Droit à l'effacement (droit à l'oubli) en Espagne

·

Le droit à l'effacement — également connu sous le nom de droit à l'oubli — est l'un des droits les plus fréquemment exercés à l'égard des entreprises et des administrations depuis l'entrée en vigueur du Règlement (UE) 2016/679 (RGPD). Son fondement juridique se trouve à l'article 17 du RGPD, qui accorde à toute personne physique le droit de demander l'effacement de ses données personnelles lorsque certaines circonstances sont réunies. Toutefois, toute demande ne doit pas nécessairement être satisfaite : il existe des exceptions importantes, notamment lorsque l'entreprise est soumise à une obligation légale de conservation des données. Savoir quand une information peut — et quand elle ne doit pas — être supprimée est essentiel pour se conformer au RGPD et pour protéger l'organisation contre d'éventuelles réclamations devant l'Agencia Española de Protección de Datos (AEPD — l'autorité espagnole de protection des données).

Qu'est-ce que le droit à l'effacement selon l'article 17 du RGPD

L'article 17, paragraphe 1, du Règlement (UE) 2016/679 reconnaît à la personne concernée le droit d'obtenir du responsable du traitement l'effacement des données personnelles la concernant dans les meilleurs délais, lorsque l'un des motifs limitativement énumérés par le Règlement est applicable.

Cette disposition distingue expressément deux situations :

La Loi organique 3/2018, du 5 décembre, relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD — Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) complète le RGPD dans l'ordre juridique espagnol. Son article 15 renvoie à l'article 17 du RGPD pour l'exercice du droit à l'effacement, tandis que l'article 32 de la LOPDGDD régit le blocage des données, obligeant le responsable à bloquer les données en cas de rectification ou d'effacement et à les réserver pendant le délai de prescription des responsabilités éventuelles. Il convient de ne pas confondre la LOPDGDD avec la loi organique 15/1999 (LOPD), désormais abrogée, qu'elle a remplacée.

Quand l'effacement s'impose : les six motifs de l'article 17, paragraphe 1, du RGPD

Le responsable du traitement n'est tenu d'effacer les données que si au moins l'un des six motifs énumérés à l'article 17, paragraphe 1, du RGPD est réuni :

  1. Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Si une relation commerciale a pris fin depuis plusieurs années et qu'il n'existe aucune autre base juridique justifiant la conservation des données, l'entreprise doit les effacer à l'expiration des délais légaux de conservation.
  2. La personne concernée retire le consentement sur lequel le traitement était fondé (art. 6, par. 1, point a), ou art. 9, par. 2, point a), du RGPD) et il n'existe pas d'autre fondement juridique.
  3. La personne concernée s'oppose au traitement conformément à l'article 21, paragraphe 1, du RGPD (opposition fondée sur des motifs légitimes particuliers) et il n'existe pas de motifs légitimes impérieux prévalant, ou la personne concernée s'oppose au traitement à des fins de prospection commerciale (art. 21, par. 2, du RGPD), auquel cas l'opposition n'admet aucune exception.
  4. Les données ont fait l'objet d'un traitement illicite, c'est-à-dire sans base juridique valable dès l'origine du traitement.
  5. Les données doivent être effacées pour respecter une obligation légale prévue par le droit de l'Union ou le droit d'un État membre auquel est soumis le responsable du traitement.
  6. Les données ont été collectées dans le cadre de l'offre de services de la société de l'information à des mineurs (art. 8 du RGPD), sans le consentement parental requis.

Si aucun de ces motifs n'est réuni, le responsable peut refuser la demande en motivant sa décision et informer la personne concernée de son droit d'introduire une réclamation auprès de l'AEPD.

