Effacement des données : tout ce que vous devez savoir

Entrepreneur, vous devez très certainement gérer les données de vos clients. Que vous utilisiez des data centers ou des serveurs… Les données sensibles font partie de votre quotidien en entreprise. En effet, vos clients et prospects disposent d’un droit à l’effacement des données. Ce droit a pour objectif de protéger les particuliers contre les abus. En fonction du type de données que vous devrez supprimer, vous pourrez avoir besoin de l’aide d’un professionnel comme Evernex. Les experts d’Evernex vous disent tout sur l’effacement des données. Maîtrisez les tenants et les aboutissants de la réglementation en vigueur et faites un sans-faute. 

Effacement des données : quel est le cadre légal ? 

Effacement des données : les informations doivent être transmises au moment de la signature d'un contrat.

Que vous utilisiez des serveurs ou des datas centers, vous êtes très certainement confronté à la gestion des données de vos clients ou de vos employés. La gestion de ces données fait l’objet d’un encadrement juridique strict. Les personnes concernées peuvent notamment faire valoir leur droit à l’effacement des données.

C’est l’article 17 du RGPD (Règlement Général sur la Protection des Données) qui définit le droit à l’effacement. Pour rappel le RGPD est la réglementation européenne propre au traitement des données sur le territoire de l’Union européenne. Le RGPD est entré en vigueur le 25 mai 2018. Le RGPD vient notamment renforcer les normes en matière de sécurité et de protection des données.

L’article 17 fixe les conditions dans lequel le droit à l’effacement des données est applicable. À l’inverse, il définit également les conditions dans lesquelles le droit à l’effacement est inapplicable.  

En France, la Commission nationale de l’informatique et des libertés (Cnil) joue un rôle déterminant dans l’application du RGPD. Elle a, entre autres, pour mission d’aider les particuliers à obtenir gain de cause lorsqu’il s’agit du traitement de leurs données. 

Quelles sont les obligations d’information pour les organismes ? 

Pour commencer, un tour d’horizon de vos obligations si vous collectez les données de vos clients et prospects. En effet, ces derniers ont un premier droit à l’information lorsqu’il s’agit du traitement de leurs données personnelles. Vous devrez donc fournir les informations suivantes au moment de la transmission des données : 

  • L’identité et les coordonnées de la personne en charge du traitement des données ; 
  • Les coordonnées du DPD (délégué à la protection des données) si vous en avez désigné un ; 
  • La finalité du traitement des données ; 
  • Le cadre juridique dans lequel s’inscrit le traitement des données ; 
  • Les destinataires des données ; 
  • La possibilité de transmission des données vers un pays extra-européen. Vous devrez également préciser l’existence ou l’absence d’une décision de la Commission européenne ou de garanties pour encadrer ce transfert des données ; 
  • La période durant laquelle vous conserverez les données et les critères d’après lesquels vous avez fixé cette durée ; 
  • La mention faite aux droits de l’individu quant à la gestion de ses données ; 
  • La mention au droit de retrait du consentement de l’individu, le cas échéant ; 
  • Le droit d’effectuer une réclamation auprès de la commission nationale de l’informatique et des libertés (Cnil) ; 
  • Une information sur la nature de la transmission de vos données (caractère réglementaire ou contractuel) et sur les conséquences en cas d’absence de transmission des données ; 
  • L’existence d’une prise de décision automatisée et ses conséquences pour le traitement des données de la personne ; 
  • Et pour finir, une information sur toute utilisation supplémentaire des données. 

Attention, ces informations doivent être facilement accessibles par tout individu concerné. De même, vous devrez transmettre ces informations dans un langage clair et simple pour faciliter leur compréhension. 

Quelles sont les limites des droits des personnes en termes d’effacement des données ? 

Le droit à l’effacement des données n’est pas un droit absolu. En effet, la loi prévoit un cadre strict pour y faire appel. Ainsi, un individu ne peut faire valoir son droit à l’effacement que dans les cas suivants : 

  • Les données personnelles ne sont plus nécessaires pour accomplir la finalité initialement poursuivie ; 
  • Les données sont traitées illégalement ; 
  • Une obligation légale vient imposer l’effacement des données personnelles ; 
  • Le retrait du consentement par la personne concernée ; 
  • Cas particulier : les mineurs peuvent toujours demander l’effacement de leurs données personnel, quel que soit leur âge. 

