Le droit à l'effacement — également connu sous le nom de droit à l'oubli — est l'un des droits les plus fréquemment exercés à l'égard des entreprises et des administrations depuis l'entrée en vigueur du Règlement (UE) 2016/679 (RGPD). Son fondement juridique se trouve à l'article 17 du RGPD, qui accorde à toute personne physique le droit de demander l'effacement de ses données personnelles lorsque certaines circonstances sont réunies. Toutefois, toute demande ne doit pas nécessairement être satisfaite : il existe des exceptions importantes, notamment lorsque l'entreprise est soumise à une obligation légale de conservation des données. Savoir quand une information peut — et quand elle ne doit pas — être supprimée est essentiel pour se conformer au RGPD et pour protéger l'organisation contre d'éventuelles réclamations devant l'Agencia Española de Protección de Datos (AEPD — l'autorité espagnole de protection des données).
Qu'est-ce que le droit à l'effacement selon l'article 17 du RGPD
L'article 17, paragraphe 1, du Règlement (UE) 2016/679 reconnaît à la personne concernée le droit d'obtenir du responsable du traitement l'effacement des données personnelles la concernant dans les meilleurs délais, lorsque l'un des motifs limitativement énumérés par le Règlement est applicable.
Cette disposition distingue expressément deux situations :
- L'effacement des données dans le cadre des relations directes entre la personne concernée et le responsable du traitement (par exemple, un client demandant à une entreprise de supprimer son historique d'achats ou ses coordonnées).
- Le droit à l'oubli à l'égard de données rendues publiques par le responsable lui-même. Dans ce cas, l'article 17, paragraphe 2, du RGPD oblige le responsable à prendre des mesures raisonnables — y compris des mesures techniques — pour informer les tiers qui traitent ces données que la personne concernée a demandé l'effacement de tout lien vers ces données personnelles, de toute copie ou reproduction de celles-ci.
La Loi organique 3/2018, du 5 décembre, relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD — Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) complète le RGPD dans l'ordre juridique espagnol. Son article 15 renvoie à l'article 17 du RGPD pour l'exercice du droit à l'effacement, tandis que l'article 32 de la LOPDGDD régit le blocage des données, obligeant le responsable à bloquer les données en cas de rectification ou d'effacement et à les réserver pendant le délai de prescription des responsabilités éventuelles. Il convient de ne pas confondre la LOPDGDD avec la loi organique 15/1999 (LOPD), désormais abrogée, qu'elle a remplacée.
Quand l'effacement s'impose : les six motifs de l'article 17, paragraphe 1, du RGPD
Le responsable du traitement n'est tenu d'effacer les données que si au moins l'un des six motifs énumérés à l'article 17, paragraphe 1, du RGPD est réuni :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Si une relation commerciale a pris fin depuis plusieurs années et qu'il n'existe aucune autre base juridique justifiant la conservation des données, l'entreprise doit les effacer à l'expiration des délais légaux de conservation.
- La personne concernée retire le consentement sur lequel le traitement était fondé (art. 6, par. 1, point a), ou art. 9, par. 2, point a), du RGPD) et il n'existe pas d'autre fondement juridique.
- La personne concernée s'oppose au traitement conformément à l'article 21, paragraphe 1, du RGPD (opposition fondée sur des motifs légitimes particuliers) et il n'existe pas de motifs légitimes impérieux prévalant, ou la personne concernée s'oppose au traitement à des fins de prospection commerciale (art. 21, par. 2, du RGPD), auquel cas l'opposition n'admet aucune exception.
- Les données ont fait l'objet d'un traitement illicite, c'est-à-dire sans base juridique valable dès l'origine du traitement.
- Les données doivent être effacées pour respecter une obligation légale prévue par le droit de l'Union ou le droit d'un État membre auquel est soumis le responsable du traitement.
- Les données ont été collectées dans le cadre de l'offre de services de la société de l'information à des mineurs (art. 8 du RGPD), sans le consentement parental requis.
