Expert du droit > RGPD > Article 17 du RGPD : Droit à l’effacement (droit à l’oubli)

Article 17 du RGPD : Droit à l’effacement (droit à l’oubli)

Comprendre l’article 17

Parmi les droits des personnes concernées prévus par le RGPD, on retrouve le droit à l’effacement, qui concourt au droit à l’oubli, permettant à la personne concernée d’obtenir la suppression de ses données personnelles dans plusieurs cas de figures :

les données ne sont plus nécessaire aux finalités énoncées
la personne concernée retire son consentement alors que le traitement est fondé sur la base juridique du consentement
la personne s’oppose et le traitement n’a pas de motif d’intérêt légitime
le traitement est illicite
il s’agit d’une obligation légale prévue par le droit de l’Union ou d’un Etat membre
les données ont été collectées dans le cadre de l’offre des services de la société de l’information

À compter de la réception de la demande, le responsable de traitement est tenu d’y répondre dans un délai raisonnable et d’informer de l’existence de cette demande les autres responsables de traitement impliqués.

Il existe certaines exceptions ne permettant pas à la personne concernée de demander l’effacement de ses données :

– si le traitement est relatif à l’’exercice du droit à la liberté d’expression et d’information;

– si le traitement est effectuer pour respecter une obligation légale prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

– si le traitement est réalisé pour des motifs d’intérêt public dans le domaine de la santé publique ou à des fins archivistiques

– si le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Trouver un DPO

Vous êtes à la recherche d'un "Data protection officer" ?

Cliquez ici

Article 17 du RGPD

La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:
a) à l’exercice du droit à la liberté d’expression et d’information;
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;
d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou
e) à la constatation, à l’exercice ou à la défense de droits en justice.

Jurisprudence

3 décisions ont été rendues sur le fondement de cet article :

Amende de 500 000€ pour Brico Privé

Brico Privé : La société Brico Privé fut condamnée à une amende de 500 000€ par la CNIL en juin 2021. La CNIL a en effet constaté que lors d’une demande de suppression des données, la société se contentait de désactiver le compte de l’utilisateur, mais gardait ses données dans sa base de données. Cette pratique n’est pas considérée comme conforme avec le droit à l’effacement, qui implique la suppression stricte des données. (Délibération SAN-2021-008 du 14 juin 2021 – Légifrance )

Amende de 2 250 000€ pour Carrefour France

Carrefour France : Le groupe français est condamné par l’autorité de contrôle pour plusieurs manquements à une amende de 2 250 000€. Dans sa délibération du 18 novembre 2020, la CNIL évoque notamment la non-suppression malgré les demandes des personnes concernées des données personnelles de ces derniers, en dehors de toute exception fondée. (Délibération du 18 novembre 2020 – Légifrance )

3000€ d’amende pour la SNAF

SNAF : La société nationale des annuaires français est condamnée en 2021 par la CNIL pour manquement à l’article 17. En effet, la société n’a pas su procéder à la suppression des données malgré les demandes des personnes concernées. La CNIL condamne la société à une amende de 3000€. (Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance)

👉 Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

La procédure ordinaire

Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

La procédure simplifiée

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce