Le droit à l’oubli, consacré par la jurisprudence Google Spain[1], a été introduit dans l’ordonnancement législatif européen par le Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel, à l’article 17.
Le droit à l’oubli permet à une personne concernée par un traitement de données à caractère personnel de pouvoir, sous conditions, faire supprimer ses données par le responsable du traitement.
Le droit de demander la suppression de ses données existe en France dans la loi de 1978[2] à l’article 38 qui énonce :
« Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement. »
Si le droit à l’oubli prévu par le RGPD peut paraître pour certain comme un droit pratiquement absolu puisqu’il ne requiert pas d’invoquer des motifs légitimes, une lecture attentive des cas dans lesquels il est invocable (que nous allons étudier un à un) permet de comprendre qu’en réalité le droit à l’oubli tel que rédigé dans le RGPD est très limité.
1.Les cas d’ouverture de l’exercice du droit à l’oubli prévus par le RGPD
Le droit à l’oubli, tel qu’il est prévu par le RGPD peut être invoqué quand :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées
En pratique, cette hypothèse peut être vite limitée dans la mesure où le RGPD impose de lui-même aux responsables de traitement de supprimer les données qui ne leurs sont plus utiles. Par ailleurs, nombreux sont les cas où les données sont toujours utiles au responsable de traitement. Par exemple parce qu’il existe un contrat ou bien une obligation légale incombant au responsable de traitement de les conserver ou encore la prescription n’est pas écoulée et justifie que le responsable de traitement puisse conserver les données, ne serait ce que pour se prémunir contre d’éventuels litiges.
- La personne concernée retire le consentement sur lequel était fondé le traitement et il n’existe pas d’autre fondement juridique au traitement
Il existe en pratique beaucoup de traitement qui ne sont pas exclusivement fondés sur le consentement.
Rappelons que les autres fondements juridiques justifiant un traitement sont :
- Un contrat ou l’exécution de mesures précontractuelles ;
- Le respect d’une obligation légale à laquelle le responsable de traitement est soumis ;
- La préservation des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
- L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- L’intérêt légitime du responsable de traitement (sous réserve de l’absence d’atteinte aux droits et libertés des personnes).
(article 6 du RGPD)
Finalement, à la lumière du RGPD, un traitement basé sur le seul consentement sera surtout relatif au traitement des données sensibles, aux données d’infractions ou encore à la prospection commerciale (sauf exception de la personne déjà cliente et d’une communication portant sur un produit analogue[3]).
- La personne concernée s’oppose au traitement (lorsque ce dernier a pour base légale une mission d’intérêt public ou aux fins d’intérêt légitimes poursuivis par le responsable de traitement ou la personne concernée s’oppose à la prospection commerciale)
Cette hypothèse ne s’appliquera que dans deux cas bien restreints :
- La personne s’oppose à un traitement qui a pour base légale soit une mission d’intérêt public, soit l’intérêt légitime du responsable de traitement et il n’existe pas de motif impérieux de la part du responsable de traitement pour le traitement ;
- Le traitement est la prospection commerciale et la personne concernée veut s’y opposer (ici pas besoin de motifs légitime pour s’y opposer).
La deuxième hypothèse n’est pas nouvelle, la loi de 1978 prévoyait déjà en son article 38 que toute personne « a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur ».
- Les données font l’objet d’un traitement illicite
Un traitement est illicite lorsque ne repose sur aucune des bases légales prévues à l’article 6 du RGPD (cf. supra).
Un traitement illicite devant être supprimé, il est évident que les personnes puissent demander la suppression de leurs données.
Avec l’entrée en application toute récente du RGPD, il est à parier que de nombreuses sociétés qui ne se sont pas encore mises en conformité opèrent des traitements illicites.
- Les données ont été collectées dans le cadre d’une offre de services à destination des enfants
Ce cas ne sera invocable que pour les traitements de données de mineurs de moins de 15 ans et à condition que le traitement ait été effectué dans le cadre d’une offre de services numériques.
2. Les autres limites du droit à l’oubli
Enfin, de lui-même le RGPD vient limiter l’invocation du droit à l’oubli dans 5 cas :
- L’exercice du droit à la liberté d’expression et d’information (il s’agira essentiellement des articles de presse par exemple, les sujets d’intérêts général, pour alerter l’opinion publique) ;
- La constatation, à l’exercice ou à la défense de droits en justice ;
- Le respect d’une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
- Des motifs d’intérêt public dans le domaine de la santé publique ;
- Les traitements de données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques dans la mesure où le droit à l’oubli est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;
Le droit à l’oubli tel que posé par le RGPD n’est donc pas aussi absolu que ce que les médias veulent nous faire croire ….
Charlotte GALICHET
–
[1] CJUE, 13 mai 2014 n°C‑131/12 qui avait précisé qu’un traitement licite de données exactes peut devenir « (…) avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé. » pour un résumé de la décision : https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070fr.pdf
[2] Loi n°78/17 du 6 janvier 1978 dite Loi informatique et Libertés
[3] Article L34-5 du Code des Postes et Télécommunications