Pourquoi le droit à l'oubli change la donne pour les entreprises et les citoyens

Pourquoi le droit à l'oubli change la donne pour les entreprises et les citoyens

Le droit à l'oubli défini dans le règlement général sur la protection des données (RGPD) renforce la protection de la vie privée des citoyens, mais oblige les entreprises à agir dès aujourd'hui pour éviter d'avoir à faire face à des sanctions sévères demain.

Principe issu de la loi nationale française, le « droit à l’oubli » donne aux citoyens le droit d'être oubliés dans le monde numérique. Par ailleurs, ce concept pourra être utilisé par les autorités de contrôle pour imposer des sanctions, en cas de non-conformité avec le nouveau RGPD, qui entrera en vigueur en mai 2018.

Plus en vue depuis l'affaire historique Google Espagne (en 2014, avant l'introduction du règlement, un espagnol avait réclamé et obtenu la suppression de résultats de recherche concernant ses dettes sociales), le droit à l’oubli se fonde sur le principe selon lequel les entreprises ne peuvent utiliser les informations personnellement identifiables qu'avec le consentement explicite de l'utilisateur. En effet, en vertu des dispositions du RGPD relatives au droit à l’oubli, les citoyens peuvent réclamer la suppression de ces données lorsqu'elles sont inexactes, inadéquates, hors de propos ou excessives aux fins du traitement.

Le RGPD étend le droit à l'effacement : il autorise les personnes concernées à exiger la suppression des informations qu'elles ont précédemment fournies à un tiers, dans la mesure où ces informations n'ont plus besoin d'être traitées et où aucun motif légitime (conformité à une obligation légale ou intérêt public pour la santé publique et les actions en justice, par exemple) ne justifie leur rétention.

En cas de violation des droits, la sanction maximale est de 20 millions d'euros ou de 4 % du chiffre d'affaires annuel mondial total pour un groupe (le plus élevé des deux). Par conséquent, les entreprises doivent identifier sans plus attendre la nature, le volume et l'emplacement des informations personnellement identifiables qu'elles détiennent, et mettre en place les outils et processus adéquats pour assurer que leur traitement est conforme au RGPD.

Application de droits à la vie privée plus stricts

Malgré ce qu'en disent les médias, le droit à l’oubli n'est pas une idée complètement nouvelle. Les principes sous-jacents existaient déjà dans la directive de protection des données établie par la Commission européenne en 1995. Celle-ci stipulait qu'une personne pouvait demander la suppression de données personnelles si leur traitement ne respectait pas la directive.

Le RGPD renforce cette obligation de respect de la vie privée, via le droit à l’oubli et le « droit à l'effacement ». Autrement dit, si une entité responsable du traitement des données reçoit une demande d'exercice du droit à l'effacement de la part de la personne concernée, l'entité doit supprimer toute copie des informations en question, ainsi que tout lien vers ces informations, dans toute partie d'équipement informatique (serveurs, sauvegardes, systèmes cloud et appareils mobiles, notamment).

Si l'entité responsable du traitement a rendu l'information publique, elle doit également « prendre des mesures raisonnables » pour signaler l'objection de la personne concernée aux autres entités qui traitent les données, afin que celles-ci puissent supprimer toute copie des données ou tout lien vers celles-ci.

En cas de litige concernant le droit à l'effacement, le responsable du traitement des données doit prendre des dispositions pour limiter le traitement des données de la personne concernée jusqu'à ce que le conflit soit résolu.

Approche globale

Comment les entreprises peuvent-elles se préparer à l'application du droit à l’oubli et du droit à l'effacement ? Judith Vieberink, avocate au cabinet First Lawyers, conseille aux entreprises d'adopter une approche globale.

« Tout d'abord, dressez l'inventaire des différents types de données personnelles que vous traitez, au niveau de l'entreprise et sur vos systèmes mondiaux », explique-t-elle.

« Ensuite, déterminez quels types d'applications vous utilisez pour traiter les informations personnellement identifiables et où vous les hébergez (en Europe ou ailleurs) », car cela indique les systèmes qui sont soumis aux dispositions du RGPD.

Enfin, déterminez la nationalité des personnes concernées par les informations que vous détenez, ajoute Judith Vieberink. « Les informations personnellement identifiables des citoyens européens sont protégées dans le monde entier. Les entités responsables du traitement des données et les sous-traitants des données seront soumis aux dispositions du RGPD, qu'ils résident dans l'Union européenne ou à l'extérieur. »

Enfin, en tant que responsable du traitement des données, vous devez déterminer avec quels sous-traitants tiers vous travaillez pour vous assurer que les informations personnellement identifiables peuvent être totalement éliminées.

Judith Vieberink indique que la meilleure façon de gérer vos données et, le cas échéant, de démontrer que vous les supprimez consiste à mapper les flux de données dans l'ensemble de l'entreprise, à leur appliquer des politiques et à les surveiller de façon continue pour pouvoir démontrer que vous mettez en œuvre des traitements transparents et tangibles.

« Vous pouvez procéder de différentes manières. Par exemple, Micro Focus a développé une technologie qui permet d'identifier et de gérer les données structurées et non structurées », commente-t-elle.

Juridique Propriété des données Responsable de la conformité Responsable de la sécurité informatique Violation de données

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond