Droit à l'effacement RGPD : Art. 17 guide pratique

Le droit à l’effacement RGPD, souvent appelé « droit à l’oubli », est consacré par l’Art. 17 du règlement. Il permet à toute personne d’obtenir la suppression de ses données personnelles lorsque certaines conditions sont remplies. Ce droit n’est toutefois pas absolu : l’Art. 17(3) prévoit des exceptions significatives que les responsables de traitement doivent maîtriser pour éviter tant les refus abusifs que les effacements injustifiés.

Points Clés

• L’Art. 17(1) RGPD prévoit six motifs ouvrant droit à l’effacement : retrait du consentement, données devenues inutiles, opposition fondée, traitement illicite, obligation légale d’effacement, données collectées auprès de mineurs.
• Le délai de réponse est d’un mois (Art. 12(3) RGPD), prolongeable de deux mois en cas de complexité.
• L’Art. 17(2) RGPD impose au responsable ayant rendu les données publiques de prendre des mesures raisonnables pour informer les autres responsables de traitement de la demande d’effacement.
• Cinq exceptions (Art. 17(3)) limitent le droit à l’effacement : liberté d’expression, obligation légale, mission de service public, santé publique, archivage d’intérêt public ou recherche scientifique, et exercice de droits en justice.
• L’arrêt fondateur CJUE Google Spain c/ AEPD (C-131/12, 13 mai 2014) a consacré le droit à l’oubli numérique avant même l’entrée en vigueur du RGPD.

Les six motifs d’effacement de l’Art. 17(1)

L’Art. 17(1) RGPD énumère limitativement les cas dans lesquels la personne peut exiger l’effacement :

a) Données devenues inutiles (Art. 17(1)(a)) : les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Ce motif impose de croiser la demande avec les durées de conservation définies et le registre des traitements.

b) Retrait du consentement (Art. 17(1)(b)) : lorsque le traitement repose sur le consentement (Art. 6(1)(a) ou Art. 9(2)(a) RGPD) et que la personne le retire, sans qu’un autre fondement juridique ne justifie le traitement.

c) Opposition au traitement (Art. 17(1)©) : la personne exerce son droit d’opposition conformément à l’Art. 21(1) ou 21(2) RGPD et il n’existe pas de motif légitime impérieux prévalant sur les intérêts de la personne.

d) Traitement illicite (Art. 17(1)(d)) : les données ont fait l’objet d’un traitement non conforme au RGPD, par exemple sans base légale valide.

e) Obligation légale (Art. 17(1)(e)) : l’effacement est nécessaire pour respecter une obligation légale prévue par le droit de l’Union ou d’un État membre.

f) Données de mineurs (Art. 17(1)(f)) : les données ont été collectées dans le cadre de services de la société de l’information proposés à des enfants, au sens de l’Art. 8(1) RGPD.

Les exceptions : quand l’effacement peut être refusé

L’Art. 17(3) RGPD établit des exceptions au droit à l’effacement. Le responsable de traitement doit vérifier l’applicabilité de ces exceptions avant de donner suite à une demande :

Liberté d’expression et d’information (Art. 17(3)(a)) : le traitement est nécessaire à l’exercice de la liberté d’expression et d’information. Cette exception couvre le journalisme, la création artistique et la recherche académique. La mise en balance doit être documentée.

Obligation légale de conservation (Art. 17(3)(b)) : le traitement est nécessaire pour respecter une obligation légale imposant la conservation des données. En France, l’article L. 123-22 du Code de commerce impose la conservation des documents comptables pendant 10 ans. Le Code du travail impose la conservation des bulletins de paie pendant 5 ans.

Mission de service public ou exercice de l’autorité publique (Art. 17(3)©) : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

Santé publique (Art. 17(3)(d)) : le traitement est nécessaire pour des motifs de santé publique (Art. 9(2)(h) et (i) RGPD).

Archivage, recherche scientifique ou statistique (Art. 17(3)(e)) : l’effacement rendrait impossible ou compromettrait gravement la réalisation des objectifs du traitement à des fins archivistiques dans l’intérêt public, de recherche scientifique ou historique, ou à des fins statistiques.

Constatation, exercice ou défense de droits en justice (Art. 17(3)(e)) : le traitement est nécessaire pour des réclamations juridiques.

Jurisprudence fondatrice : Google Spain et le droit à l’oubli numérique

L’arrêt CJUE Google Spain c/ AEPD et Mario Costeja González (C-131/12, 13 mai 2014) a posé les fondements du droit à l’effacement numérique. La Cour a jugé que l’exploitant d’un moteur de recherche est responsable de traitement et doit, sur demande, supprimer de la liste de résultats les liens vers des pages web contenant des informations inadéquates, non pertinentes ou excessives au regard des finalités du traitement.

Cet arrêt, rendu sous l’empire de la Directive 95/46/CE, a directement inspiré la rédaction de l’Art. 17 RGPD. La CJUE a ensuite précisé dans l’arrêt Google c/ CNIL (C-507/17, 24 septembre 2019) que le droit au déréférencement ne s’applique obligatoirement que dans les versions de l’Union européenne du moteur de recherche, et non au niveau mondial.