Si aucun de ces motifs n'est réuni, le responsable peut refuser la demande en motivant sa décision et informer la personne concernée de son droit d'introduire une réclamation auprès de l'AEPD.
Exceptions : quand l'entreprise peut — ou doit — refuser d'effacer
L'article 17, paragraphe 3, du RGPD dispose que le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire à l'une des fins suivantes :
- L'exercice du droit à la liberté d'expression et d'information, en pondérant l'intérêt public à l'information avec le droit à la vie privée de la personne concernée.
- Le respect d'une obligation légale qui requiert le traitement en vertu du droit de l'Union ou du droit d'un État membre, ou l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
- Des motifs d'intérêt public dans le domaine de la santé publique conformément à l'article 9, paragraphe 2, points h) et i), du RGPD.
- Des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques conformément à l'article 89, paragraphe 1, du RGPD, dans la mesure où le droit à l'effacement est susceptible de rendre impossible ou de compromettre sérieusement la réalisation des objectifs du traitement.
- La constatation, l'exercice ou la défense de droits en justice, qu'il s'agisse de procédures judiciaires, administratives ou extrajudiciaires.
L'exception la plus courante dans le contexte des entreprises est l'obligation légale de conservation. Une entreprise ne peut pas supprimer les factures d'un client même à sa demande, car la réglementation fiscale espagnole (Ley General Tributaria — Loi générale des impôts) impose un délai de conservation de quatre ans pour les documents à portée fiscale ; le droit commercial (Código de Comercio — Code de commerce, art. 30) porte ce délai à six ans pour les livres, la correspondance et la documentation comptable. De même, les données relatives aux salaires, à l'affiliation à la Sécurité sociale et à la prévention des risques professionnels doivent être conservées pendant les délais fixés par la législation du travail et de la Sécurité sociale.
Motifs d'effacement face aux exceptions les plus fréquentes
| Motif d'effacement (art. 17, par. 1, RGPD) | Exception pouvant le neutraliser (art. 17, par. 3, RGPD) | Exemple pratique |
|---|---|---|
| Données devenues inutiles au regard de la finalité initiale | Obligation légale de conservation (fiscale, commerciale, sociale) | Les factures doivent être conservées au moins 4 ans (Ley General Tributaria) même si le client demande leur suppression |
| Retrait du consentement | Aucune exception si le traitement reposait exclusivement sur le consentement et n'est plus nécessaire | La personne concernée retire son consentement aux communications commerciales : les données à des fins de marketing doivent être effacées |
| Opposition au traitement (art. 21 RGPD) | Constatation, exercice ou défense de droits en justice ou en procédure administrative | Un ancien salarié demande la suppression de ses données ; l'entreprise peut les conserver pendant la durée d'un litige prud'homal en cours |
| Traitement illicite dès l'origine | Très limitées ; si le traitement était illicite, l'effacement est la règle générale | Données collectées sans base juridique valable : elles doivent être effacées sans délai |
| Données de mineurs (services de la société de l'information) | Très restrictives ; le mineur ou ses représentants légaux peuvent exiger l'effacement | Plateforme numérique ayant traité les données d'un mineur sans consentement parental valide au sens de l'art. 8 du RGPD |
| Opposition à la prospection commerciale (art. 21, par. 2) | Aucune : l'opposition à la prospection directe n'admet aucune exception au titre de l'art. 17, par. 3 | La personne concernée se désinscrit de la newsletter : les données ne peuvent être utilisées à des fins marketing même si d'autres traitements légitimes existent |
Si votre organisation a besoin d'évaluer si une demande d'effacement spécifique peut être refusée en raison d'une exception légale, Summum Consultoría vous accompagne dans la gestion des droits des personnes concernées, avec une analyse au cas par cas et des protocoles adaptés à chaque secteur et à la taille de chaque entreprise. Nous sommes présents en Castille-et-León (Valladolid, Burgos, Palencia et Aranda de Duero) et aux îles Canaries (Las Palmas).
