Comment répondre à une demande de droit à l'effacement au titre du RGPD

Vous avez reçu une demande d'effacement et vous vous demandez maintenant ce qu'elle signifie et ce que vous devez faire. Ou bien vous voulez en savoir plus parce que vous savez que les entreprises reçoivent de plus en plus de demandes de ce type de la part d'utilisateurs aléatoires sur Internet. Quelle que soit la situation dans laquelle vous vous trouvez, à la fin de cet article, vous saurez ce qu'il faut faire.

Le règlement général sur la protection des données (RGPD) de l'Union européenne a doté les internautes de droits individuels pour défendre la confidentialité de leurs données. Ces droits ont également été intégrés dans les lois nationales - le Royaume-Uni a adopté la loi sur la protection des données de 2018 et le RGPD britannique, le Danemark a adopté sa propre loi sur la protection des données, et ainsi de suite.

La sensibilisation autour de la confidentialité des données personnelles a augmenté ces dernières années, et par conséquent, le nombre de demandes des personnes concernées a également augmenté de façon constante. De nombreuses entreprises reçoivent ces demandes et doivent apprendre à les traiter.

Dans cet article, nous allons plonger en profondeur dans ce qui suit:

• Qu'est-ce que le "droit à l'effacement" du RGPD?
• Quand êtes-vous obligé de donner suite à une demande d'effacement?
• Quelles sont les exemptions au droit à l'effacement?
• Pouvez-vous refuser de répondre pour d'autres raisons?
• Comment répondre aux demandes d'effacement?
• Que se passe-t-il si vous ne répondez pas à une demande d'effacement?
• Comment garantir une réponse légale et rapide aux demandes d'effacement au titre du RGPD?
  

Qu'est-ce que le "droit à l'effacement" prévu par le RGPD?

Le droit à l'effacement du RGPD donne aux individus le droit de demander l'effacement de tout ou partie de leurs données personnelles que vous traitez. Il est largement connu sous le nom de "droit à l'oubli".

Le droit à l'oubli fait partie des droits des personnes concernées par le RGPD, qui comprennent également le droit d'accès, le droit de rectification, le droit d'opposition, le droit d'opposition à la prise de décision et au profilage automatisés, le droit à la portabilité des données, et plus encore.

Ce droit est défini par l'article 17 et les considérants 65 et 66 du RGPD.

Il s'applique uniquement aux informations personnelles que vous détenez au moment de la demande, et lorsqu'un utilisateur vous demande d'effacer ses données, vous devez vous y conformer dans la plupart des situations.

Contrairement à certains droits individuels prévus par le RGPD, le droit à l'effacement n'est pas un droit absolu, ce qui signifie qu'il y a des situations où vous devez vous conformer aux demandes, mais il existe des exceptions à la règle où vous n'avez pas à vous y conformer.

Quand êtes-vous obligé de vous conformer à une demande d'effacement ?

Vous devez répondre et vous conformer à une demande d'effacement chaque fois qu'aucune exemption ne s'applique, et c'est le cas dans la plupart des situations auxquelles vous serez confronté.

N'oubliez pas que les exemptions s'appliquent dans de rares cas et que la règle générale existe pour une bonne raison.

L'article 17, paragraphe 1, du RGPD stipule que vous devez honorer une demande d'effacement de données lorsque:

• Vous n'avez pas besoin de traiter les données personnelles aux fins pour lesquelles elles ont été collectées. Disons que vous avez collecté l'email d'un utilisateur pour lui envoyer un PDF gratuit, mais qu'il n'a pas consenti à ce que des documents marketing lui soient envoyés. La personne concernée soumet une demande d'effacement des données, affirmant que vous n'avez plus besoin de ces données, et elle a raison. Vous devez supprimer les données immédiatement.
• La personne concernée retire son consentement au traitement de ses données. Lorsque vous vous appuyez sur le consentement de l'utilisateur pour le traitement des données, vous pouvez le traiter tant qu'il est d'accord. S'il retire son consentement, vous ne pouvez plus traiter les données, mais cela ne vous oblige pas à les supprimer immédiatement. Mais si elle change d'avis et vous demande de supprimer les informations, vous n'avez pas d'autre choix que de le faire.
• La personne concernée s'oppose au traitement de ses données, et vous n'avez pas d'intérêt légitime prépondérant. Les utilisateurs peuvent s'opposer à votre traitement à tout moment, et vous devez répondre à cette demande. En outre, ils peuvent demander l'effacement de leurs données. Vous devez éliminer les informations, sauf si vos droits et libertés sont plus importants que les leurs.
• La personne demande l'effacement de ses données personnelles traitées à des fins de marketing direct. Une agence de surveillance belge a infligé une amende de 1 000 euros à une organisation sans but lucratif parce qu'elle n'a pas donné suite aux demandes de personnes souhaitant ne plus recevoir de messages de marketing direct ou être retirées de leur liste. Vos intérêts légitimes vous permettent de faire du marketing direct, mais seulement jusqu'à ce que quelqu'un vous demande d'arrêter ou de supprimer ses informations.
• Les données personnelles ont été traitées illégalement. Le traitement illégal des données peut se faire de nombreuses façons, par exemple en l'absence de consentement valable, d'une autre base juridique, d'une politique de confidentialité et de cookies conforme, d'une politique de conservation, etc. Si le responsable du traitement des données traite des données personnelles de manière illégale, il doit répondre à la demande d'effacement de la personne concernée - sans poser de questions. C'est pourquoi il est très important de collecter les informations personnelles légalement, ce qui signifie donner aux visiteurs du site Web une politique de confidentialité conforme au RGPD et obtenir leur permission.

