Réponse
Le règlement général sur la protection des données (RGPD) donne aux personnes le droit de demander que leurs données soient supprimées, et les organisations ont une obligation de le faire, sauf dans les cas suivants:
- lorsque les données à caractère personnel que votre entreprise/organisation détient sont nécessaires à l’exercice du droit à la liberté d’expression;
- lorsqu’une obligation légale impose de conserver les données;
- pour des raisons d’intérêt public (par exemple la santé publique ou à des fins de recherche scientifique ou historique).
Si votre entreprise/organisation a traité des données de manière illicite, elle doit les supprimer. Les données à caractère personnel collectées lorsque la personne concernée était mineure doivent être supprimées.
En ce qui concerne le droit à l’oubli en ligne, les organisations doivent prendre des mesures raisonnables (par exemple des mesures techniques) pour informer les autres sites internet qu’une personne a demandé l’effacement de ses données à caractère personnel.
Les données peuvent également être conservées si elles ont subi un processus approprié d’anonymisation.
Exemples
Les données ne doivent pas être supprimées
Votre entreprise/organisation dirige un journal en ligne. Un de vos journalistes publie l’histoire d’un homme politique qui a blanchi de l’argent dans des banques offshore. Cet homme politique demande de supprimer le récit car des données à caractère personnel le concernant sont traitées. Étant donné que ces données à caractère personnel sont utilisées pour exercer un droit à la liberté d’expression, votre entreprise/organisation n’est, en principe, pas tenue de les supprimer. Toutefois, tout dépend de la législation nationale en vigueur.
Les données doivent être supprimées
Votre entreprise/organisation dirige une plateforme de réseau social. Un mineur met en ligne des photos. Toutefois, quelques années plus tard, il estime qu’elles peuvent porter préjudice à ses projets de carrière. Étant donné que la personne concernée était mineure au moment où les photos ont été mises en ligne, votre entreprise/organisation est tenue de les supprimer. En outre, si les photos ont été traitées sur d’autres sites internet, votre entreprise/organisation doit prendre des mesures raisonnables pour informer ceux-ci qu’une demande a été formulée pour les supprimer.
Références
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.