Contact
Essai gratuit
RGPD |

5 MIN

La suppression des données personnelles en entreprise

Alexandre Diard

Quel que soit le contenu que vous publiez ou que votre entreprise publie sur Internet, celui-ci peut être effacé s’il est avéré inutile.

Mais comment se passe la suppression des données personnelles ? Comment est encadrée cette opération sur le plan légal ? Comment l’appliquer correctement ?

Nos autres articles :
RGPD : et si on protégeait vos données ?
RGPD : comment et quand informer ses collaborateurs ?

Essai gratuit

La « data deletion » ou suppression des données personnelles : à quoi cela correspond ?

Que vous décidiez ou votre entreprise de publier une photo sur un site Web ou une information collectée par un organisme tiers, il est toujours possible d’obtenir sa suppression de la Toile.

Cette « data deletion » est alors obligatoire au regard de la législation française et du respect de la protection des données personnelles.

 

Le droit à l’effacement : comment l’appliquer ?

Supprimer les données personnelles ne se fait pas en un clin d’œil. Il existe des procédures et une marche à suivre légale.

Que ce soit sur le plan personnel ou dans le cadre professionnel, si vous désirez supprimer vos données personnelles sur un support Web, quel qu’il soit, voici comment procéder.

Identifier l’organisme émetteur de la donnée

Il est primordial de repérer l’organisme émetteur de la donnée ou du traitement de celle-ci. Ensuite, rendez-vous sur la page d’information qui réservée à l’exercice des droits sur le site Web.

Cette page peut être mentionnée comme : « mentions légales », « politique de confidentialité », « politique de la vie privée ». Ces pages sont obligatoires sur chaque site Web.

Essai gratuit

Faire exercer son droit de suppression auprès de l’organisme

La seconde étape est de demander à faire exercer votre droit à l’effacement.

Cela peut se faire :

  • Par voie électronique : mail, formulaire, bouton de téléchargement, etc.
  • Par voie postale.

Quoi qu’il en soit, il est essentiel de préciser quelles sont les données que vous souhaitez voir effacer. Concrètement, ce droit à l’effacement ne va pas entrainer la suppression de toutes vos données personnelles.

Pour être plus précis, demander à supprimer une photo sur un site Web ne va pas aboutir à la suppression d’un compte sur un réseau social par exemple.

Si l’organisme en question a des doutes sur la légitimité de votre demande, il est en droit de demander de joindre des documents attestant de votre identité, ceci afin d’éviter toute usurpation d’identité ou escroquerie.

Mais il lui est interdit de demander des pièces justificatives qui seraient considérées comme abusives, disproportionnées ou non pertinentes concernant votre demande.

Conserver une copie de votre démarche

Dans votre démarche de demande suppression de données personnelles, il est aussi primordial de garder toute trace de votre demande.

Si vous contactez la CNIL, par exemple, il est possible d’envoyer une capture d’écran de votre demande. Que ce soit par courrier postal ou par voie électronique, conserver une copie de vos messages où votre demande est formulée.

 

Les obligations légales de la RGDP sur les entreprises

La loi dite « Informatique et liberté » vous permet d’obtenir la suppression d’une partie de vos données personnelles, lorsque celles-ci figurent dans un fichier. Vous pouvez dès lors utiliser le droit à l’opposition et le droit à la rectification.

En ce qui concerne le droit à la suppression, il est inscrit dans l’article 38 de la loi 78-17 de janvier 1978. Il s’exerce à tous les niveaux de la collecte de la donnée, mais aussi dans le traitement et la transmission de la donnée personnelle.

Le texte de loi prévoit que le demandeur doit justifier d’un motif légitime pour que la demande d’opposition soit recevable.

Pour le droit de rectification, celui-ci est inscrit dans l’article 40 de cette même loi de janvier 1978. Sur une présentation de justificatif de votre identité, la loi exige du gestionnaire du fichier de données que toutes les données à caractère personnel soient effacées.

Essai gratuit

Enfin, à propos de la dernière loi concernant le respect du RGPD (article 17 du RGPD), les données personnelles peuvent être effacées uniquement si elles entrent, au minimum, dans l’un des cas suivants :

  • Elle est utilisée à des fins de prospection ;
  • La donnée n’est pas utile au regard des objectifs pour laquelle elle a été initialement recueillie ou traitée ;
  • La donnée a été collectée alors que vous étiez mineur dans le cadre d’une société d’information (site Web, blog, forum, réseau social, etc.) ;
  • La donnée doit être effacée afin de respecter les mesures légales (loi RGPD) ;
  • L’utilisateur s’oppose tout simplement au traitement de ses données

Toutefois, le droit à l’effacement de vos données personnelles présente certaines limites sur le plan légal.

En effet, cela ne doit pas aller contre certaines situations, à l’instar de :

  • Un respect d’une obligation légale comme un délai de conservation par exemple ;
  • Une application du droit à la liberté d’information et d’expression ;
  • Une utilisation à des fins publiques, scientifiques, statistiques ou historiques ;
  • Une utilisation dans le cadre d’un intérêt public (secteur de la santé notamment).

Pour le responsable en entreprise, ce respect de la loi RGPD qui met en place le droit à l’effacement impose des obligations.

Dès le moment où le demandeur lance le processus d’effacement de ses données, le responsable est tenu de procéder à cette opération dans les plus brefs délais.

Il doit, ensuite, faire en sorte et rapidement de supprimer tous les liens possibles qui renvoient vers ces mêmes données ou copies.

Quand les données personnelles font l’objet d’une exposition publique, le responsable du traitement des data est tenu alors d’informer les nouveaux responsables de traitement.

Si, toutefois, le responsable du traitement des données ne donne pas suite à la demande de suppression des données personnelles, il est convenu qu’il justifie sa décision auprès du propriétaire desdites données.

Chaque entreprise se doit de mettre en place les meilleurs systèmes et mécanismes pour vérifier la pertinence de chaque donnée.

Essai gratuit

Quelles sont les conséquences pour non-respect de la réglementation ?

Le non-respect des obligations de la réglementation RGPD — garantir la sécurité des données, demander le consentement de personnes concernées, obligation de transparence des données, respect des droits des personnes, nomination d’un délégué à la protection des données (DPO) — engage toute la responsabilité du DPO.

Cela peut engendrer des sanctions pour l’entreprise ou l’organisme en question.

Le système des sanctions est alors graduel en fonction de la violation du RGPD :

  • Degré 1 : avertissement ou mise en demeure de l’entreprise fautive ;
  • Degré 2 : injonction de cesser la violation ;
  • Degré 3 : limitation ou suspension temporaire du traitement des données ;
  • Degré 4 : sanctions administratives pour non-respect des règles RGPD avec amende d’un montant de 2 % du montant du CA annuel mondial ;
  • Degré 5 : sanctions pénales en cas de détournement de la finalité des données personnelles : possibilité de 5 ans de prison et 300 000 € d’amende.

Il est important, dans un tel contexte, que chaque employeur vérifie non seulement que ses outils soient conformes à la réglementation sur la protection des données personnelles, mais qu’elle mette en place, avec l’aval d’un responsable du traitement (le DPO), un système de vérification des data personnelles.

Essai gratuit