Le droit à l'oubli : explications et applications

Le « droit à l’oubli » est un élément clé du Règlement général sur la protection des données (GDPR) de l’UE, bien que ce concept précède la législation d’au moins cinq ans. Il recouvre les droits d’un particulier ou client à demander que toutes les données personnelles que détient sur lui une entreprise (ou « contrôleur » selon la terminologie GDPR) soient supprimées à sa demande. Mais il va plus loin : les dispositions du GDPR (voir son article 17) précisent que les moteurs de recherche (comme Google) doivent supprimer les références à des données personnelles qui apparaissant publiquement dans les résultats de recherche.

En d’autres termes, les consommateurs ont le droit de préserver leur vie privée sur Internet. La notion de droit à l’oubli est en train de s’imposer partout dans le monde. La Californie a récemment fait passer le droit à l’oubli dans le California Consumer Privacy Act. La Caroline du Nord travaille à des lois sur le droit à l’oubli, et des démarches ont débuté pour porter la question devant le Congrès des États-Unis.

Tout cela pour dire que le droit à l’oubli devrait devenir une nouvelle « norme » dans les années à venir.

Remarque du rédacteur : le droit à l’oubli, le droit d’effacement et le droit de suppression sont des concepts suffisamment proches pour que nous les regroupions ici sous le terme de droit à l’oubli.

Histoire du droit à l’oubli

Le droit à l’oubli est un concept issu de la conviction déjà ancienne selon laquelle, après un certain laps de temps, le passé d’une personne ne devrait plus être pris en compte lorsqu’elle cherche un emploi. Avec l’avènement d’Internet et des moteurs de recherche indexés (comme Google), ces informations sont devenues plus facilement accessibles.

Une petite leçon d’histoire : en 2014, la justice espagnole a tranché en faveur du droit à l’oubli dans le cadre du procès Google Spain SL, Google Inc contre Agencia Española de Protección de Datos, Mario Costeja González (2014). L’affaire portait sur une annonce publiée dans le journal La Vanguardia, mentionnant que M. Costeja avait fait l’objet d’une saisie immobilière en 1998, en recouvrement de ses dettes de sécurité sociale. Constatant que les recherches sur son nom faisaient apparaître cette ancienne annonce, M. Costeja a contacté le journal en 2009. Le journal a rejeté sa demande car il s’agissait d’une publication imposée par l’administration. M. Costeja a alors contacté Google Spain pour lui demander la suppression de ce résultat de recherche.

Finalement, les tribunaux de l’UE ont jugé que Google devait supprimer les résultats de recherche mais, et cela est important, que le journal n’était pas obligé de supprimer l’article original. La décision a établi un important précédent et validé le droit à l’oubli en tant que loi, avec plusieurs réserves.

Aujourd’hui, le droit à l’oubli est inscrit dans l’article 17 du GDPR. Et ce droit a atteint les côtes américaines, puisque maintenant inscrit dans la loi californienne.

Puis-je demander à une entreprise d’effacer mes données personnelles ?

En général, si vous vous trouvez dans une juridiction se trouvant sous le régime du droit à l’oubli ou d’une loi similaire, vous pouvez soumettre une demande d’accès à vos données personnelles pour obtenir ou supprimer les données personnelles vous concernant qu’une entreprise a stockées. Cela ne veut pas dire que le contrôleur des données doit satisfaire toute demande d’accès aux données personnelles. Il faut prendre en compte des différences d’ordre juridique entre données publiques, privées et erronées.

Quand le droit à l’oubli est-il applicable ?

Tout d’abord, vous devez faire votre demande directement auprès du collecteur de données qui détient les données dont vous réclamez la suppression. Google propose pour cela un formulaire spécifique, Facebook un autre, et ainsi de suite.

Le « contrôleur des données », l’entité qui détient actuellement les données que vous voulez faire supprimer, doit alors examiner votre demande en se basant sur la jurisprudence. Voici quelques raisons valides légitimant le droit à l’oubli :

Les données se trouvant sur Internet sont anciennes et obsolètes, ou elles ne sont plus pertinentes
La personne concernée décide que le contrôleur des données n’a plus le droit d’accéder à ses données et que ces dernières ne sont pas dans le domaine public
Quelqu’un a volé ou falsifié les données
Un juge ou une autre autorité judiciaire a décrété que ces données devaient être supprimées

En bref, la « personne concernée », à savoir celle qui formule la demande, dispose dans de nombreux cas d’un cadre juridique solide pour exiger que les contrôleurs de données suppriment ses données personnelles. Par exemple, le fait que des données sont manifestement fausses ou offensantes constitue une raison valable pour demander leur effacement. Bien sûr, il y a des exceptions.

Y a-t-il des exceptions au droit à l’oubli ?

Le droit à l’oubli comporte certaines exceptions; il ne s’applique pas si :

Les données doivent être disponibles pour respecter la liberté d’information ou d’expression.
Les données sont liées à une procédure judiciaire en cours ou récente.
Les données présentent une importance en matière de santé publique.
Les données doivent être archivées dans l’intérêt du public car elles sont importantes pour les recherches scientifiques ou historiques.