Différence entre droit à l'effacement et droit à l'oubli
Bien que l'expression « droit à l'oubli » soit couramment utilisée comme synonyme du droit à l'effacement, au sens strict, le droit à l'oubli désigne la dimension spécifique de l'article 17, paragraphe 2, du RGPD : le droit à ce que les données rendues publiques par le responsable cessent de circuler dans les environnements numériques, y compris les résultats des moteurs de recherche.
Cette dimension a été reconnue avant l'adoption du RGPD par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 13 mai 2014, affaire Google Spain SL et Google Inc. contre AEPD et Mario Costeja González (C-131/12). La Cour a déclaré que les moteurs de recherche agissent en qualité de responsables du traitement des données personnelles figurant sur les pages web indexées, et que les citoyens ont le droit de demander la désindexation de résultats qui seraient inadéquats, inexacts, non pertinents ou excessifs au regard des finalités du traitement et du temps écoulé, même si l'information originale avait été publiée de manière licite.
Le droit à l'oubli face aux moteurs de recherche
Lorsqu'une personne concernée exerce le droit à l'oubli à l'encontre d'un moteur de recherche tel que Google, elle le fait directement contre le moteur de recherche en tant que responsable du traitement, indépendamment du site web d'origine où l'information est publiée. Le moteur de recherche doit apprécier si la désindexation est justifiée en pondérant le droit à la vie privée de la personne concernée et l'intérêt public à l'information.
Comment demander la désindexation à Google
Google met à disposition un formulaire officiel de demande de suppression de résultats fondé sur le droit européen de la protection des données. La personne concernée doit indiquer les URL exactes des résultats dont elle demande le retrait et justifier pourquoi chaque résultat est inadéquat, non pertinent ou excessif à son égard au regard du temps écoulé et de sa situation actuelle. Google évalue chaque demande individuellement et peut la rejeter s'il estime que l'intérêt du public à accéder à cette information l'emporte sur le droit à la vie privée du demandeur. En cas de rejet, la personne concernée peut introduire une réclamation auprès de l'AEPD.
Critères appliqués par l'AEPD dans les réclamations relatives au droit à l'oubli
L'AEPD a développé des critères interprétatifs cohérents à travers ses résolutions de protection des droits et son Guide sur le droit à l'oubli dans les moteurs de recherche (Guía sobre el derecho al olvido en buscadores). Les facteurs pertinents sont notamment :
- Le temps écoulé depuis la publication de l'information : plus la distance temporelle est grande, plus le droit à la vie privée l'emporte sur l'intérêt public.
- La nature des données : les données appartenant à des catégories particulières (santé, opinions politiques, origine ethnique, condamnations pénales) pèsent davantage en faveur de la désindexation.
- Le profil de la personne concernée : les personnes ayant une exposition publique — élus, chefs d'entreprise connus, personnalités publiques — bénéficient d'une expectative de vie privée réduite en ce qui concerne leur conduite publique.
- L'actualité et la pertinence de l'information : une information d'actualité d'intérêt général pèse davantage qu'une donnée historique sans utilité informationnelle présente.
- L'exactitude de l'information : des données obsolètes ou partiellement inexactes favorisent la désindexation.
- Le préjudice potentiel pour la personne concernée : une information susceptible de porter gravement atteinte à la réputation, à l'emploi ou à la sécurité personnelle pèse davantage en faveur de l'effacement.
Délais pour répondre à une demande d'effacement
L'article 12 du RGPD fixe le régime général des délais pour l'exercice des droits, applicable au droit à l'effacement :
- Le responsable doit répondre dans un délai d'un mois à compter de la réception de la demande, en informant la personne concernée des mesures prises ou, le cas échéant, des motifs du refus.
- Ce délai peut être prorogé de deux mois supplémentaires lorsque la demande est particulièrement complexe ou qu'un grand nombre de demandes ont été reçues simultanément. Le responsable doit informer la personne concernée de la prorogation et de ses motifs dans le délai d'un mois, sans attendre l'expiration du délai initial.
