Article 17 : Droit à l’effacement (droit à l’oubli)

Sommaire :

Comprendre l’article 17

Parmi les droits des personnes concernées, on retrouve le droit à l’effacement,  autrement appelé droit à l’oubli, qui permet à la personne concernée d’obtenir la suppression de ses données personnels dans plusieurs cas de figures : 

  • les données ne sont plus nécessaire aux finalités énoncées 
  • la personne concernée retire son consentement alors que le traitement est fondée sur la base juridique du consentement 
  • la personne s’oppose et le traitement n’a pas de motif d’intérêt légitime 
  • le traitement est illicite 
  • il s’agit d’une obligation légale prévue par le droit de l’Union ou d’un Etat membre 
  • les données ont été collectées dans le cadre de l’offre des services de la société de l’information

À compter de la réception de la demande, le responsable de traitement est tenu d’y répondre dans un délai raisonnable et d’informer de l’existence de cette demande les autres responsables de traitement impliqués. 

Il existe certaines exceptions ne permettant pas à la personne concernée de demander l’effacement de ses données : 

– si le traitement est relatif à l’’exercice du droit à la liberté d’expression et d’information;

– si le traitement est effectuer pour respecter une obligation légale prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

– si le traitement est réalisé pour des motifs d’intérêt public dans le domaine de la santé publique ou à des fins archivistiques 

– si le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 17 du RGPD

  1.  La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

    a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

    b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

    c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

    d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

    e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

    f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

    2.  Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

    3.  Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

    a) à l’exercice du droit à la liberté d’expression et d’information;

    b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

    c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;

    d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

    e) à la constatation, à l’exercice ou à la défense de droits en justice.

Jurisprudence

3 décisions ont été rendues sur le fondement de cet article : 

Amende de 500 000€ pour Brico Privé 

Brico Privé : La société Brico Privé fut condamnée à une amende de 500 000€ par la CNIL en juin 2021.  La CNIL a en effet constaté que lors d’une demande de suppression des données, la société se contentait de désactiver le compte de l’utilisateur, mais gardait ses données dans sa base de données. Cette pratique n’est pas considérée comme conforme avec le droit à l’effacement, qui implique la suppression stricte des données. (Délibération SAN-2021-008 du 14 juin 2021 – Légifrance )

Amende de 2 250 000€ pour Carrefour France

Carrefour France : Le groupe français est condamné par l’autorité de contrôle pour plusieurs manquements à une amende de 2 250 000€. Dans sa délibération du 18 novembre 2020, la CNIL évoque notamment la non-suppression malgré les demandes des personnes concernées des données personnelles de ces derniers, en dehors de toute exception fondée. (Délibération du 18 novembre 2020 – Légifrance )

3000€ d’amende pour la SNAF 

SNAF : La société nationale des annuaires français est condamnée en 2021 par la CNIL pour manquement à l’article 17. En effet, la société n’a pas su procéder à la suppression des données malgré les demandes des personnes concernées. La CNIL condamne la société à une amende de 3000€. (Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance)

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Il n’est pas toujours simple de s’y retrouver dans la jungle des professions juridiques. Conscient de ce problème, nous avons créé Monexpertdudroit.com pour vous aider à trouver professionnel du droit dont vous avez besoin.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.