En 2025, la Commission nationale de l’informatique et des libertés (CNIL) et les autorités de protection des données européennes passeront à la loupe l’application du droit à l’effacement par les organismes. Et pour cause : ce droit est l’un des plus fréquemment utilisés. Toutefois, le droit à l’effacement fait aussi l’objet de nombreuses plaintes : en 2024, il représentait à lui seul 37 % des réclamations reçues par la CNIL. Mon Expert RGPD revient donc sur ce droit essentiel afin de vous aider à traiter vos demandes d’exercice de droit. 

Qu’est-ce que le droit à l’effacement ? 

Le droit à l’effacement permet aux personnes dont vous collectez des données de demander la suppression de données que vous avez sur elles. 

Exemples d’applications concrètes du droit à l’effacement

Ce droit leur permet par exemple : 

• de demander la fermeture de leur compte et la suppression de leurs données sur votre site de commerce en ligne car elles ne souhaitent plus bénéficier de ces services 

• de faire retirer un contenu gênant les concernant sur un réseau social 

• de faire déréférencer un lien vers un contenu gênant à leur nom et prénom. Le moteur de recherche devra alors supprimer le lien vers ce contenu des résultats de recherche 

Quand ce droit peut-il être exercé ? 

L’effacement de données personnelles peut être demandé dans l’une de ces situations : 

• les données d’une personne sont utilisées pour de la prospection 

• la personne retire son consentement pour que ses données soient traitées 

• les données ne sont plus nécessaires par rapport aux objectifs pour lesquelles elles ont été initialement collectées ou traitées

• les données doivent être effacées pour respecter une obligation légale 

• le traitement est illicite

• les données ont été collectées quand les personnes étaient mineures dans le cadre de l’offre de services de la société de l’information (blog, réseau social, forum, site web…)

• elles se sont opposées au traitement de leurs données et l’organisme n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande 

Cet article pourrait aussi vous intéresser : Le droit d’accès aux données personnelles : un outil clé pour reprendre le contrôle sur sa vie numérique

Comment traiter les demandes d’exercice de ce droit ? 

1 – Mentionner vos coordonnées  

La première étape essentielle consiste à mentionner vos coordonnées afin que les personnes concernées puissent exercer ce droit. Vous pourrez par exemple les indiquer dans votre politique de confidentialité sur votre site internet, en précisant la personne à contacter ainsi que les moyens pour exercer ce droit (formulaire, adresse mail, bouton de téléchargement etc.). 

2 – Vérifier que la demande est complète 

Quand une personne exerce son droit à l’effacement, elle doit indiquer les raisons de sa demande : retrait du consentement qu’elle avait préalablement donné, impact négatif du contenu; données obsolètes etc. 

Il faudra par ailleurs que la personne mentionne précisément dans sa demande les données qu’elle souhaite effacer. En effet, l’exercice de ce droit n’entraîne pas la suppression pure et simple de toutes les données que vous détenez sur une personne. Par exemple, si elle demande la suppression d’une photo, cela n’implique pas la suppression de son compte. 

En cas de doute sur l’identité de la personne, vous pouvez lui demander de fournir des documents supplémentaires afin de prouver son identité (telle qu’une copie de votre carte d’identité). Toutefois, vous ne pouvez pas demander des pièces abusives, non pertinentes et disproportionnées par rapport à la demande. Ainsi, vous ne pourrez par exemple pas demander une copie de la pièce d’identité si la personne concernée a réalisé sa demande depuis un espace où elle est authentifiée. Par ailleurs, si elle demande la suppression de son compte, cela n’entraînera pas automatiquement la suppression des factures car celles-ci doivent être conservées pendant une certaine durée selon la loi.

3 – Répondre par écrit à la demande et supprimer les données si nécessaire 

Vous devez répondre à la demande, même si vous n’allez pas la satisfaire. Vous disposez d’1 mois à compter de sa réception pour y répondre. Ce délai peut être prolongé jusqu’à 3 mois en cas de demande complexe, à condition d’en informer la personne et de lui expliquer les raisons de cette prolongation. 

Si les données à effacer ont été transférées à d’autres structures, vous devez les informer que la personne a demandé la suppression de ces données et leur demander de les effacer (sauf si cela est impossible ou demande des efforts disproportionnés). 

Cet article pourrait aussi vous intéresser : Sanctions CNIL 2024 : les TPE/PME de plus en plus contrôlées

Pouvez-vous refuser une demande d’effacement ? 

Le droit à l’effacement n’est pas absolu. Vous pouvez vous opposer à l’exercice de ce droit quand les données sont nécessaires pour : 

• l’exercice du droit à la liberté d’expression et d’information 

• le respect d’une obligation légale. Par exemple, vous devez conserver les factures pendant 10 ans et vous ne pourrez donc pas les supprimer avant la fin de ce délai 

• des raisons d’intérêt public dans le domaine de la santé publique

• des fins archivistiques dans l’intérêt public, des fins de recherche scientifique ou historique ou à des fins statistiques

• la constatation, l’exercice ou la défense de droits en justice 

Mort numérique : les demandes de suppression de données d’une personne décédée 

Chaque jour, environ 8 000 utilisateurs de Facebook décèdent dans le monde. Que deviennent les comptes de ces utilisateurs et les données qu’ils ont posté en ligne après leur décès ? 

Les individus peuvent tout d’abord définir des directives de leur vivant concernant le devenir de leurs données personnelles après leur mort. Celles-ci peuvent être générales, couvrant l’ensemble des données en ligne, ou particulières, concernant des traitements spécifiques.

En l’absence de telles directives, les proches peuvent demander la clôture du compte de la personne décédée. 

Afin que vos clients puissent anticiper le sort de leurs informations, vous pouvez intégrer une politique de gestion des données post-mortem dans vos conditions d’utilisation. 

Les héritiers ou proches peuvent aussi demander aux réseaux sociaux de mettre à jour un profil et d’actualiser les données. Plusieurs réseaux sociaux proposent aussi diverses fonctionnalités suite à la mort d’une personne. Facebook permet par exemple de transformer le compte d’une personne décédée en « Mémorial ». Il est aussi possible de désigner un contact légataire depuis la page de configuration. 

Pour faciliter ces démarches, la CNIL a regroupé les liens permettant de signaler un décès aux plateformes concernées. Il existe aussi des services spécialisés dans la gestion des informations et la prévoyance funéraire, proposant notamment de s’occuper de la fermeture des comptes en ligne au nom des proches. 

Conclusion 

Il est donc conseillé d’adopter une approche rigoureuse et transparente pour traiter les demandes d’effacement de données. Conformément à la réglementation, vous devez mettre en place des procédures claires permettant aux utilisateurs d’exercer leur droit à l’effacement. Cela passe par la mise en place de formulaires accessibles, un traitement rapide des demandes et une communication efficace sur les démarches à suivre.