Vous faites face à un cliché gênant de vous ou une information que vous ne jugez plus utile qu’elle soit publique. Dans quelle mesure avez-vous le droit d’obtenir leur suppression d’Internet ?
La société digitale repose sur un nombre incalculable de données personnelles d’internautes. Il est parfois difficile de se rappeler lors de quelle occasion vous avez pu consentir à ce que vos données personnelles soient collectées et traitées. Il vous est tout à fait possible d’exercer un ensemble de leviers permettant d’obtenir ce que les textes ont appelé un « droit à l’oubli » sur Internet auprès de différents organismes et en gérant sa E-reputation.
Qu’est-ce que le droit à l’oubli ?
L’expression « droit à l’oubli » provient de l’article 17 du Règlement général de l’Union européenne sur la protection des données personnelles, dit « RGPD », et désigne le droit à l’effacement dont bénéficie toute personne physique concernée par une collecte et un traitement de ses données personnelles.
Légalement, le droit à l’oubli permet à une personne physique d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données personnelles la concernant. En réalité, la mise en œuvre de ce droit doit être précisée, car elle dépend de la réalisation de l’un des motifs suivants :
- les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées (par exemple, vous avez donné vos coordonnées pour les besoins d’un tirage au sort et celui-ci a été effectué) ;
- la personne a retiré son consentement ou s’oppose au traitement en mettant en avant des raisons tenant à sa situation particulière (par exemple, la publication de ces données engendre un préjudice dans votre recherche d’emploi ou porte atteinte à votre réputation) ;
- le traitement des données personnelles a été réalisé de manière illicite (par exemple, une publication de données personnelles piratées) ;
- une obligation légale nationale ou issue du droit de l’Union européenne impose l’effacement des données ;
- la personne concernée était âgée de moins de 16 ans à l’époque de la collecte ;
- les données personnelles sont utilisées à des fins de prospection commerciale (par exemple, vous avez coché une case permettant à une entreprise de vous démarcher par email ou SMS).
Comment faire concrètement pour exercer son droit à l’oubli ?
Vous devez identifier l’organisme détenteur des données, qui est le « responsable de traitement » au sens du RGPD, et lire sa politique de confidentialité afin de déterminer par quel moyen lui adresser votre demande d’effacement (par exemple, si vous souhaitez obtenir la suppression des données personnelles liées à une photo gênante sur Facebook, l’organisme est Meta).
Il est impératif d’indiquer précisément au sein de votre demande quelles sont les données personnelles que vous souhaitez voir effacer. Le responsable de traitement peut également vous demander des compléments d’information ainsi qu’un justificatif d’identité.
Assurez-vous de conserver une trace de la demande d’effacement des données personnelles (par exemple, une capture d’écran de la demande ou un accusé de réception du courrier) afin de pouvoir saisir la Commission nationale de l’informatique et des libertés (« CNIL ») en cas de refus ou d’absence de réponse du responsable de traitement.
L’exercice du droit à l’oubli impose au responsable de traitement de procéder à l’effacement dans les meilleurs délais et au plus tard, dans le délai d’un mois, qui peut être porté à trois mois sur information du responsable de traitement, en cas de complexité liée à la demande.
Le responsable de traitement doit également notifier à chaque personne ayant pu recevoir les données personnelles concernées qu’une demande d’effacement a été formulée.
Que faire en cas de refus ou d’absence de réponse ?
Vous pouvez saisir la CNIL à l’issue du délai d’un mois précité sur la base d’une plainte complète et précise, incluant notamment les justificatifs des démarches accomplies auprès du responsable de traitement.
Sachez toutefois que le droit à l’oubli n’est pas absolu. Il est possible que le responsable de traitement ne puisse pas procéder à la suppression des données personnelles car il a été jugé qu’en l’espèce, le traitement des données personnelles est nécessaire :
- à l’exercice du droit à la liberté d’expression et d’information ;
- au respect, par le responsable de traitement, d’une obligation légale ou pour exécuter une mission d’intérêt public ;
- pour des motifs d’intérêt public dans le domaine de la santé publique ;
- à des fins archivistiques, statistiques ou de recherche scientifique ou historique, dans l’intérêt public ;
- dans le cadre de l’exercice ou de la défense de droits en justice ; et
- pour la garantie de la sécurité et défense nationale, la sécurité publique, la prévention et la détection d’infractions pénales, la protection de l’indépendance de la justice, etc.