📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 17 du RGPD : Droit à l’effacement (droit à l’oubli)

Sommaire

Comprendre l’article 17

Parmi les droits des personnes concernées prévus par le RGPD, on retrouve le droit à l’effacement, qui concourt au droit à l’oubli, permettant à la personne concernée d’obtenir la suppression de ses données personnelles dans plusieurs cas de figures :

  • Les données ne sont plus nécessaires aux finalités énoncées.
  • La personne concernée retire son consentement alors que le traitement est fondé sur la base juridique du consentement.
  • La personne s’oppose et le traitement n’a pas de motif d’intérêt légitime.
  • Le traitement est illicite.
  • Il s’agit d’une obligation légale prévue par le droit de l’Union ou d’un État membre.
  • Les données ont été collectées dans le cadre de l’offre des services de la société de l’information.

À compter de la réception de la demande, le responsable de traitement est tenu d’y répondre dans un délai raisonnable et d’informer de l’existence de cette demande les autres responsables de traitement impliqués.

Il existe certaines exceptions ne permettant pas à la personne concernée de demander l’effacement de ses données :

  • Si le traitement est relatif à l’’exercice du droit à la liberté d’expression et d’information.
  • Si le traitement est effectuer pour respecter une obligation légale prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  • Si le traitement est réalisé pour des motifs d’intérêt public dans le domaine de la santé publique ou à des fins archivistiques.
  • Si le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous

Article 17 du RGPD

  1.  La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

    a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

    b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

    c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

    d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

    e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

    f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

    2.  Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

    3.  Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

    a) à l’exercice du droit à la liberté d’expression et d’information;

    b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

    c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;

    d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

    e) à la constatation, à l’exercice ou à la défense de droits en justice.

Mon Expert RGPD accompagne les entreprises de toutes tailles. Trouvez votre DPO externe dès aujourd’hui.

Jurisprudence

3 décisions ont été rendues sur le fondement de cet article :

Amende de 500 000€ pour Brico Privé

Brico Privé : La société Brico Privé fut condamnée à une amende de 500 000€ par la CNIL en juin 2021. La CNIL a en effet constaté que lors d’une demande de suppression des données, la société se contentait de désactiver le compte de l’utilisateur, mais gardait ses données dans sa base de données. Cette pratique n’est pas considérée comme conforme avec le droit à l’effacement, qui implique la suppression stricte des données. (Délibération SAN-2021-008 du 14 juin 2021 – Légifrance )

Amende de 2 250 000€ pour Carrefour France

Carrefour France : Le groupe français est condamné par l’autorité de contrôle pour plusieurs manquements à une amende de 2 250 000€. Dans sa délibération du 18 novembre 2020, la CNIL évoque notamment la non-suppression malgré les demandes des personnes concernées des données personnelles de ces derniers, en dehors de toute exception fondée. (Délibération du 18 novembre 2020 – Légifrance )

3000€ d’amende pour la SNAF

SNAF : La société nationale des annuaires français est condamnée en 2021 par la CNIL pour manquement à l’article 17. En effet, la société n’a pas su procéder à la suppression des données malgré les demandes des personnes concernées. La CNIL condamne la société à une amende de 3000€. (Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance)
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.