Exercez vos droits - Article 17 PIBR - Faites supprimer vos données !

Vous avez annulé votre abonnement à la salle de sport ? Ou supprimé une application d'entraînement sur votre téléphone ? Saviez-vous que ces gymnases ou applications peuvent être obligés de supprimer les données qu'ils possèdent sur vous ?

La GDPR a considérablement renforcé nos droits en matière de suppression de données personnelles inexactes, obsolètes ou utilisées illégalement. Lisez ce qui suit pour savoir comment exercer votre droit de faire supprimer vos données..

Cette page est uniquement disponible en tant que traduction automatique en français. Vous pouvez toujours basculer vers la version anglaise originale.

Votre droit d'être oublié

Qu'est-ce qu'un droit de suppression ?

Dans le GDPR, le droit à la suppression est également appelé droit à l'effacement, ou "droit à l'oubli*". C'est pourquoi les termes "supprimer" et "effacer" sont souvent utilisés de manière interchangeable. Ce droit concerne vos données personnelles traitées par les entreprises, les organisations et les commerces que vous souhaitez voir effacées ou supprimées de leurs systèmes.

Notez que "le droit d'être oublié" est aussi parfois utilisé pour faire référence à un droit de radiation de la liste.

Si les droits de radiation ou d'effacement peuvent être considérés comme similaires, ils ne sont pas pour autant identiques. Le droit de radiation s'applique spécifiquement aux données à caractère personnel vous concernant qui peuvent être trouvées via les moteurs de recherche. Par exemple, lorsque vous demandez à Google de supprimer certains résultats qui apparaissent lorsque vous tapez votre nom dans la barre de recherche Google, vous exercez votre droit de radiation. Votre droit d'effacement est plus large, car il s'applique à tous les responsables du traitement qui traitent vos données, et pas seulement aux moteurs de recherche.

Étape 1 : Déterminez à qui envoyer votre demande

Étape 2 : Rédaction de votre demande

Étape 3 : Réponse du contrôleur

Étape 4 : Que se passe-t-il si le responsable du traitement refuse d'effacer mes données ?

Quand les responsables du traitement doivent-ils effacer mes données ?

Les responsables du traitement doivent effacer vos données dans l'un des cas suivants :

  • La conservation ou l'utilisation de vos données n'est plus nécessaire aux fins pour lesquelles elles ont été initialement collectées, et il n'existe aucune nouvelle raison de les traiter ou de les conserver (par exemple, votre abonnement à la salle de sport a expiré il y a plusieurs mois et vous avez payé vos frais d'adhésion à temps)
  • Le responsable du traitement se fonde sur votre consentement pour traiter les données et vous le retirez (pour savoir comment retirer votre consentement, lisez ici),
  • Vous vous opposez au traitement de vos données et il n'y a pas de raison impérieuse pour que le responsable du traitement continue à les traiter, ou vos données sont utilisées à des fins de marketing direct (voir plus sur le droit d'opposition)
  • Le responsable du traitement traite vos données illégalement (par exemple, il les traite sans base juridique ou en violation d'un des principes du traitement des données à caractère personnel) ;
  • Les données doivent être supprimées pour que le responsable du traitement respecte une obligation légale (par exemple, l'obligation pour une banque de supprimer toute donnée concernant vos dettes après plusieurs années) ;
  • Les données ont été collectées dans le cadre de l'offre de services de la société de l'information (par exemple les médias sociaux ou une application de jeu) sur la base du consentement d'un enfant (l'âge du consentement est de 13 à 16 ans, selon le pays de l'UE dans lequel vous vivez).

Y a-t-il des exceptions à cette obligation de supprimer mes données ?