Exceptions : quand l'entreprise peut — ou doit — refuser d'effacer

L'article 17, paragraphe 3, du RGPD dispose que le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire à l'une des fins suivantes :

L'exception la plus courante dans le contexte des entreprises est l'obligation légale de conservation. Une entreprise ne peut pas supprimer les factures d'un client même à sa demande, car la réglementation fiscale espagnole (Ley General Tributaria — Loi générale des impôts) impose un délai de conservation de quatre ans pour les documents à portée fiscale ; le droit commercial (Código de Comercio — Code de commerce, art. 30) porte ce délai à six ans pour les livres, la correspondance et la documentation comptable. De même, les données relatives aux salaires, à l'affiliation à la Sécurité sociale et à la prévention des risques professionnels doivent être conservées pendant les délais fixés par la législation du travail et de la Sécurité sociale.

Motifs d'effacement face aux exceptions les plus fréquentes

Motif d'effacement (art. 17, par. 1, RGPD) Exception pouvant le neutraliser (art. 17, par. 3, RGPD) Exemple pratique
Données devenues inutiles au regard de la finalité initiale Obligation légale de conservation (fiscale, commerciale, sociale) Les factures doivent être conservées au moins 4 ans (Ley General Tributaria) même si le client demande leur suppression
Retrait du consentement Aucune exception si le traitement reposait exclusivement sur le consentement et n'est plus nécessaire La personne concernée retire son consentement aux communications commerciales : les données à des fins de marketing doivent être effacées
Opposition au traitement (art. 21 RGPD) Constatation, exercice ou défense de droits en justice ou en procédure administrative Un ancien salarié demande la suppression de ses données ; l'entreprise peut les conserver pendant la durée d'un litige prud'homal en cours
Traitement illicite dès l'origine Très limitées ; si le traitement était illicite, l'effacement est la règle générale Données collectées sans base juridique valable : elles doivent être effacées sans délai
Données de mineurs (services de la société de l'information) Très restrictives ; le mineur ou ses représentants légaux peuvent exiger l'effacement Plateforme numérique ayant traité les données d'un mineur sans consentement parental valide au sens de l'art. 8 du RGPD
Opposition à la prospection commerciale (art. 21, par. 2) Aucune : l'opposition à la prospection directe n'admet aucune exception au titre de l'art. 17, par. 3 La personne concernée se désinscrit de la newsletter : les données ne peuvent être utilisées à des fins marketing même si d'autres traitements légitimes existent

Si votre organisation a besoin d'évaluer si une demande d'effacement spécifique peut être refusée en raison d'une exception légale, Summum Consultoría vous accompagne dans la gestion des droits des personnes concernées, avec une analyse au cas par cas et des protocoles adaptés à chaque secteur et à la taille de chaque entreprise. Nous sommes présents en Castille-et-León (Valladolid, Burgos, Palencia et Aranda de Duero) et aux îles Canaries (Las Palmas).

Différence entre droit à l'effacement et droit à l'oubli

Bien que l'expression « droit à l'oubli » soit couramment utilisée comme synonyme du droit à l'effacement, au sens strict, le droit à l'oubli désigne la dimension spécifique de l'article 17, paragraphe 2, du RGPD : le droit à ce que les données rendues publiques par le responsable cessent de circuler dans les environnements numériques, y compris les résultats des moteurs de recherche.

Cette dimension a été reconnue avant l'adoption du RGPD par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 13 mai 2014, affaire Google Spain SL et Google Inc. contre AEPD et Mario Costeja González (C-131/12). La Cour a déclaré que les moteurs de recherche agissent en qualité de responsables du traitement des données personnelles figurant sur les pages web indexées, et que les citoyens ont le droit de demander la désindexation de résultats qui seraient inadéquats, inexacts, non pertinents ou excessifs au regard des finalités du traitement et du temps écoulé, même si l'information originale avait été publiée de manière licite.

Le droit à l'oubli face aux moteurs de recherche

Lorsqu'une personne concernée exerce le droit à l'oubli à l'encontre d'un moteur de recherche tel que Google, elle le fait directement contre le moteur de recherche en tant que responsable du traitement, indépendamment du site web d'origine où l'information est publiée. Le moteur de recherche doit apprécier si la désindexation est justifiée en pondérant le droit à la vie privée de la personne concernée et l'intérêt public à l'information.

