Le « droit à l’oubli » est un élément clé du Règlement général sur la protection des données (GDPR) de l’UE, bien que ce concept précède la législation d’au moins cinq ans. Il recouvre les droits d’un particulier ou client à demander que toutes les données personnelles que détient sur lui une entreprise (ou « contrôleur » selon la terminologie GDPR) soient supprimées à sa demande. Mais il va plus loin : les dispositions du GDPR (voir son article 17) précisent que les moteurs de recherche (comme Google) doivent supprimer les références à des données personnelles qui apparaissant publiquement dans les résultats de recherche.
En d’autres termes, les consommateurs ont le droit de préserver leur vie privée sur Internet. La notion de droit à l’oubli est en train de s’imposer partout dans le monde. La Californie a récemment fait passer le droit à l’oubli dans le California Consumer Privacy Act. La Caroline du Nord travaille à des lois sur le droit à l’oubli, et des démarches ont débuté pour porter la question devant le Congrès des États-Unis.
Tout cela pour dire que le droit à l’oubli devrait devenir une nouvelle « norme » dans les années à venir.
Remarque du rédacteur : le droit à l’oubli, le droit d’effacement et le droit de suppression sont des concepts suffisamment proches pour que nous les regroupions ici sous le terme de droit à l’oubli.
Histoire du droit à l’oubli
Le droit à l’oubli est un concept issu de la conviction déjà ancienne selon laquelle, après un certain laps de temps, le passé d’une personne ne devrait plus être pris en compte lorsqu’elle cherche un emploi. Avec l’avènement d’Internet et des moteurs de recherche indexés (comme Google), ces informations sont devenues plus facilement accessibles.
Une petite leçon d’histoire : en 2014, la justice espagnole a tranché en faveur du droit à l’oubli dans le cadre du procès Google Spain SL, Google Inc contre Agencia Española de Protección de Datos, Mario Costeja González (2014). L’affaire portait sur une annonce publiée dans le journal La Vanguardia, mentionnant que M. Costeja avait fait l’objet d’une saisie immobilière en 1998, en recouvrement de ses dettes de sécurité sociale. Constatant que les recherches sur son nom faisaient apparaître cette ancienne annonce, M. Costeja a contacté le journal en 2009. Le journal a rejeté sa demande car il s’agissait d’une publication imposée par l’administration. M. Costeja a alors contacté Google Spain pour lui demander la suppression de ce résultat de recherche.
Finalement, les tribunaux de l’UE ont jugé que Google devait supprimer les résultats de recherche mais, et cela est important, que le journal n’était pas obligé de supprimer l’article original. La décision a établi un important précédent et validé le droit à l’oubli en tant que loi, avec plusieurs réserves.
Aujourd’hui, le droit à l’oubli est inscrit dans l’article 17 du GDPR. Et ce droit a atteint les côtes américaines, puisque maintenant inscrit dans la loi californienne.
Puis-je demander à une entreprise d’effacer mes données personnelles ?
En général, si vous vous trouvez dans une juridiction se trouvant sous le régime du droit à l’oubli ou d’une loi similaire, vous pouvez soumettre une demande d’accès à vos données personnelles pour obtenir ou supprimer les données personnelles vous concernant qu’une entreprise a stockées. Cela ne veut pas dire que le contrôleur des données doit satisfaire toute demande d’accès aux données personnelles. Il faut prendre en compte des différences d’ordre juridique entre données publiques, privées et erronées.
Quand le droit à l’oubli est-il applicable ?
Tout d’abord, vous devez faire votre demande directement auprès du collecteur de données qui détient les données dont vous réclamez la suppression. Google propose pour cela un formulaire spécifique, Facebook un autre, et ainsi de suite.
Le « contrôleur des données », l’entité qui détient actuellement les données que vous voulez faire supprimer, doit alors examiner votre demande en se basant sur la jurisprudence. Voici quelques raisons valides légitimant le droit à l’oubli :
- Les données se trouvant sur Internet sont anciennes et obsolètes, ou elles ne sont plus pertinentes
- La personne concernée décide que le contrôleur des données n’a plus le droit d’accéder à ses données et que ces dernières ne sont pas dans le domaine public
- Quelqu’un a volé ou falsifié les données
- Un juge ou une autre autorité judiciaire a décrété que ces données devaient être supprimées
En bref, la « personne concernée », à savoir celle qui formule la demande, dispose dans de nombreux cas d’un cadre juridique solide pour exiger que les contrôleurs de données suppriment ses données personnelles. Par exemple, le fait que des données sont manifestement fausses ou offensantes constitue une raison valable pour demander leur effacement. Bien sûr, il y a des exceptions.
Y a-t-il des exceptions au droit à l’oubli ?
Le droit à l’oubli comporte certaines exceptions; il ne s’applique pas si :
- Les données doivent être disponibles pour respecter la liberté d’information ou d’expression.
- Les données sont liées à une procédure judiciaire en cours ou récente.
- Les données présentent une importance en matière de santé publique.
