Qu'est-ce que le droit à l'oubli ?

Le droit à l'oubli est un droit légal défini par le GDPR qui permet aux personnes de l'UE de demander la suppression de leurs données personnelles.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le droit à l'oubli (ou droit à l'effacement)
  • Décrire quand le droit à l'oubli s'applique et ne s'applique pas
  • Expliquez comment une personne peut exercer ce droit

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le droit à l'oubli ?

Le droit à l'oubli "" est le concept selon lequel les données personnelles d'un individu stockées par une organisation ou un prestataire de services doivent être effacées à la demande de l'individu. Il s'agit d'un droit légal accordé en vertu du Règlement général sur la protection des données (RGPD), qui protège les données personnelles des individus dans l'Union européenne (UE). Toutefois, le droit à l'oubli n'est pas un droit absolu : il ne s'applique pas toujours aux juridictions situées en dehors de l'UE, et il existe certaines circonstances supplémentaires dans lesquelles une personne peut ne pas être en mesure d'effacer ses données.

Supposons qu'Alice s'inscrive à une lettre d'information mensuelle sur le vin français, mais qu'elle décide par la suite qu'elle préfère la bière belge au vin français et que la lettre d'information n'est donc plus pertinente pour elle. Par conséquent, elle se désinscrit de la lettre d'information sur le vin. Le droit à l'oubli lui permet non seulement de se désinscrire (comme l'exige la directive "vie privée et communications électroniques" ), mais aussi de demander à l'éditeur de la lettre d'information de supprimer son nom, son adresse électronique et toute autre information personnelle de ses dossiers.

Ce droit a également été utilisé pour supprimer certains types d'informations personnelles des résultats des moteurs de recherche. Par exemple, les particuliers ont le droit de supprimer les informations personnelles les concernant des pages de résultats de recherche (dans certaines limites), ce qui oblige les moteurs de recherche comme Google à ne pas afficher les liens vers les pages où ces informations apparaissent.

Droit à l'oubli vs. droit à l'effacement

Ce droit est en fait appelé le droit à l'effacement "" dans le GDPR. Toutefois, il est communément appelé droit à l'oubli.

Le concept de droit à l'oubli est antérieur au GDPR et a été invoqué dans des affaires juridiques antérieures. "Cependant, le droit à l'effacement" défini par le GDPR est plus précis ; il inclut les conditions dans lesquelles le droit s'applique et ne s'applique pas, et il donne aux organisations un délai d'un mois pour répondre aux demandes d'effacement.

Qu'est-ce que le RGPD ?

Le GDPR (General Data Protection Regulation) est un cadre juridique de confidentialité des données qui s'applique à la collecte et au traitement des données au sein de l'UE. Le GDPR contient un certain nombre d'exigences relatives au traitement, à la collecte et à la manipulation des données, ainsi que la définition de plusieurs droits pour "les personnes concernées," signifiant les individus dans l'UE. L'un de ces droits est le droit à l'effacement, qui est décrit à l'article 17 du GDPR.

Le droit à l'oubli du GDPR s'applique-t-il en dehors de l'UE ?

De récentes décisions de justice ont indiqué que si les fournisseurs d'informations en ligne (tels que les moteurs de recherche) peuvent être tenus d'éliminer des informations dans une certaine juridiction, ils ne sont pas obligés de les supprimer au niveau mondial. Une personne peut faire effacer ses données des résultats de recherche au sein de l'UE, mais les utilisateurs de pays non membres de l'UE peuvent encore voir ces données dans leurs résultats de recherche.

Comment une personne peut-elle exercer son droit à l'oubli ?

Le GDPR ne définit pas de processus spécifique permettant à une personne d'exercer son droit à l'oubli. Tant que la demande parvient au responsable du traitement des données ou au sous-traitant et remplit certaines conditions, elle doit être considérée comme une demande valide et les données personnelles de la personne doivent être effacées.

