demande de suppression ayant portée sur les données ;
- litiges et défenses juridiques : si les données personnelles sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice, leur suppression peut être différée – il est ainsi assez fréquent que des données dont l’utilité opérationnelle est passée soient conservées durant les délais de recours légaux ;
- l’intérêt public, la recherche scientifique ou historique, la réalisation de statistiques : des exceptions existent également pour le traitement nécessaire à l’exécution d’une mission d’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, dans le respect de certaines conditions prévues par le RGPD – les données seront alors conservées pour des durées étendues, voire indéfinies.
Mettre en place une politique de gestion des demandes de suppression
Pour assurer leur conformité au RGPD, les organisations doivent établir des procédures claires pour traiter efficacement les demandes de droit de suppression. Cela inclut la mise en place d’un registre des demandes, la vérification de l’identité des demandeurs, et la prise en compte des exceptions légales.
Vous souhaitez approfondir vos connaissances sur le RGPD ou avez besoin d’assistance pour optimiser la gestion des données au sein de votre organisation ? Notre équipe d’experts est là pour vous aider. Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.