Le droit des organismes de refuser l’effacement 

À ces premières limites vient s’ajouter le droit des organisations en charge de la gestion des données de refuser l’effacement. Ainsi, vous pourrez refuser d’effacer des données lorsque : 

  • Maintenance des réseaux informatiques : un professionnel entretient un appareilLes données sont nécessaires à l’exercice du droit à la liberté d’expression et d’information ; 
  • Elles participent à la constatation, à l’exercice ou à la défense d’un droit en justice ; 
  • Elles sont nécessaires au respect d’une obligation légale à laquelle vous êtes soumis où à l’accomplissement d’une mission d’intérêt public dont vous êtes investi ; 
  • Les données peuvent servir dans l’intérêt public ou pour la réalisation de recherches (historiques, scientifiques…). 

Comment s’effectue la demande d’effacement des données ? 

Une personne qui remplit les critères pour faire valoir son droit à l’effacement des données peut faire une demande auprès de l’organisme concerné. Pour ce faire, la personne doit : 

  • Envoyer une demande : via un formulaire en ligne, un mail ou encore un courrier ; 
  • Et préciser les données qu’elle souhaite voir effacées et expliquer le motif de sa demande. 

L’organisme dispose d’un mois pour répondre à la demande. Si un délai supplémentaire est nécessaire, l’organisme en informe le demandeur. Le délai est alors porté à trois mois. Attention, l’absence de réponse ou la non-conformité à la loi est passible de lourdes amendes pour les organismes fautifs.

Droit à l’effacement des données et droit à l’oubli : quelle différence ? 

Vous avez peut-être déjà entendu parler du droit à l’oubli. Prenez garde, ce droit est bien distinct du droit à l’effacement des données.  

Le droit à l’oubli concerne le droit pour toute personne de voir bannir d’internet les informations jugées trompeuses, nuisibles ou bien obsolètes. En revanche, le droit à l’effacement se réfère au droit pour chaque individu de demander la suppression complète et définitive des données à caractère personnel. 

Cependant, ces deux droits distincts font l’objet d’un même article dans le Règlement Général sur la Protection des Données. L’article 17 du RGPD traite en effet conjointement du droit à l’oubli et du droit à l’effacement des données. Le droit à l’effacement des données ayant un périmètre plus large, on considère souvent que le droit à l’effacement des données englobe le droit à l’oubli. 

Bref retour sur les autres droits liés aux données 

Le droit à l’effacement des données n’est pas le seul droit dont dispose vos clients. Pour rester à jour, nous vous proposons un bref retour sur les autres droits relatifs à la protection des données. Il existe donc le droit : 

  • D’accès : nous avons brièvement mentionné les contours de ce droit. Il s’agit de la possibilité pour tout individu de savoir si ses données sont utilisées et dans quel but. L’accès à ces informations doit se faire dans un langage clair et simple ; 
  • De rectification : c’est le droit de tout individu à demander la correction d’une erreur ou de compléter une information incomplète ; 
  • De déréférencement : il s’agit de mander à un moteur de recherche de supprimer les résultats associés à vos noms et prénoms ; 
  • D’opposition : comme son nom l’indique, il s’agit pour un individu de s’opposer à ce que certaines informations le concernant figurent dans un fichier en raison d’une situation particulière ; 
  • Et de portabilité : c’est le droit pour un individu de récupérer ses données sous un format qui soit lisible et exploitable pour une machine. 

Evernex vous aide dans la suppression de vos données

En fonction des données que vous devez effacer, vous pourriez avoir besoin des services d’un professionnel. La destruction des données est un enjeu crucial pour les entreprises. Ne prenez pas le risque de vous séparer de vos appareils sans avoir convenablement supprimé les données de vos clients.

Evernex propose un service d’accompagnement des entreprises dans la destruction de leurs données. Assurez-vous que vous travaillez en adéquation avec la loi et que votre travail est sécurisé. Vous recevrez un certificat de destruction des données à l’issue de toute procédure pour garantir que tout est en ordre. Pour en apprendre plus sur les différents services d’Evernex, n’hésitez pas à prendre contact avec nos spécialistes.

Demandez un devis