Les personnes peuvent faire une telle demande verbalement ou par écrit. Lorsque le responsable du traitement des données ou le sous-traitant reçoit la demande, il dispose d'un mois pour y répondre - soit en effaçant les données demandées, soit en fournissant une raison pour laquelle les données ne peuvent être effacées.

En règle générale, la personne doit fournir des informations spécifiques avec sa demande, telles que la confirmation de son identité, les données qu'elle souhaite effacer et la raison de l'effacement.

Les raisons d'exercer ce droit peuvent inclure :

  • La finalité pour laquelle les données ont été collectées ne s'applique plus.
  • La personne révoque son consentement à la collecte de données
  • L'organisation utilise les données à des fins de marketing et la personne s'oppose à cette utilisation.
  • L'organisation a collecté ou traité les données de manière illicite
  • L'organisation est légalement tenue de supprimer les données.
  • La personne s'oppose au traitement de ses données et le sous-traitant n'a pas d'intérêt légitime à traiter ces données.

Vous trouverez de plus amples informations dans l'article 17 du GDPR.

Quand le droit à l'oubli ne s'applique-t-il pas ?

Les personnes peuvent ne pas être en mesure d'effacer leurs données dans plusieurs circonstances différentes. Par exemple, le droit à l'effacement ne s'applique pas lorsqu'il entre en conflit avec le droit à la liberté d'expression - à titre d'exemple, un politicien ne pourrait pas utiliser le droit à l'oubli pour retirer un article de journal critique d'un site web. Parmi les autres cas où le droit ne s'applique pas, citons les suivants :

  • Les données sont utilisées pour se conformer à une obligation légale.
  • Les données sont utilisées pour l'exécution d'une tâche d'intérêt public.
  • Les données sont utilisées pour l'archivage dans l'intérêt public à des fins de recherche scientifique, historique ou statistique et l'effacement est susceptible de nuire gravement à la recherche.
  • Les données font partie d'une défense légale

Il existe également plusieurs autres cas. La liste complète des cas où le droit ne s'applique pas se trouve à l'article 17 du GDPR.

Quel est le lien entre le droit à l'oubli et les pratiques équitables en matière d'information ?

Les pratiques équitables en matière d'information sont des directives relatives à la collecte et à l'utilisation des données qui ont été élaborées aux États-Unis dans les années 1970. Bien que les pratiques équitables en matière d'information ne fassent partie d'aucun cadre juridique, de nombreuses réglementations relatives à la confidentialité des données en vigueur aujourd'hui sont plus ou moins alignées sur elles.

L'une de ces pratiques est appelée le principe de la participation individuelle, selon lequel les personnes ont un certain nombre de droits, dont celui de faire rectifier ou effacer leurs données personnelles.

Quels autres droits les individus ont-ils en vertu du GDPR ?

Le GDPR donne aux individus un certain nombre de droits concernant l'utilisation des données personnelles, notamment :

  • Droit d'être informé : Les personnes doivent recevoir des informations faciles à comprendre sur la manière dont leurs données sont collectées et traitées.
  • Droit à la portabilité des données : les personnes concernées peuvent transférer leurs données d'un contrôleur de données à un autre.
  • Droit d'accès : les personnes concernées ont le droit d'obtenir une copie des données personnelles collectées
  • Droit de rectification : les personnes concernées peuvent rectifier les données inexactes les concernant
  • Droit de limiter le traitement : dans certaines circonstances, les personnes concernées peuvent limiter la manière dont leurs données personnelles sont traitées
  • Droit d'opposition : Les personnes peuvent s'opposer à la collecte et au traitement des données, et le responsable du traitement ou le sous-traitant doit fournir des raisons légitimes d'utiliser les données (raisons qui ne sont pas liées au marketing direct).
  • Droit d'opposition au traitement automatisé : les personnes concernées peuvent s'opposer à une décision qui les concerne juridiquement et qui est fondée uniquement sur un traitement automatisé des données

Pour en savoir plus, consultez le site . Qu'est-ce que le GDPR ?