Sanctions pour non-respect du droit à l’effacement

Le non-respect de l’Art. 17 RGPD relève des infractions les plus graves, sanctionnées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (Art. 83(5)(b) RGPD).

CNIL vs Clearview AI (Délibération n°SAN-2022-023, 20 octobre 2022) : 20 millions d’euros. La CNIL a sanctionné l’absence de réponse aux demandes d’effacement en sus du défaut de base légale et de l’absence de coopération.

CNIL vs TOTAL ENERGIES (Délibération n°SAN-2022-011, 23 juin 2022) : 1 million d’euros pour défaut de réponse aux demandes d’effacement et non-respect des durées de conservation des données de prospection commerciale.

AEPD vs CaixaBank (PS/00477/2020, 21 septembre 2021) : 6 millions d’euros. L’autorité espagnole a sanctionné la banque pour conservation de données après exercice du droit à l’effacement et refus non motivé de demandes d’effacement.

Procédure interne de traitement des demandes d’effacement

Un responsable de traitement doit mettre en place un processus structuré :

1. Réception et accusé de réception : confirmer la réception de la demande sans délai. Identifier le motif invoqué par la personne parmi les six cas de l’Art. 17(1).

2. Vérification des exceptions : avant tout effacement, vérifier si l’une des exceptions de l’Art. 17(3) s’applique. Documenter cette analyse dans le registre des demandes. Si une obligation légale de conservation existe, informer la personne du refus motivé et de la base juridique de la conservation.

3. Périmètre de l’effacement : identifier l’ensemble des systèmes et supports contenant les données. L’effacement doit couvrir les bases de données actives, les sauvegardes (dans un délai raisonnable), les données transmises à des sous-traitants (Art. 17(2)) et les copies locales.

4. Notification aux tiers : si les données ont été rendues publiques ou transmises à d’autres responsables de traitement, l’Art. 17(2) RGPD impose de prendre des mesures raisonnables pour les informer de la demande d’effacement. L’Art. 19 RGPD complète cette obligation en imposant la notification de l’effacement à chaque destinataire.

5. Réponse motivée : répondre dans le délai d’un mois, en confirmant l’effacement ou en motivant le refus. Informer la personne de son droit de saisir la CNIL et d’exercer un recours juridictionnel.

Effacement et données publiées sur Internet : Art. 17(2)

L’Art. 17(2) RGPD impose une obligation spécifique lorsque le responsable de traitement a rendu les données publiques (publication sur un site web, réseau social, annuaire) : il doit, « compte tenu des technologies disponibles et des coûts de mise en oeuvre, prendre des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données que la personne a demandé l’effacement ».

En pratique, cette obligation couvre le déréférencement auprès des moteurs de recherche, la notification aux sites miroirs et aux agrégateurs, et la suppression des copies en cache. Le responsable n’est pas tenu de garantir un résultat (obligation de moyens), mais doit démontrer qu’il a pris des mesures raisonnables et proportionnées. La CNIL a précisé que l’envoi d’une notification formelle aux principaux moteurs de recherche indexant le contenu constitue une mesure raisonnable. Le registre des traitements doit documenter les plateformes sur lesquelles les données ont été publiées pour faciliter cette notification.

FAQ

Quelle est la différence entre droit à l’effacement et droit à l’oubli ?

Le « droit à l’oubli » est une appellation médiatique issue de l’arrêt Google Spain (CJUE, C-131/12, 2014). Juridiquement, l’Art. 17 RGPD consacre un droit à l’effacement qui va au-delà du seul déréférencement : il couvre la suppression effective des données dans tous les systèmes du responsable de traitement et de ses sous-traitants.

Les sauvegardes doivent-elles aussi être purgées ?

Oui, en principe. L’effacement doit être complet, y compris dans les sauvegardes. Toutefois, le CEPD (lignes directrices 5/2019) admet qu’un délai raisonnable est acceptable pour les sauvegardes techniques, à condition que les données soient marquées pour suppression et ne soient pas restaurées dans les systèmes actifs. La CNIL considère qu’un délai de trois mois pour purger les sauvegardes est raisonnable.

L’effacement doit-il être notifié aux sous-traitants ?

Oui. L’Art. 17(2) RGPD impose au responsable de traitement de prendre des mesures raisonnables pour informer les responsables de traitement qui traitent ces données de la demande d’effacement. L’Art. 19 RGPD étend cette obligation à tous les destinataires auxquels les données ont été communiquées, sauf effort disproportionné.

Peut-on refuser un effacement pour motif de contentieux ?

Oui. L’Art. 17(3)(e) RGPD prévoit que le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire à la constatation, l’exercice ou la défense de droits en justice. Le responsable doit démontrer qu’un contentieux est raisonnablement prévisible ou en cours, et limiter la conservation aux données strictement nécessaires à sa défense.