1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:
|
(a) |
les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière; |
|
(b) |
la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement; |
|
(c) |
la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2; |
|
(d) |
les données à caractère personnel ont fait l’objet d’un traitement illicite; |
|
(e) |
les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis; |
|
(f) |
les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1. |
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:
|
(a) |
à l’exercice du droit à la liberté d’expression et d’information; |
|
(b) |
pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; |
|
(c) |
pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3; |
|
(d) |
à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou |
|
(e) |
à la constatation, à l’exercice ou à la défense de droits en justice. |
Si vous avez collecté des données pour un projet spécifique et que celui-ci est maintenant terminé, l’effacement peut s’avérer nécessaire.
Si le traitement repose uniquement sur le consentement d’une personne et que celle-ci change d’avis, vous devez effacer les données, à moins qu’il n’existe une autre base légale.
Si une personne s’oppose au traitement de ses données et que vous ne pouvez pas fournir de raison impérieuse de continuer, vous êtes tenu de supprimer ses données.
Si vous découvrez que vous avez traité des données sans base juridique légitime, ces données doivent être supprimées.
Vous devez respecter les lois de l’UE ou des États membres qui imposent l’effacement de certaines données.
Des protections spéciales sont en place pour les données relatives aux enfants, et l’effacement peut s’avérer nécessaire dans certaines situations.
Si vous avez publié des données à caractère personnel et qu’il vous est demandé de les effacer, vous devez prendre des mesures raisonnables pour informer les autres organisations qui traitent ces données de la demande d’effacement. Cette procédure doit consister à demander la suppression des liens, des copies ou des réplications.
Oui, il y a des exceptions. L’effacement n’est pas nécessaire lorsque
Le RGPD vous oblige à supprimer les données à caractère personnel sans retard injustifié après avoir reçu une demande valide.
Commencez par établir des procédures internes claires pour traiter les demandes d’effacement. Il s’agit notamment de vérifier l’identité de la personne, d’évaluer si la suppression est légalement requise et de décrire le processus de suppression des données dans tous les systèmes et sauvegardes concernés.
Il est essentiel de savoir où votre organisation stocke les données à caractère personnel, ce qui constitue une bonne raison de disposer d’un registre détaillé des activités de traitement, comme l’exige l’article 30. Cela permettra d’assurer une suppression complète lorsque des demandes sont reçues.
Les outils techniques et l’automatisation peuvent constituer un atout majeur, en particulier pour les organisations dont les processus et le stockage des données sont complexes. Pensez à un logiciel qui permet de localiser et d’effacer les données personnelles.
Étant donné que les sauvegardes sont également importantes, élaborez une stratégie pour traiter les demandes d’effacement dans le contexte de vos sauvegardes. Il peut s’agir d’une suppression personnalisée des données des sauvegardes chaque fois que cela est possible ou d’une programmation régulière de la suppression complète des sauvegardes après un délai raisonnable.
Si vous partagez des données à caractère personnel avec des tiers, mettez en place un système permettant de les informer des demandes d’effacement et de veiller à ce qu’ils s’y conforment.
Enfin, n’oubliez pas de documenter toutes les mesures prises concernant les demandes d’effacement. Cela est important pour démontrer vos efforts de conformité au RGPD et aide lors du traitement de tout litige potentiel.
Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.
Once you have submitted your details, you’ll be our top priority!
