Vous n’êtes plus sans ignorer que le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur à partir du 25 mai 2018. Ce texte reprend en grande partie la précédente Loi Informatique et Liberté du 6 janvier 1978, tout en ajoutant, entre autre, un nouveau droit : celui du droit à l’oubli ou droit à l’effacement (article 17 du règlement n°2016/679).
Nous allons détailler ce nouveau droit à l’effacement puis nous le conjuguerons avec les obligations de conservation.
Règle de base : il n’y a pas de possibilité de conserver de façon infinie des données personnelles, elles doivent donc être considérées comme un état « temporaire ». Ainsi, les données doivent être supprimées ou anonymisées, si elles répondent à au moins une des conditions suivantes :
1/ Elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
C’est le cas à chaque fois que vous résiliez un contrat par exemple. Cela concerne vos coordonnées postales, téléphoniques ou encore bancaires.
2/ La personne concernée s’oppose au traitement (article 21, paragraphe 1 & 2)
C’est notamment le cas lorsque les coordonnées sont utilisées à des fins de prospection commerciale (prospection téléphonique ou par email).
3/ La personne concernée retire son consentement sur lequel est fondé le traitement
Il doit être aussi simple de donner que de retirer son consentement. Un utilisateur peut donc très simplement exprimer le fait qu’il ne souhaite plus que ses données personnelles soient utilisées. Cela ne remet pas en cause les traitements passés, mais concerne les futurs traitements uniquement.
4/ Afin de respecter une obligation légale, les données à caractère personnel doivent être effacées
Dans le cadre d’un recrutement par exemple, vous êtes amené à recevoir des informations personnelles : celles indiquées sur les CV ou échangées lors de vos correspondances. Dans ce contexte, vous avez l’obligation de supprimer toutes informations personnelles sur le candidat au plus tard 2 ans après le dernier contact avec le/la candidat(e) (dernier SMS échangé, dernier appel téléphonique).
À tout moment de votre relation avec vos utilisateurs, ceux-ci sont donc en droit d’exiger l’effacement de leurs données personnelles.
Le droit à l’effacement au cœur du RGPD
Sur simple demande, l’entreprise doit être en mesure de supprimer les données utilisateurs dans le délai fixé à 1 mois. C’est à ce moment que le recensement, la cartographie et l’analyse des traitements sur les données personnelles prennent toute leur importance.
Cependant, cette suppression ne doit pas aller à l’encontre de votre obligation de conservation de données.
Votre obligation légale de conserver des données utilisateurs
Mais le droit à l’oubli ne doit pas aller à l’encontre de votre obligation légale de conserver certaines données. Si par exemple, l’utilisateur souhaitant exercer son droit à l’oubli est un ancien salarié, vous devrez conserver toutes les informations de paie ou de contrôle des horaires pendant une durée de 5 ans (lien). De même, vous devez conserver ses bulletins de paie pendant 50 ans ou jusqu’au 75ème anniversaire du salarié (lien).
Avec la multiplication des bases de données due à l’utilisation d’outils de plus en plus spécialisés, permettre le droit à l’oubli ne consiste pas simplement à la suppression d’une ligne en base de données. Cela nécessite au contraire une approche globale alliant bon sens et expertise technique !
Nous pouvons vous accompagner dans votre mise en conformité RGPD, contactez-nous !
Sources :
- Limiter la conservation des données (CNIL)
- Droit à l’effacement (« droit à l’oubli ») (gdpr.expert)
- RGPD : Quel impact sur les départements Marketing ? (Captain DPO)
Vous pourriez également être intéressé(e) par notre article Les experts-comptables sont-ils concernés par le RGPD ?