Comment demander la désindexation à Google

Google met à disposition un formulaire officiel de demande de suppression de résultats fondé sur le droit européen de la protection des données. La personne concernée doit indiquer les URL exactes des résultats dont elle demande le retrait et justifier pourquoi chaque résultat est inadéquat, non pertinent ou excessif à son égard au regard du temps écoulé et de sa situation actuelle. Google évalue chaque demande individuellement et peut la rejeter s'il estime que l'intérêt du public à accéder à cette information l'emporte sur le droit à la vie privée du demandeur. En cas de rejet, la personne concernée peut introduire une réclamation auprès de l'AEPD.

Critères appliqués par l'AEPD dans les réclamations relatives au droit à l'oubli

L'AEPD a développé des critères interprétatifs cohérents à travers ses résolutions de protection des droits et son Guide sur le droit à l'oubli dans les moteurs de recherche (Guía sobre el derecho al olvido en buscadores). Les facteurs pertinents sont notamment :

Délais pour répondre à une demande d'effacement

L'article 12 du RGPD fixe le régime général des délais pour l'exercice des droits, applicable au droit à l'effacement :

La gratuité est la règle : le responsable ne peut facturer à la personne concernée le traitement de sa demande (art. 12, par. 5, du RGPD). La seule exception s'applique lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif : dans ce cas, le responsable peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs, ou refuser de donner suite à la demande, à charge pour lui de démontrer le caractère manifestement infondé ou excessif de celle-ci.

Obligation d'informer les tiers de l'effacement : l'article 19 du RGPD

Lorsque le responsable donne suite à une demande d'effacement, l'article 19 du RGPD lui impose l'obligation supplémentaire de communiquer l'effacement à chacun des destinataires auxquels les données personnelles ont été divulguées, sauf si cela s'avère impossible ou exige des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable doit l'informer de l'identité de ces destinataires.

Cette obligation revêt une importance particulière dans des scénarios courants : entreprises partageant des données avec des sociétés du même groupe, systèmes CRM synchronisés avec des sous-traitants externes (agences marketing, plateformes d'emailing, ERP en nuage), ou données transmises à des organismes d'information sur la solvabilité. Si l'effacement est exécuté dans la base de données principale mais que les données persistent dans des bases de données secondaires ou des services en nuage gérés par des sous-traitants, l'effacement est incomplet et le responsable reste en infraction au RGPD.

L'article 28 du RGPD exige que les contrats de sous-traitance régissent expressément l'obligation du sous-traitant d'effacer ou de restituer toutes les données personnelles au responsable du traitement, au choix de ce dernier, à l'issue de la prestation de services ou sur demande du responsable. Vérifier cette clause dans les contrats conclus avec les fournisseurs est une étape indispensable avant de répondre à une demande d'effacement.

Comment gérer les demandes d'effacement dans votre organisation

Gérer correctement le droit à l'effacement au sein d'une organisation requiert un protocole interne clair et documenté couvrant au minimum les éléments suivants :

  1. Un canal de réception des demandes accessible. L'article 12 du RGPD interdit d'imposer des obstacles à l'exercice des droits. Le canal doit être clairement identifié dans la politique de confidentialité et facile à utiliser (formulaire en ligne, adresse électronique dédiée, adresse postale).
  2. Vérification raisonnable de l'identité du demandeur. Avant d'effacer des données, le responsable doit confirmer raisonnablement que la personne qui demande l'effacement est effectivement la personne concernée ou son représentant légal (art. 12, par. 6, du RGPD). Il n'est pas admissible d'exiger des documents disproportionnés, mais il est légitime de demander des informations permettant de confirmer l'identité.
  3. Analyse du bien-fondé de la demande. L'un des six motifs de l'article 17, paragraphe 1, est-il réuni ? L'une des exceptions de l'article 17, paragraphe 3, s'applique-t-elle ? Cette décision doit être documentée en interne, quel qu'en soit le résultat.
  4. Exécution technique de l'effacement dans tous les systèmes. Suppression effective dans la base de données principale, dans les systèmes des sous-traitants (art. 28 du RGPD) et dans les systèmes d'archivage. Les données doivent ne plus être disponibles pour restauration à partir des sauvegardes lors des prochains cycles de renouvellement.
  5. Notification aux tiers destinataires conformément à l'article 19 du RGPD, avec documentation des communications envoyées.
  6. Réponse documentée à la personne concernée dans le délai d'un mois, indiquant les mesures prises ou les motifs du refus.