Oui, mais le responsable du traitement devra démontrer que l'exception s'applique à votre situation particulière, c'est-à-dire qu'il ne peut pas invoquer une excuse générale pour refuser de supprimer des données

Les responsables du traitement peuvent ne pas être tenus d'effacer vos données si l'une des conditions suivantes s'applique :

  • La conservation ou l'utilisation des données est nécessaire à la liberté d'expression ou d'information (par exemple, un journal a publié son enquête en ligne),
  • Les données doivent être traitées afin que le responsable du traitement respecte une obligation légale (par exemple, les lois fiscales nationales peuvent exiger que certaines données personnelles des contribuables soient conservées),
  • Les données doivent être conservées pour des raisons de santé publique (par exemple, les données des visiteurs sont conservées par un hôpital pour éviter la contamination par un virus),
  • La suppression des données "compromettrait gravement ou rendrait impossible" le traitement des informations à des fins statistiques, historiques ou scientifiques (par exemple dans le cas de l'archivage),
  • La conservation des données est nécessaire pour introduire ou répondre à une demande en justice (cette demande doit être en cours au moment où vous faites votre demande ; cette exception n'autorise pas le responsable du traitement à conserver vos données "juste au cas où" une demande serait introduite un jour)

Puis-je demander la suppression de mes données dans tous les cas ?

Certaines exceptions existent, selon les pays. Les exceptions les plus courantes se situent dans le domaine de la police et des services répressifs, de la sécurité nationale ou de la fiscalité

Le responsable du traitement peut également refuser votre demande d'effacement de vos données si la demande est excessive (par exemple, plusieurs demandes similaires sur la même question) ou manifestement non fondée (par exemple, dans l'intention de provoquer des perturbations)

Qui doit effacer mes données à caractère personnel ?

Si vous faites une demande d'effacement de vos données à caractère personnel, c'est le responsable du traitement (l'organisation/entité/administration/société qui traite vos données) qui doit prendre les mesures appropriées pour les effacer. Le responsable du traitement doit également informer les autres responsables du traitement, les sous-traitants (s'ils leur ont sous-traité le traitement) et tout autre destinataire, que vous souhaitez que vos données soient effacées et qu'elles doivent l'être.

Comment faire pour qu'un responsable du traitement efface mes données ?

Étape 1 : Identifiez la personne à qui envoyer votre demande

Une demande de suppression de vos données doit être adressée au responsable du traitement (l'organisation/entité/administration/société qui traite vos données)

Cette demande peut être faite par courrier électronique, lettre, télécopie ou au moyen d'un formulaire, pour autant que vous ayez une trace écrite de la demande. Lorsque le traitement est en ligne, les responsables du traitement doivent fournir des moyens automatisés (comme un formulaire ou un lien permettant de s'opposer dans un courrier électronique) pour s'opposer au traitement de vos données

L'adresse électronique pertinente se trouve généralement dans la section "Politique de confidentialité" ou "Contactez-nous" du site web du responsable du traitement. Elle portera généralement un nom tel que privacy@company.com ou legal@publicauthority.eu. Si elle est difficile à trouver, ou s'il n'y a pas d'adresse spécifique à laquelle vous pouvez envoyer votre demande, c'est la faute du responsable du traitement, et non la vôtre - la GDPR exige que les responsables du traitement rendent ces informations facilement accessibles. Lorsqu'il n'y a pas d'adresse électronique spécifique, vous pouvez utiliser les coordonnées générales du contrôleur.