Quelles sont les exemptions au droit à l'effacement ?

Vous n'êtes pas tenu d'effacer les données de l'utilisateur dans l'une des situations suivantes :

• Pour avoir exercé le droit à la liberté d'expression et d'information. Le droit à l'effacement n'a pas été conçu pour alimenter la censure, d'où l'exemption de la règle générale. Lorsque les données font partie d'un article d'actualité ou d'un autre document médiatique et que leur suppression porterait atteinte au droit à la liberté d'expression, le responsable du traitement des données peut refuser la demande d'effacement, ce que l'Agence belge de protection des données a confirmé.
  L'Agence belge de protection des données a confirmé cette position. Elle a déclaré qu'un média n'était pas tenu d'effacer les informations personnelles d'une personne mentionnée dans un article.
• Pour le respect d'une obligation légale qui requiert un traitement par la loi à laquelle le responsable du traitement est soumis, ou pour l'exécution d'une tâche effectuée dans l'intérêt public ou l'exercice de l'autorité publique dont est investi le responsable du traitement. Dans la plupart des pays, les lois sur le travail et la fiscalité exigent le stockage des données des employés.
  Ces données ne doivent pas nécessairement être effacées sur demande, comme dans le cas du tribunal de district d'Overijssel, où le tribunal a estimé que les données à effacer étaient toujours cruciales pour que le Conseil de la protection de l'enfance puisse remplir ses obligations légales. Par conséquent, la demande d'effacement a été légalement refusée.
• Pour un traitement nécessaire dans le domaine de la santé publique. Si les informations sont nécessaires pour protéger la santé publique ou pour d'autres raisons similaires, une demande d'effacement peut être rejetée.
• À des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques. Des garanties doivent être mises en place pour protéger les données pour que cette exemption soit une raison de refuser la demande de suppression.

Pouvez-vous refuser de répondre pour d'autres raisons ?

Oui, vous pouvez refuser une demande d'effacement si elle est infondée ou excessive.

La demande est non fondée si l'intention de la personne concernée n'est pas d'obtenir l'effacement de ses données mais autre chose. Voici quelques exemples de demandes non fondées :

• L'utilisateur demande un avantage quelconque en échange du retrait de sa demande.
• Il a une dent contre l'un de vos employés, et il le dit.
• La demande contient des accusations contre vous ou vos employés.
• La personne concernée envoie régulièrement des demandes et perturbe vos processus.

Les demandes sont trop nombreuses si elles portent sur la même chose que d'autres demandes ou si elles se chevauchent avec d'autres demandes.

Vous pouvez refuser les demandes infondées ou excessives. Vous devez néanmoins y répondre dans un délai d'un mois à compter de leur réception. Dans la réponse, expliquez à l'utilisateur pourquoi la demande a été refusée.

En cas de doute, demandez un avis juridique ou l'avis de l'autorité de surveillance.

Comment répondre aux demandes d'effacement ?

Vous avez donc reçu une demande d'effacement d'une personne concernée. Que devez-vous faire maintenant?

Avant d'expliquer le processus, il est essentiel de comprendre deux choses :

• Il serait utile que vous répondiez le plus rapidement possible, mais au plus tard un mois après avoir reçu la demande.
• Votre réponse doit être gratuite, sauf si elle exige un effort disproportionné de votre part, ce qui vous permet de facturer des frais raisonnables et éventuellement de prolonger le délai. Il s'agit toutefois de cas extrêmes, de sorte que vous devriez généralement supprimer les données sans frais.

