GDPR Newsletter

The PwC DPO voice - Droit à l'oubli

N°8 - édition août 2017


Du droit à l’oubli numérique en matière de données à caractère personnel

Qui d’entre nous n’a jamais rêvé de se faire oublier de ses créanciers afin de ne plus rembourser le crédit hypothécaire concernant ce bien « coup de cœur assuré » tellement atypique et très largement surestimé ? Quel candidat à un poste prestigieux ne donnerait pas tout ce qu’il possède pour supprimer des réseaux sociaux quelques postures peu flatteuses ou pour que le casier judiciaire luxembourgeois oublie ses erreurs passées ? Quel personnage public ne souhaiterait pas que certaines fréquentations embarrassantes ou relations gênantes ne disparaissent de certains clichés, comme effacés de la réalité à la façon de Marty Mcfly dans le premier épisode de « Retour vers le futur » ?

Même les actions judiciaires font l’objet d’une prescription… Alors pourquoi n’y aurait-il pas aussi une date au-delà de laquelle certaines informations ne pourraient plus être traitées ; une sorte de date de péremption de la donnée ?


Le droit à l’oubli numérique, une notion singulière dans un monde interconnecté

La notion de droit à l’oubli - création jurisprudentielle de 2014 par la Cour de justice de l’Union européenne à la suite de la demande d’internautes pour le déréférencement de certains pages les concernant dans le moteur de recherche Google - est consacré par l’article 17 du Règlement Européen relatif à la protection des personnes physiques à l’égard du traitement à des données à caractère personnel (« RGPD ») et étendu à tout type de traitement.

Si les conditions de licéité d’un traitement de données à caractère personnel énoncées dans l’actuelle directive 95/96/ec imposent déjà que les données ne soient traitées que si elles sont nécessaires (et donc non traitées si elles ne sont plus), il s’agit en substance pour le RGPD d’aller plus loin en permettant à la personne concernée, comme corolaire au droit d’opposition, d'obtenir, sous certaines conditions, l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant.

Si simple en apparence, le droit à l’oubli pose immédiatement le délicat problème philosophique de la conciliation entre droit à la liberté de communication et de l’information avec celui de la vie privée. Intérêts légitimes du responsable de traitement Vs droits fondamentaux de la personne concernée. Vérité scientifique Vs manipulation des faits…

Techniquement, le droit à l’oubli numérique est un vrai défi car, s’il est objectivement plus aisé d’effacer la mémoire d’un ordinateur que d’un cerveau humain, la complexité des interactions entre systèmes, les sauvegardes sur bande, les multiples intervenants ou destinataires des données…, rendent l’effacement total presqu’illusoire.


Droit à l'oubli numérique et légitimité d'un traitement : renversement de la charge de la preuve…

Le droit à l'effacement n'est pas absolu et se confronte forcément à la légitimité même du traitement. Tant que le traitement est légitime (et licite), il n'est pas question d'effacer les données (il faudra donc un autre moyen pour le faire oublier de ses créanciers !).

En revanche, la personne concernée est fondée à exiger l'effacement des données à caractère personnel la concernant lorsque le traitement n'est plus légitime, c'est-à-dire quand :

  • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • la personne concernée retire le consentement sur lequel le traitement était exclusivement fondé (NDLR : encore un nouveau point faible du consentement) ;
  • les données ont fait l’objet d'un traitement illicite ;
  • la personne concernée exerce son droit d'opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci ;
  • les données concernent un mineur ; ou
  • l'effacement est prévu par une obligation légale (nouvelle loi ou décision de justice par exemple).

Dans certaines circonstances, la situation est moins évidente que celles-énoncées ci-avant. En effet, dès lors que la personne s'oppose au traitement (et demande l'effacement de ses données) « pour des raisons tenant à sa situation particulière », ce sera au responsable de traitement de démontrer l'existence de motifs légitimes et impérieux pour que le traitement perdure.

Evidemment, chaque situation devra être évaluée au regard de la qualité de la personne concernée (notoriété, sphère d'influence, lien hiérarchique avec le responsable de traitement…), le contexte (éléments historiques, données domestiques…), la sensibilité des données ainsi que les impacts occasionnés par leur conservation et ceux en cas d’effacement…


L'oubli impliquera-t-il forcément la destruction des données à caractère personnel ?

Que veut dire réellement la notion d'oubli ? Parlons-nous ici de la destruction pure en simple des données, de leur simple effacement du système de production, d’un archivage avec accès contrôlé ou d’une pseudonymisation ?

La pratique actuelle, pragmatique, n'exige pas de destruction systématique tant que les mesures de sécurité adaptées sont rigoureusement mises en place. Avec le RGPD et son article 17, espérons que cet esprit perdure car, comme en dispose l’esprit des articles 24 et 32 du même règlement : à l’impossible nul n’est tenu.

A ce jour, aucune position de l’Europe relative aux modalités du droit à l’oubli numérique n'a été publiée. Une recommandation du Groupe de l’article 29 (qui deviendra le Comité européen de la protection des données) devra nécessairement intervenir pour éclairer une zone grise empreinte d’insécurité juridique.


Le droit à l'oubli numérique, une mise en place compliquée

En tout état de cause, il apparait requis que le responsable de traitement doive d'ores et déjà :

  • Déterminer une classification des données intégrant les aspects de conservation (durée légale, litiges en cours, légitimité de traitement…) ;
  • Délimiter la notion même « d'effacement » dans ses polices ;
  • Prévoir dans sa gouvernance « l'effacement » systématique des informations dont le traitement n'est plus nécessaire afin d’anticiper les demandes des personnes concernées ;
  • Cartographier tous les récipiendaires des données et exiger d'eux une gouvernance similaire ;
  • Mettre en place une interface avec les personnes concernées pour leur permettre de faire valoir le droit à l'oubli numérique ;
  • S'assurer que la personne faisant valoir ce droit est bien la personne concernée et justifier les suites à la demande ainsi faite ;
  • Si « l'effacement » est valable, y procéder endéans un mois maximum ;
  • Veiller à ce qu'aucune autre donnée devant être conservée ne soient détruite ou altérée à l'occasion de l’effacement.

La complexité du droit à l'oubli numérique implique, une fois encore, un raisonnement au cas par cas impliquant une connaissance parfaite de ses processus et l'organisation rigoureuse de métadonnées à même de répondre de façon adéquate aux demandes des personnes concernées…

Cédric Nédélec
Data Protection Officer

Contact us

Frédéric Vonner
Partner, GDPR Leader
Tel: +352 49 48 48 4173
Email

Cédric Nédélec
Data Protection Officer
Tel: +352 49 48 48 2186
Email

Ludovic Raymond
Director
Tel: +352 49 48 48 4304
Email

Follow us