Étape 2 : Rédaction de votre demande

  • Informez le responsable du traitement que vous demandez la suppression de vos données et que vous demandez au responsable du traitement de vous confirmer qu'il a mis fin au traitement. Si plusieurs traitements vous concernent, précisez ceux que vous souhaitez arrêter
  • Précisez votre le nom ou tout autre identifiant utilisé par le responsable du traitement (par exemple, un nom d'utilisateur de compte)Pour aider le responsable du traitement à traiter votre demande de manière plus efficace, incluez certaines informations qui permettraient d'identifier votre compte , comme votre numéro de téléphone (si vous l'avez donné lors de votre inscription), votre nom d'utilisateur ou votre nom de compte, ou votre adresse IP. Cela sera particulièrement utile si vous avez un prénom et un nom de famille communs.
  • Indiquez la date dans le texte, si vous faites votre demande dans une pièce jointe au courriel ou dans une lettre. Cela clarifie le délai dans lequel le responsable du traitement doit fournir les informations.
  • Mention dans votre courrier électronique ou votre lettre:
    • que vous demandez l'effacement immédiat de vos données (vous pouvez faire une référence explicite à l'article 17 GDPR),
    • que vous souhaitez obtenir la confirmation que le responsable du traitement a supprimé vos données dans le mois suivant votre demande,
    • la ou les raisons pour lesquelles le responsable du traitement est obligé de supprimer vos données (voir la liste des motifs ci-dessus dans "Quand les responsables du traitement doivent-ils supprimer mes données ? Vous pouvez inclure plus d'une raison expliquant pourquoi le responsable du traitement doit supprimer vos données)
    • que si les données ont été divulguées à d'autres destinataires, ces parties doivent être informées de votre demande et les données supprimées de leurs systèmes également
  • Précisez comment vous souhaitez recevoir l'informationpar exemple, par voie électronique, via une adresse électronique.
  • Vous pouvez demander au responsable du traitement de confirmer qu'il s'abstiendra de traiter les données contestées pendant qu'il traite votre demande Dans ce cas, précisez que vous souhaitez exercer votre droit de limitation de vos données en vertu de l'article 18, paragraphe 1, point d), du RIPD

Si vous préférez, vous pouvez également utiliser les outils fournis par mydatadoneright.eu. Leur système écrira et enverra la demande d'effacement pour vous.

Étape 3 : Réponse du contrôleur

Dès que le responsable du traitement reçoit votre demande, il dispose d'un mois pour répondre et confirmer qu'il a supprimé vos données. Ce délai ne peut être prolongé qu'une seule fois de deux mois au maximum, en cas de demandes complexes ou multiples

En cas de doute, le responsable du traitement peut vous demander des informations supplémentaires pour confirmer votre identité. Toutefois, une telle demande doit se limiter aux informations supplémentaires nécessaires pour confirmer votre identité. Les informations supplémentaires ne peuvent pas être disproportionnées, compte tenu du contexte du traitement de vos données (par exemple, un magasin vous demandant une copie de votre passeport pour changer l'adresse d'une carte de fidélité serait disproportionné)

En général, cette réponse doit vous être fournie par écrit, mais elle peut vous être communiquée par des moyens électroniques tels que le courrier électronique, ou elle peut être fournie oralement si vous le demandez.

Étape 4 : Que se passe-t-il si le responsable du traitement refuse d'effacer mes données ?

Un responsable du traitement peut répondre à votre demande en indiquant qu'il a décidé de ne pas effacer tout ou partie des données dont vous avez demandé l'effacement. S'il le fait, il doit expliquer pourquoi et démontrer dans son explication comment l'une des exceptions s'applique dans votre cas particulier (voir les explications ci-dessus). Le responsable du traitement ne peut pas refuser d'effacer les données pour toute autre raison, ni vous donner une réponse générale et générale

Si le responsable du traitement :

  • rejette votre demande sans explication satisfaisante,
  • tente de vous faire payer votre demande de façon injustifiée,
  • ne le fait pas :
    • ne restreint pas le traitement de votre demande (si vous l'avez demandé),
    • répondre après un mois (ou une période prolongée de 3 mois maximum),

vous avez le droit de déposer une plainte auprès d'une autorité de protection des données (par exemple la DPA de votre lieu de résidence ou de travail), et le responsable du traitement doit vous en informer

Si vous avez besoin d'aide pour évaluer les éléments juridiques de la réponse d'un responsable du traitement, vous pouvez nous contacter à l'adresse suivante info@noyb.eu pour discuter des prochaines étapes.

Retour à Exercer vos droits