- Si le responsable décide de ne pas donner suite à la demande — parce qu'aucun des motifs de l'article 17, paragraphe 1, n'est réuni ou parce qu'il invoque une exception de l'article 17, paragraphe 3 — il doit informer la personne concernée dans le délai d'un mois, lui expliquer les motifs concrets et lui rappeler son droit d'introduire une réclamation auprès de l'AEPD et d'exercer un recours juridictionnel.
La gratuité est la règle : le responsable ne peut facturer à la personne concernée le traitement de sa demande (art. 12, par. 5, du RGPD). La seule exception s'applique lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif : dans ce cas, le responsable peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs, ou refuser de donner suite à la demande, à charge pour lui de démontrer le caractère manifestement infondé ou excessif de celle-ci.
Obligation d'informer les tiers de l'effacement : l'article 19 du RGPD
Lorsque le responsable donne suite à une demande d'effacement, l'article 19 du RGPD lui impose l'obligation supplémentaire de communiquer l'effacement à chacun des destinataires auxquels les données personnelles ont été divulguées, sauf si cela s'avère impossible ou exige des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable doit l'informer de l'identité de ces destinataires.
Cette obligation revêt une importance particulière dans des scénarios courants : entreprises partageant des données avec des sociétés du même groupe, systèmes CRM synchronisés avec des sous-traitants externes (agences marketing, plateformes d'emailing, ERP en nuage), ou données transmises à des organismes d'information sur la solvabilité. Si l'effacement est exécuté dans la base de données principale mais que les données persistent dans des bases de données secondaires ou des services en nuage gérés par des sous-traitants, l'effacement est incomplet et le responsable reste en infraction au RGPD.
L'article 28 du RGPD exige que les contrats de sous-traitance régissent expressément l'obligation du sous-traitant d'effacer ou de restituer toutes les données personnelles au responsable du traitement, au choix de ce dernier, à l'issue de la prestation de services ou sur demande du responsable. Vérifier cette clause dans les contrats conclus avec les fournisseurs est une étape indispensable avant de répondre à une demande d'effacement.
Comment gérer les demandes d'effacement dans votre organisation
Gérer correctement le droit à l'effacement au sein d'une organisation requiert un protocole interne clair et documenté couvrant au minimum les éléments suivants :
- Un canal de réception des demandes accessible. L'article 12 du RGPD interdit d'imposer des obstacles à l'exercice des droits. Le canal doit être clairement identifié dans la politique de confidentialité et facile à utiliser (formulaire en ligne, adresse électronique dédiée, adresse postale).
- Vérification raisonnable de l'identité du demandeur. Avant d'effacer des données, le responsable doit confirmer raisonnablement que la personne qui demande l'effacement est effectivement la personne concernée ou son représentant légal (art. 12, par. 6, du RGPD). Il n'est pas admissible d'exiger des documents disproportionnés, mais il est légitime de demander des informations permettant de confirmer l'identité.
- Analyse du bien-fondé de la demande. L'un des six motifs de l'article 17, paragraphe 1, est-il réuni ? L'une des exceptions de l'article 17, paragraphe 3, s'applique-t-elle ? Cette décision doit être documentée en interne, quel qu'en soit le résultat.
- Exécution technique de l'effacement dans tous les systèmes. Suppression effective dans la base de données principale, dans les systèmes des sous-traitants (art. 28 du RGPD) et dans les systèmes d'archivage. Les données doivent ne plus être disponibles pour restauration à partir des sauvegardes lors des prochains cycles de renouvellement.
- Notification aux tiers destinataires conformément à l'article 19 du RGPD, avec documentation des communications envoyées.
- Réponse documentée à la personne concernée dans le délai d'un mois, indiquant les mesures prises ou les motifs du refus.