La procédure est simple. Il comprend les étapes suivantes:

1. Réception de la demande d'effacement
2. Vérification de l'identité de l'utilisateur
3. Clarification de la demande
4. Inspection des données à caractère personnel
5. Suppression des données à caractère personnel

Plongeons dans chaque étape, une par une. Pour mieux les expliquer, nous allons utiliser une demande imaginaire d'effacement d'une adresse électronique.

Étape 1 : Réception de la demande d'effacement

Le RGPD vous oblige à déterminer une méthode pour recevoir les demandes. Il vous oblige également à recevoir et à accepter toute demande de la personne concernée comme si elle avait été soumise selon la méthode désignée.

Ainsi, si vous disposez d'un formulaire de demande de la personne concernée sur votre site web mais que celle-ci a soumis sa demande par courrier électronique, vous devez vous comporter comme si elle vous avait contacté par le biais du formulaire de demande.

Une fois que vous avez reçu la demande d'effacement, vous devez y répondre sans délai excessif. Il est de bonne pratique d'informer l'utilisateur que vous l'avez reçue et que vous y répondrez dans le délai de 30 jours. Vous n'êtes pas obligé de lui remettre un reçu spécifique pour la demande. Tout élément de communication fait l'affaire.

Vous pouvez ensuite passer à l'étape suivante.

Étape 2 : Vérification de l'identité de l'utilisateur

Vous ne voulez pas supprimer les données de la mauvaise personne, car cela vous causerait des problèmes juridiques. C'est pourquoi vous devez d'abord vérifier l'identité de la personne concernée.

Si l'utilisateur dispose d'un compte utilisateur sur votre site Web, il pourrait rapidement supprimer ses informations personnelles. En outre, il vous serait facile de confirmer son identité par le biais de son compte.

Toutefois, ce n'est pas toujours aussi simple. Parfois, la vérification de l'identité d'un utilisateur exige plus d'efforts de votre part. Vous pouvez donc demander à la personne concernée de prendre certaines mesures raisonnables pour confirmer son identité.

Par exemple, la suppression de son numéro de téléphone pourrait impliquer l'envoi d'un code SMS. La suppression d'une adresse électronique pourrait inclure l'envoi d'un code par courrier électronique. Vous pouvez choisir vos outils de vérification de l'identité en fonction des données qui doivent être supprimées.

Dans notre exemple, vous pouvez présumer de leur identité s'ils vous ont contacté via la même adresse électronique. Ou vous pouvez leur envoyer un code par e-mail pour une meilleure sécurité.

Étape 3 : Clarification de la demande

Au cours de cette étape, vous devez vous assurer que la demande d'effacement

• Est claire en ce qui concerne les données à effacer,
• Elle n'est pas infondée ou excessive, et
• Elle ne doit pas être refusée sur la base des exemptions du RGPD.

Si ces trois conditions sont remplies, passez à l'étape 4.

Étape 4 : Inspection des données personnelles

C'est ici que vous examinez les données pour trouver les éléments exacts des informations personnelles que vous devez supprimer.

Pour supprimer une adresse e-mail de votre CRM, vous devez vous connecter à votre CRM, trouver l'e-mail et le supprimer. Il en va de même pour la suppression d'une adresse dans un logiciel d'automatisation de la messagerie.

Étape 5 : Suppression des données personnelles

Une fois que vous avez trouvé les données personnelles requises, vous pouvez les supprimer. Une bonne pratique consiste à en informer la personne concernée.

Une fois que vous avez supprimé les données, informez vos responsables du traitement des données de la suppression. Vous serez responsable s'ils continuent à traiter les données que vous deviez supprimer au cas où elles seraient restées sur leurs serveurs.

Que se passe-t-il si vous ne répondez pas à une demande d'effacement ?

Ne pas se conformer aux demandes d'effacement constitue une violation du RGPD. Une violation du RGPD entraîne des sanctions.

Pour vous donner une idée de ce qui peut suivre une violation, la procédure se déroule comme suit:

• Vous refusez illégalement la demande d'effacement ou n'y répondez pas du tout.
• La personne concernée a déposé une plainte auprès de l'autorité de contrôle.
• L'autorité de contrôle examine l'affaire.
• L'autorité de contrôle prend une décision.
• Les deux parties ont le droit d'exercer un recours judiciaire, c'est-à-dire de porter l'affaire devant un tribunal.

