Le « droit à l’oubli » est un concept important, surtout dans un environnement en ligne où il s’agit de faire des impressions durables. Même s’il semble aller à l’encontre de la nature d’internet, ce droit est un droit fondamental de la personne concernée dans le cadre du règlement général sur la protection des données de l’Union européenne et constitue une énorme considération pour tout site web qui collecte des données personnelles de ses utilisateurs. Poursuivez votre lecture sur rgpd droit à l oubli en cliquant sur avocat rgpd
Qu’est-ce que le droit à l’oubli ?
L’article 17 du GDPR déclare que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement des données à caractère personnel la concernant sans retard excessif et le responsable du traitement a l’obligation d’effacer les données à caractère personnel sans retard excessif. » Essentiellement, cela signifie que tout utilisateur relevant de la compétence du GDPR peut faire en sorte qu’un site Web supprime toute information personnelle le concernant sur demande.
Il existe quelques stipulations à l’article 17, également appelé « droit à l’effacement. » Les données personnelles doivent être effacées si :
- les données ne sont plus nécessaires pour atteindre la finalité prévue ;
- la personne concernée retire son consentement ;
- la personne concernée soulève une objection légitime sur la façon dont les données ont été traitées ;
- les données sont déterminées comme ayant été collectées ou traitées illégalement Les lois d’un État membre de l’UE exigent que les données soient effacées ;
- les données sont soumises aux règles de l’article 8 du GDPR sur les données personnelles des enfants.
Tout site web qui viole le droit à l’oubli risque d’importantes amendes et pénalités en vertu des directives du GDPR, il est donc payant pour les organisations de connaître les tenants et les aboutissants.
Pourquoi cela est-il nécessaire ?
Tout cela est fait dans l’intérêt de protéger les consommateurs et d’empêcher les organisations en ligne d’exercer trop de pouvoir sur le public. Un article de 2014 de la BBC, par exemple, détaillait le cas d’un homme en Espagne qui a mis aux enchères une propriété pendant une crise financière personnelle. Des années plus tard, alors que ses finances étaient en bien meilleure forme, les détails de la vente aux enchères apparaissaient toujours en bonne place lorsqu’il recherchait son nom sur Google. L’Union européenne lui a donné raison en affirmant que ces informations n’étaient plus pertinentes et qu’elles pouvaient nuire à sa réputation. Cette affaire et d’autres semblables ont mis en branle ce qui allait devenir le droit à l’oubli du GDPR. Depuis cet arrêt, Google a reçu à lui seul des demandes de suppression de près de 2,5 millions d’URL de ses résultats de recherche.
Qu’est-ce qu’une donnée personnelle exactement ?
La définition la plus simple d’une information personnellement identifiable est « tout ce qui pourrait révéler une facette de l’identité d’une personne. » D’une manière générale, cela inclut, sans s’y limiter, les noms, les adresses électroniques, les photos et les vidéos, les adresses physiques ou postales, les adresses IP et les numéros de téléphone, en gros, toutes les informations recueillies par tout site Web qui effectue des transactions ou qui demande aux membres de s’identifier. (N’oubliez pas d’examiner au plus près votre politique en matière de cookies, même si le GDPR n’énonce pas explicitement de règles à ce sujet.)
Cela ressemble probablement à une tâche gigantesque pour les propriétaires de sites. Il ne fait aucun doute que c’est un défi pour plein d’entreprises, mais adopter une approche organisée et éduquée du traitement des données peut grandement contribuer à mettre votre site en conformité avec le GDPR.
Quelles sont les données à oublier ?
Avant de pouvoir garantir le droit à l’oubli de vos utilisateurs, il est important de comprendre les données que vous oubliez. Cela implique de clarifier et de définir les rôles au sein de votre équipe web, y compris les fournisseurs tiers avec lesquels vous travaillez.
Par exemple, le GDPR fait une distinction entre le collecteur de données et le processeur. Le collecteur est l’organisation qui collecte les données des consommateurs et décide de leur utilisation, tandis que le processeur est toute personne qui traite les données pour le compte du contrôleur. D’une manière générale, le responsable du traitement des données est supposé être responsable des actions du sous-traitant.
Dans le cas d’une entreprise qui utilise un logiciel non conforme au RGPD pour organiser des listes de courriels internes, par exemple, le responsable du traitement et le sous-traitant courent tous deux le risque de se voir infliger une amende.
Le moyen le plus sûr de s’assurer que votre site respecte le droit à l’oubli de vos utilisateurs est de savoir exactement quelles données vous stockez et comment vous les supprimerez sur demande ou après qu’elles ne seront plus nécessaires. Toute organisation qui recueille des informations sur les consommateurs devrait prévoir d’effectuer des audits de données réguliers, y compris la création d’un registre de toutes les informations personnellement identifiables collectées et traitées dans l’UE et le cycle de vie prévu de ces données.
Conseils rapides pour se préparer au droit à l’oubli
Travaillez avec le responsable de la protection des données de votre organisation, le service de sécurité ou le personnel chargé de la conformité au GDPR sur les points suivants :
- cartographier les flux de données et les cycles de vie de toutes les données personnelles qui entrent dans votre organisation (c’est-à-dire les pistes marketing, les candidats à l’emploi, les numéros de compte bancaire des employés) ;
- créer un plan pour chaque département lorsque les données ne sont plus utiles ou que quelqu’un « demande à être oublié » ;
- tenir un inventaire des données personnelles afin de pouvoir identifier rapidement où certaines données sont stockées ;
- préparer des audits de données réguliers.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : avocat spécialisé données personnelles.