Pour l’essentiel, les exceptions au droit à l’oubli s’articulent autour de l’intérêt public, de la liberté d’expression et de la liberté d’information.

Controverses relatives au droit à l’oubli

Sans surprise, le droit à l’oubli prête à controverse, les deux parties pouvant faire valoir des arguments convaincants. D’un côté, vous avez le droit à la protection de la vie privé d’un individu, et de l’autre, vous avez la liberté d’expression et la liberté d’information.

La polémique se résume ainsi : où fixer la limite entre les deux ? Dans le cas Costeja mentionné plus haut, cette limite se trouvait au niveau des résultats de recherche. L’information factuelle selon laquelle Costeja a fait l’objet d’une saisie immobilière en recouvrement de ses dettes est du domaine public, et elle ne doit pas être supprimée d’Internet. Néanmoins, les tribunaux ont ordonné à Google de supprimer les résultats de recherche contenant un lien vers l’information publique mentionnant cette saisie. L’arrêt considère que ces résultats de recherche sont « inadéquats, hors de propos ou excessifs », dans la mesure où M. Costeja a remboursé sa dette depuis longtemps. Les tribunaux se sont basés sur ces motifs pour accorder à M. Costeja le droit à l’oubli, mais ils ne sont pas allés jusqu’à dire que toute demande de suppression des données devait être satisfaite.

Récemment, la France a intenté une action auprès de la Cour européenne de justice, afin que le droit à l’oubli s’étende de façon universelle à toute personne se trouvant en dehors de l’UE. Les critiques, qui émanent notamment de Google, mettent en avant le fait qu’une décision en faveur de l’extension du droit à l’oubli pourrait déboucher sur une censure mondiale et une violation du droit à la liberté de l’information.

De son côté, la France estime que si le droit à l’oubli n’est pas universel, les résultats de recherche de Google continueront d’apparaître dans d’autres pays, ce qui rend inopérante la protection du droit à l’oubli. Si Google supprime le résultat dans Google.fr, il suffit d’utiliser la version américaine de Google pour obtenir ce résultat.

La question de savoir où fixer la limite entre respect de la vie privée et liberté d’information n’est donc pas réglée. Tenez-vous informé, car les législateurs, les juristes et les juges fixent de nouvelles règles et rendent de nouveaux verdicts. Ce sujet est vraiment passionnant.

Le droit à l’oubli dans l’actualité

L’affaire opposant la France à Google fait l’actualité

Au Canada, le Commissaire à la vie privée a demandé aux tribunaux de statuer sur le droit à l’oubli

Les Canadiens auront-ils bientôt le « droit d’être oubliés » en ligne ? Ce que vous devez savoir

Une organisation caritative britannique demande aux tribunaux d’accorder le droit à l’oubli aux survivants d’un cancer infantile

D’anciens patients atteints d’un cancer infantile rejettent les exigences des organismes de prêt et d’assurance au nom du « droit à l’oubli »

Pour les organisations, le droit à l’oubli s’avère être une règle difficile à suivre, car de plus en plus de directives sont développées et transformées. Chaque organisation doit mettre en place une stratégie de gestion des demandes de droit à l’oubli, en fonction des données qu’elle enregistre et des lois applicables dans le domaine.

Les entreprises doivent :

Identifier et classifier les informations d’identification personnelles (PII) présentes sur leur réseau.
- Numéro d’identification national
- Nom et prénom
- Nom de jeune fille de la mère
- Date de naissance
- Données biométriques
- Et plus encore
Mettre en place un processus de traitement conforme pour les demandes d’accès aux données personnelles (DSAR) ou de suppression
- Obtenez rapidement une liste de toutes les occurrences correspondant à une demande d’accès aux données personnelles
- Mettez en quarantaine et/ou supprimez automatiquement les données correspondant à une demande d’accès aux données personnelles
- Validez les résultats
- Archivez à des fins de vérification les demandes d’accès aux données personnelles ayant été traitées

Varonis DatAnswers crée un index de vos données et vous aide à identifier les fichiers contenant les identifiants d’une « personne concernée », permettant aux entreprises de traiter correctement chaque demande d’accès aux données personnelles. Les données non structurées peuvent potentiellement déboucher sur des millions de dollars d’amendes, si un contrôleur de données traite incorrectement une demande d’accès aux données personnelles et si les données du client sont à nouveau partagées ou réutilisées. Varonis Data Transport Engine peut ensuite vous aider à déplacer, collecter et sécuriser tous ces fichiers à un seul endroit. Il vous est ainsi plus facile de mettre en quarantaine ou de supprimer des données, et de vous conformer au droit à l’oubli.

Vous voulez discuter avec un de nos experts GDPR sur la façon dont Varonis vous aide à gérer les demandes d’accès aux données personnelles et le droit à l’oubli ? Obtenez gratuitement une démo personnalisée et des informations sur le GDPR.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.