La troisième étape, au cours de laquelle l'agence de protection des données enquête sur l'affaire, est celle où les choses pourraient empirer pour vous. Lorsque le DPA enquête sur une plainte, il n'examine pas uniquement la plainte de la personne concernée. Elle peut explorer toutes vos pratiques en matière de confidentialité des données.

Une plainte pour refus d'une demande d'effacement peut aboutir à la décision que vous avez refusé une demande de manière illégale, que vous n'avez pas obtenu un consentement valable, que votre avis de confidentialité n'est pas conforme, que vous ne consignez pas le consentement, que vous n'employez pas de mesures de sécurité des données suffisantes, etc. Vous voyez le genre.

Si vous ne vous conformez pas à une seule demande de suppression de données, les autorités de contrôle peuvent examiner votre entreprise et trouver de nombreuses autres violations du RGPD.

Comme nous l'avons mentionné plus haut, qui dit violations du RGPD dit sanctions du RGPD. Certaines entreprises s'en sortent avec des notifications et des réprimandes, mais d'autres paient de lourdes amendes. Voici quelques exemples pour avoir une vue d'ensemble:

• L'APD belge a grondé une entreprise qui n'a pas supprimé les informations personnelles d'un ancien client dans le délai d'un mois;
• L'autorité hongroise de protection des données a infligé une amende de 28 000 euros à une société de télécommunications pour avoir envoyé des courriers électroniques non sollicités à des personnes concernées, même après que celles-ci eurent déclaré ne pas en vouloir et leur eurent demandé d'arrêter.
• L'autorité grecque de protection des données a infligé une amende de 5 000 euros à un prestataire de services qui n'avait pas donné suite à une demande d'effacement. En raison d'une erreur technique, les données d'une personne concernée ont été dupliquées sur ses serveurs. Une enquête a montré que la même erreur avait également affecté d'autres personnes concernées.
• Le tribunal de district d'Overijssel, aux Pays-Bas, a demandé à la ville d'Amelo de se débarrasser des informations personnelles d'un enfant et a également accordé à l'enfant et à sa mère 125 euros de dommages et intérêts chacun.
• L'AEPD espagnole a infligé une amende de 15 000 euros à une société de marketing en Espagne pour avoir envoyé des courriels de marketing direct même après avoir été priée d'arrêter.
• Carrefour France a été condamné à une amende de 2,25 millions d'euros par la CNIL française pour un certain nombre de violations, notamment pour ne pas avoir répondu aux demandes de suppression de données. L'enquête a révélé des violations qui n'avaient rien à voir avec les plaintes.
  

Comment garantir une réponse légale et en temps voulu aux demandes d'effacement au titre du RGPD?

Les entreprises qui savent comment gérer la confidentialité des données peuvent rapidement effacer des informations lorsqu'on leur demande de le faire.

Au minimum, vous devriez faire ce qui suit pour rationaliser le processus :

• Reconnaissez votre flux de données. Savoir comment vos données circulent dans les serveurs de l'entreprise et des processeurs peut épargner à votre entreprise de nombreux maux de tête concernant la conformité au RGPD. Cela vous permettra également de déterminer rapidement où et comment trouver les données personnelles que vous devez supprimer.
• Nous avons mis en place un système de DSAR. Un système de demande d'accès des personnes concernées (DSAR) vous permet de rationaliser le processus de réception et de traitement des demandes liées à tout droit individuel RGPD. Il vous aide à obtenir toutes les informations dont vous avez besoin en un seul endroit pour vous conformer sans dépenser trop d'argent en ressources.
• Déterminez une personne chargée de traiter les demandes. Si vous avez un délégué à la protection des données (DPD), il pourrait faire le travail. Si vous n'en avez pas, déterminez une personne dans votre équipe qui recevra les demandes et y répondra. Veillez à ce que cette personne soit formée à cette tâche.
• Demandez conseil. Si vous avez toujours du mal à comprendre comment traiter les demandes, demandez des conseils juridiques ou des conseils à l'autorité de contrôle. L'Information Commissioner's Office (ICO) au Royaume-Uni, la CNIL, l'AEPD et d'autres agences de protection des données sont prêtes à aider les entreprises qui veulent se conformer au RGPD.

Réservez un appel dès aujourd'hui si vous souhaitez obtenir plus d'informations sur la conformité à Secure Privacy et au consentement des cookies RGPD, ou si vous souhaitez que notre expert en protection des données effectue un " check-up " rapide de votre site Web, de votre bannière de consentement aux cookies ou de votre politique en matière de cookies.