Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

La plupart des demandes reçues par les entreprises concernent le droit à l’oubli et donc la suppression de données. Pourtant, il ne s’agit pas d’un simple bouton “supprimer” : certaines données personnelles doivent être conservées pour répondre aux obligations légales ou contractuelles.

Ce droit permet à toute personne de demander la suppression de ses données lorsque leur conservation n’a plus de justification, que ce soit pour un compte en ligne, un contenu publié sur une page, ou des résultats de recherche visibles en ligne. Il vise à garantir la protection des personnes et à éviter que des informations obsolètes, inexactes ou sensibles restent accessibles de manière indue.

Pour les entreprises, la mise en œuvre de ce droit prévu par l’article 17 du RGPD peut s’avérer complexe. En effet, les données sont souvent réparties sur différents domaines, systèmes et comptes, rendant leur suppression complète difficile.

De plus, le respect des délais légaux, la gestion des demandes multiples et la documentation nécessaire pour éviter toute plainte peuvent représenter un véritable défi opérationnel. L’absence de réponse ou une réponse incomplète peut avoir des conséquences juridiques et réputationnelles importantes.

C’est précisément à ce niveau qu’intervient le rôle du Délégué à la protection des données (DPO), qu’il soit interne ou externalisé. Sa mission consiste à assurer la conformité, coordonner les équipes opérationnelles, et veiller à ce que chaque demande soit traitée avec rigueur, transparence et respect de la protection des personnes.

Deux collaboratrices travaillant sur le droit à l'oubli en entreprise.

Qu’est-ce que le droit à l’oubli ?

Le droit à l’oubli, reconnu par le RGPD et renforcé par la CJUE, permet de demander l’effacement de données personnelles dans plusieurs situations :

  • Les données ne sont plus nécessaires aux fins de recherche initiales.
  • La personne retire son consentement pour un compte ou un service.
  • Le traitement est jugé illicite ou le contenu est inapproprié.
  • Le traitement concerne des résultats de recherche qui ne sont plus pertinents.

Cependant, ce droit n’est pas absolu. Il peut être limité pour respecter la liberté d’expression, des obligations légales ou certaines missions d’intérêt public. La constatation de la nécessité ou non de la suppression des données doit toujours être documentée par le responsable de traitement.

Le droit au déréférencement découle souvent du droit à l’oubli : il permet de retirer un lien des résultats de recherche affichés sur les moteurs de recherche afin de limiter la visibilité d’un contenu préjudiciable.

Photo illustrant le droit à l'oubli en entreprise.

Pourquoi le droit à l’oubli est un enjeu majeur pour les entreprises ?

1. Risques juridiques et financiers

Ne pas répondre à une demande d’effacement peut entraîner une plainte auprès de la CNIL ou d’autres autorités compétentes. Les sanctions prévues par le RGPD sont significatives : elles peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise.

Même le doute sur la conformité d’un traitement peut suffire à déclencher un contrôle ou une constatation de non-respect, ce qui montre l’importance de traiter chaque demande avec rigueur.

2. Complexité opérationnelle

La mise en œuvre du droit à l’oubli n’est pas une simple question technique. Les données personnelles sont souvent dispersées sur plusieurs comptes, systèmes internes, bases de données. Pour garantir une protection complète des personnes, il est nécessaire d’identifier toutes les occurrences d’un même contenu et de s’assurer de leur suppression. Cette opération implique une coordination entre différents services, la documentation des actions, et la mise en place de procédures claires pour éviter toute absence de réponse ou erreur.

Ainsi, l’enjeu pour l’entreprise n’est pas seulement de respecter la loi, mais aussi d’organiser ses systèmes et ses processus afin que la protection des données soit efficace et traçable, tout en réduisant le risque de sanctions ou de plainte.

Photo illustrant un clavier pour la suppression des données et le droit à l'oubli RGPD.

Mise en application : comment gérer le droit à l’oubli ?

Les demandes liées au droit à l’oubli concernent majoritairement la suppression de données, mais il est essentiel de distinguer les données qui peuvent être effacées de celles qui doivent être conservées pour des raisons légales, fiscales ou opérationnelles.

En effet, mettre en œuvre le droit à l’oubli ne se résume pas à appuyer sur “supprimer”. C’est un processus juridique, technique et organisationnel. Voici comment un DPO externalisé peut accompagner une entreprise

1. Analyse des demandes reçues

Le DPO vérifie chaque demande afin de déterminer si elle relève du droit à l’oubli ou du droit au déférencement. Il évalue la pertinence du contenu et la nécessité de suppression.

En cas de demande excessive, abusive ou manifestement disproportionnée, le DPO peut opposer un refus, en fournissant une justification claire et documentée. L’objectif est de ne supprimer que les données pertinentes, tout en respectant les obligations légales et opérationnelles.

2. Coordination interne

Le DPO organise la mission d’effacement auprès des équipes concernées : IT, marketing, juridique.

3. Respect des délais

Le RGPD impose une réponse en moins d’un mois. Le DPO veille à ce que l’entreprise ne laisse pas de doute ni d’absence de réponse face à une plainte.

Pour rappel, en cas de demande complexe, vous avez jusqu’à 3 mois pour répondre à la personne concernée mais cette dernière doit être informée de ce délai prolongé à la fin du premier mois. Plus d’informations, sur la gestion de vos demandes de droit ici.

4. Gestion des exceptions

Si certaines données ne peuvent pas être supprimées pour des fins de recherche légales ou obligations, le DPO documente la constatation et rédige une réponse claire au sein d’un registre des demandes de droits pour des questions de traçabilité et d’accountabilty.

Par exemple, en cas de demande de suppression d’un client, vous devez conserver et ne pas supprimer toutes les factures inférieures à 10 ans afin de remplir vos obligations fiscales et comptables.

5. Formation et sensibilisation

La protection des données passe aussi par la formation des équipes pour assurer la bonne application du droit à l’oubli au quotidien. Il est donc essentiel d’avoir une procédure claire et établie auprès de tous les services concernés afin de réduire le risque de non-réponse à la personne concernée.

La checklist du bon élève RGPD – Êtes-vous vraiment en règle ?

Vérifiez point par point votre conformité avec cette checklist claire et synthétique. Un outil essentiel pour tout professionnel souhaitant s’assurer d’être sur la bonne voie en matière de protection des données.
Télécharger

Conclusion

Le droit à l’oubli est un outil essentiel pour garantir la protection des données et renforcer la confiance des utilisateurs. Si la majorité des demandes concernent la suppression de données, il est crucial de ne pas tout supprimer aveuglément : certaines informations doivent être conservées pour répondre aux obligations légales, fiscales ou opérationnelles.

La mise en œuvre efficace de ce droit repose sur une analyse rigoureuse des demandes, une coordination interne structurée, le respect des délais, ainsi qu’une documentation précise de chaque action. La formation des équipes et la mise en place de procédures claires permettent également d’éviter toute absence de réponse ou erreur.

En tant que DPO externalisé, notre rôle est de vous guider dans ce processus, en garantissant que chaque demande soit traitée avec rigueur, transparence et responsabilité. Bien géré, le droit à l’oubli devient non seulement une obligation légale, mais aussi un levier pour protéger les personnes et sécuriser les activités de l’entreprise.

Samia Rahammia
Samia Rahammia

Juriste IT et Data et Chargée de projets marketing