L'équipe protection des données de Summum Consultoría vous accompagne dans la mise en place de protocoles de gestion des droits des personnes concernées, notamment la conception du canal d'exercice, les modèles de réponse conformes au RGPD et la formation du personnel chargé du traitement des demandes. Depuis 2007, nous aidons les entreprises de Castille-et-León et des îles Canaries à adapter leurs processus à la réglementation en matière de protection des données.

Conséquences du non-respect

Ne pas donner suite à une demande d'effacement qui était fondée, ou ne pas le faire dans les délais requis sans motif justifié, peut entraîner :

Foire aux questions

Une entreprise peut-elle refuser de supprimer mes données si elle les utilise pour m'envoyer de la publicité ?

Non. Si la personne concernée exerce le droit d'opposition au traitement à des fins de prospection commerciale conformément à l'article 21, paragraphe 2, du RGPD, le responsable doit cesser immédiatement ce traitement, sans qu'il soit nécessaire d'invoquer un motif personnel. Si la seule base juridique justifiant la conservation des données était ce traitement à des fins marketing, l'effacement s'impose également. Un refus injustifié peut faire l'objet d'une réclamation auprès de l'AEPD, qui peut engager une procédure de sanction d'office.

Dans quel délai une entreprise doit-elle effacer mes données après ma demande ?

Le RGPD exige que l'effacement intervienne dans les meilleurs délais (art. 17, par. 1) et que la réponse à la personne concernée soit donnée dans un délai maximum d'un mois à compter de la réception de la demande, prorogeable à trois mois dans les cas complexes. En pratique, l'exécution technique peut nécessiter un délai raisonnable lorsqu'elle implique des systèmes de tiers, mais la réponse à la personne concernée et le début de l'exécution doivent toujours intervenir dans le premier mois. Dépasser ce délai sans aucune communication constitue en soi une violation de l'article 12 du RGPD.

Le droit à l'effacement implique-t-il que Google supprime les résultats qui apparaissent lorsque mon nom est recherché ?

L'article 17, paragraphe 2, du RGPD oblige le responsable qui a rendu les données publiques à informer les tiers qui les traitent — moteurs de recherche compris — de la demande d'effacement. Toutefois, la personne concernée peut également s'adresser directement à Google via son formulaire officiel de désindexation fondé sur le droit européen, sans devoir passer préalablement par le responsable de la publication initiale. Si Google rejette la demande de désindexation, la personne concernée peut saisir l'AEPD, qui statuera en pondérant le droit à la vie privée et l'intérêt public à l'information selon les critères décrits dans son Guide sur le droit à l'oubli dans les moteurs de recherche.

L'entreprise doit-elle également effacer les copies de sauvegarde ?

Oui, avec des nuances techniques. L'effacement doit être effectif et inclure également les systèmes de sauvegarde, mais il est admissible que la suppression intervienne lors des prochains cycles de renouvellement des sauvegardes et non immédiatement. Ce qui est exigible dès le premier instant, c'est que les données effacées ne soient pas restaurées à partir de ces sauvegardes, sauf pour une finalité distincte dûment justifiée. Le responsable doit documenter cette procédure dans le registre des activités de traitement et indiquer les délais d'effacement dans les sauvegardes dans sa politique de conservation des données.