- Les données doivent être archivées dans l’intérêt du public car elles sont importantes pour les recherches scientifiques ou historiques.
Pour l’essentiel, les exceptions au droit à l’oubli s’articulent autour de l’intérêt public, de la liberté d’expression et de la liberté d’information.
Controverses relatives au droit à l’oubli
Sans surprise, le droit à l’oubli prête à controverse, les deux parties pouvant faire valoir des arguments convaincants. D’un côté, vous avez le droit à la protection de la vie privé d’un individu, et de l’autre, vous avez la liberté d’expression et la liberté d’information.
La polémique se résume ainsi : où fixer la limite entre les deux ? Dans le cas Costeja mentionné plus haut, cette limite se trouvait au niveau des résultats de recherche. L’information factuelle selon laquelle Costeja a fait l’objet d’une saisie immobilière en recouvrement de ses dettes est du domaine public, et elle ne doit pas être supprimée d’Internet. Néanmoins, les tribunaux ont ordonné à Google de supprimer les résultats de recherche contenant un lien vers l’information publique mentionnant cette saisie. L’arrêt considère que ces résultats de recherche sont « inadéquats, hors de propos ou excessifs », dans la mesure où M. Costeja a remboursé sa dette depuis longtemps. Les tribunaux se sont basés sur ces motifs pour accorder à M. Costeja le droit à l’oubli, mais ils ne sont pas allés jusqu’à dire que toute demande de suppression des données devait être satisfaite.
Récemment, la France a intenté une action auprès de la Cour européenne de justice, afin que le droit à l’oubli s’étende de façon universelle à toute personne se trouvant en dehors de l’UE. Les critiques, qui émanent notamment de Google, mettent en avant le fait qu’une décision en faveur de l’extension du droit à l’oubli pourrait déboucher sur une censure mondiale et une violation du droit à la liberté de l’information.
De son côté, la France estime que si le droit à l’oubli n’est pas universel, les résultats de recherche de Google continueront d’apparaître dans d’autres pays, ce qui rend inopérante la protection du droit à l’oubli. Si Google supprime le résultat dans Google.fr, il suffit d’utiliser la version américaine de Google pour obtenir ce résultat.
La question de savoir où fixer la limite entre respect de la vie privée et liberté d’information n’est donc pas réglée. Tenez-vous informé, car les législateurs, les juristes et les juges fixent de nouvelles règles et rendent de nouveaux verdicts. Ce sujet est vraiment passionnant.
Le droit à l’oubli dans l’actualité
L’affaire opposant la France à Google fait l’actualité
- Selon des ONG, le « droit à l’oubli » ne doit pas remettre en question la liberté d’expression dans le monde
- Le « droit à l’oubli » appliqué à l’échelle mondiale ? Comment Google se bat pour limiter la portée de la loi européenne sur le respect de la vie privée
- Google engagé dans une bataille juridique avec l’UE au sujet du « droit à l’oubli »
Au Canada, le Commissaire à la vie privée a demandé aux tribunaux de statuer sur le droit à l’oubli
Une organisation caritative britannique demande aux tribunaux d’accorder le droit à l’oubli aux survivants d’un cancer infantile
Pour les organisations, le droit à l’oubli s’avère être une règle difficile à suivre, car de plus en plus de directives sont développées et transformées. Chaque organisation doit mettre en place une stratégie de gestion des demandes de droit à l’oubli, en fonction des données qu’elle enregistre et des lois applicables dans le domaine.
Les entreprises doivent :
- Identifier et classifier les informations d’identification personnelles (PII) présentes sur leur réseau.
- Numéro d’identification national
- Nom et prénom
- Nom de jeune fille de la mère
- Date de naissance
- Données biométriques
- Et plus encore
- Mettre en place un processus de traitement conforme pour les demandes d’accès aux données personnelles (DSAR) ou de suppression
- Obtenez rapidement une liste de toutes les occurrences correspondant à une demande d’accès aux données personnelles
- Mettez en quarantaine et/ou supprimez automatiquement les données correspondant à une demande d’accès aux données personnelles
- Validez les résultats
- Archivez à des fins de vérification les demandes d’accès aux données personnelles ayant été traitées
Varonis DatAnswers crée un index de vos données et vous aide à identifier les fichiers contenant les identifiants d’une « personne concernée », permettant aux entreprises de traiter correctement chaque demande d’accès aux données personnelles. Les données non structurées peuvent potentiellement déboucher sur des millions de dollars d’amendes, si un contrôleur de données traite incorrectement une demande d’accès aux données personnelles et si les données du client sont à nouveau partagées ou réutilisées. Varonis Data Transport Engine peut ensuite vous aider à déplacer, collecter et sécuriser tous ces fichiers à un seul endroit. Il vous est ainsi plus facile de mettre en quarantaine ou de supprimer des données, et de vous conformer au droit à l’oubli.
Vous voulez discuter avec un de nos experts GDPR sur la façon dont Varonis vous aide à gérer les demandes d’accès aux données personnelles et le droit à l’oubli ? Obtenez gratuitement une démo personnalisée et des informations sur le GDPR.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