L'équipe protection des données de Summum Consultoría vous accompagne dans la mise en place de protocoles de gestion des droits des personnes concernées, notamment la conception du canal d'exercice, les modèles de réponse conformes au RGPD et la formation du personnel chargé du traitement des demandes. Depuis 2007, nous aidons les entreprises de Castille-et-León et des îles Canaries à adapter leurs processus à la réglementation en matière de protection des données.
Conséquences du non-respect
Ne pas donner suite à une demande d'effacement qui était fondée, ou ne pas le faire dans les délais requis sans motif justifié, peut entraîner :
- Une réclamation auprès de l'AEPD de la part de la personne concernée, pouvant déboucher sur une procédure de sanction d'office contre l'entreprise.
- Des amendes administratives en vertu de l'article 83 du RGPD. Le non-respect de l'article 17 peut être qualifié d'infraction grave ou très grave au sens de la LOPDGDD. L'article 83, paragraphe 5, du RGPD prévoit des amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. L'article 83, paragraphe 4, prévoit des amendes pouvant atteindre 10 000 000 EUR ou 2 % pour les infractions moins graves. L'AEPD tient compte dans chaque affaire de la nature, de la gravité et de la durée de l'infraction, du degré de responsabilité et des mesures prises pour atténuer les dommages.
- Des actions civiles de la part de la personne concernée afin d'obtenir la protection de son droit et, le cas échéant, une indemnisation pour le préjudice subi.
Foire aux questions
Une entreprise peut-elle refuser de supprimer mes données si elle les utilise pour m'envoyer de la publicité ?
Non. Si la personne concernée exerce le droit d'opposition au traitement à des fins de prospection commerciale conformément à l'article 21, paragraphe 2, du RGPD, le responsable doit cesser immédiatement ce traitement, sans qu'il soit nécessaire d'invoquer un motif personnel. Si la seule base juridique justifiant la conservation des données était ce traitement à des fins marketing, l'effacement s'impose également. Un refus injustifié peut faire l'objet d'une réclamation auprès de l'AEPD, qui peut engager une procédure de sanction d'office.
Dans quel délai une entreprise doit-elle effacer mes données après ma demande ?
Le RGPD exige que l'effacement intervienne dans les meilleurs délais (art. 17, par. 1) et que la réponse à la personne concernée soit donnée dans un délai maximum d'un mois à compter de la réception de la demande, prorogeable à trois mois dans les cas complexes. En pratique, l'exécution technique peut nécessiter un délai raisonnable lorsqu'elle implique des systèmes de tiers, mais la réponse à la personne concernée et le début de l'exécution doivent toujours intervenir dans le premier mois. Dépasser ce délai sans aucune communication constitue en soi une violation de l'article 12 du RGPD.
Le droit à l'effacement implique-t-il que Google supprime les résultats qui apparaissent lorsque mon nom est recherché ?
L'article 17, paragraphe 2, du RGPD oblige le responsable qui a rendu les données publiques à informer les tiers qui les traitent — moteurs de recherche compris — de la demande d'effacement. Toutefois, la personne concernée peut également s'adresser directement à Google via son formulaire officiel de désindexation fondé sur le droit européen, sans devoir passer préalablement par le responsable de la publication initiale. Si Google rejette la demande de désindexation, la personne concernée peut saisir l'AEPD, qui statuera en pondérant le droit à la vie privée et l'intérêt public à l'information selon les critères décrits dans son Guide sur le droit à l'oubli dans les moteurs de recherche.
L'entreprise doit-elle également effacer les copies de sauvegarde ?
Oui, avec des nuances techniques. L'effacement doit être effectif et inclure également les systèmes de sauvegarde, mais il est admissible que la suppression intervienne lors des prochains cycles de renouvellement des sauvegardes et non immédiatement. Ce qui est exigible dès le premier instant, c'est que les données effacées ne soient pas restaurées à partir de ces sauvegardes, sauf pour une finalité distincte dûment justifiée. Le responsable doit documenter cette procédure dans le registre des activités de traitement et indiquer les délais d'effacement dans les sauvegardes dans sa politique de conservation des données.