Réponse

Le règlement général sur la protection des données (RGPD) donne aux personnes le droit de demander que leurs données soient supprimées, et les organisations ont une obligation de le faire, sauf dans les cas suivants:

  • lorsque les données à caractère personnel que votre entreprise/organisation détient sont nécessaires à l’exercice du droit à la liberté d’expression;
  • lorsqu’une obligation légale impose de conserver les données;
  • pour des raisons d’intérêt public (par exemple la santé publique ou à des fins de recherche scientifique ou historique).

Si votre entreprise/organisation a traité des données de manière illicite, elle doit les supprimer. Les données à caractère personnel collectées lorsque la personne concernée était mineure doivent être supprimées.

En ce qui concerne le droit à l’oubli en ligne, les organisations doivent prendre des mesures raisonnables (par exemple des mesures techniques) pour informer les autres sites internet qu’une personne a demandé l’effacement de ses données à caractère personnel.

Les données peuvent également être conservées si elles ont subi un processus approprié d’anonymisation.

Exemples

Les données ne doivent pas être supprimées

Votre entreprise/organisation dirige un journal en ligne. Un de vos journalistes publie l’histoire d’un homme politique qui a blanchi de l’argent dans des banques offshore. Cet homme politique demande de supprimer le récit car des données à caractère personnel le concernant sont traitées. Étant donné que ces données à caractère personnel sont utilisées pour exercer un droit à la liberté d’expression, votre entreprise/organisation n’est, en principe, pas tenue de les supprimer. Toutefois, tout dépend de la législation nationale en vigueur.

Les données doivent être supprimées

Votre entreprise/organisation dirige une plateforme de réseau social. Un mineur met en ligne des photos. Toutefois, quelques années plus tard, il estime qu’elles peuvent porter préjudice à ses projets de carrière. Étant donné que la personne concernée était mineure au moment où les photos ont été mises en ligne, votre entreprise/organisation est tenue de les supprimer. En outre, si les photos ont été traitées sur d’autres sites internet, votre entreprise/organisation doit prendre des mesures raisonnables pour informer ceux-ci qu’une demande a été formulée pour les supprimer.

Références

  • Article 17 et considérants 65) et 66) du RGPD
  • Groupe de travail «Article 29», Lignes directrices relatives à l’exécution de l’arrêt de la Cour de justice du 13 mai 2014  dans l’affaire Google Spain et Google, C-131/12, ECLI:EU:C:2014:3171

1 Un résumé de l'arrêt est disponible dans le JO C 212 du 7.7.2014, p. 4.