Les points clés de la suppression des données personnelles en entreprise

L’importance de la protection des données personnelles en ligne

La protection des informations personnelles est un enjeu essentiel dans le monde numérique. Chaque jour, en utilisant des services en ligne comme les réseaux sociaux, les sites d’e-commerce , en allant sur une page web ou des moteurs de recherche comme Google, à des fins de recherche, nous partageons du contenu sensible : coordonnées, données bancaires, historique de navigation, etc. Ces données en ligne doivent faire l’objet d’un traitement particulier.

Les entreprises ont une véritable responsabilité : elles doivent garantir la sécurité et la protection des données qu’elles collectent et traitent. Le Règlement Général sur la Protection des Données (RGPD) impose des règles strictes pour encadrer ces pratiques (notamment suppression données personnelles)

Par exemple, lorsqu’un client souhaite fermer un compte, il peut faire valoir son droit à la suppression des données personnelles (ou droit à l’oubli) pour demander l’effacement de ses informations. Cela s’applique aussi bien aux données personnelles de google qu’à celles en lien avec d’autres plateformes en ligne.

Du côté des entreprises, cette obligation ne s’arrête pas aux clients. Dès l’accueil, les employeurs doivent aussi protéger les données de leurs salariés : numéro de sécurité sociale, adresse, fiche de paie, résultats d’évaluation, etc. L’entreprise est responsable des données personnelles traitées mais aussi de l’exercice des droits des personnes (suppression données personnelles notamment).

Une simple erreur, comme envoyer ces fichiers sans cryptage ou sans consentement, peut entraîner des conséquences graves : amendes, perte de confiance, voire atteinte à la réputation de l’entreprise.

Protéger ses informations personnelles en ligne, c’est aussi une question de droits, de sécurité, et de respect de la vie privée. Connaître ses droits et faire attention aux données en ligne que l’on partage permet à chacun de mieux contrôler sa vie numérique.

Collecte et stockage des données personnelles

Le RGPD impose une règle essentielle : ne collecter que les informations nécessaires. Concrètement, cela signifie qu’un service en ligne n’a besoin que des données indispensables pour fonctionner. Par exemple, lors de la création d’un compte en ligne, une simple adresse email suffit, sans avoir à demander l’adresse postale.

Une fois les données personnelles sur internet récoltées, il est crucial de les protéger. Des entreprises comme Google, Amazon ou eBay utilisent des technologies de chiffrement avancées pour garantir la sécurité des informations personnelles, comme les mots de passe ou les données bancaires.

En cas de violation, les conséquences peuvent être lourdes : en 2019, British Airways a dû payer une amende de 183 millions de dollars pour une faille de sécurité qui a exposé des données personnelles.

Selon l’article 17 du RGPD, chaque individu a le droit d’effacer ses données personnelles. Ce droit s’applique notamment au contenu personnel visible sur internet. Par exemple, si des informations personnelles de Google ne sont plus souhaitées, un simple lien peut suffire pour demander leur suppression dans les meilleurs délais.

Réglementation sur le droit de suppression des données personnelles

Qu’est-ce que le droit à l’effacement du contenu de ses données ?

Le RGPD établit des règles claires concernant la suppression des données personnelles. Selon l’article 17 du RGPD, appelé aussi droit à l’oubli, une personne peut demander la suppression de ses données personnelles si celles-ci ne sont plus nécessaires à l’objectif pour lequel elles ont été collectées, ou si elle retire son consentement.

Le responsable des données à un mois pour répondre à cette demande. Cependant, certaines données doivent être conservées pour des raisons légales ou contractuelles. Par exemple, les données fiscales doivent être gardées plusieurs années, les journaux de connexion peuvent être conservés jusqu’à 12 mois pour des raisons de sécurité.

Si le responsable des données ne répond pas ou ne respecte pas cette règle, il peut recevoir une plainte et être sanctionné par la CNIL car il s’agit d’une obligation.

Les amendes peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. Google, par exemple, a été condamné en 2019 à une amende de 50 millions d’euros pour ne pas avoir respecté les règles du RGPD et obligation sur le consentement des utilisateurs.

La publication de données personnelles sans consentement ou la non-suppression peut nuire à l’expérience des utilisateurs et entraîner des conséquences juridiques importantes dans le domaine de la protection des données.

Processus de suppression des données personnelles

Suppression de données personnelles en entreprise par services

Quelle est la durée de conservation des données personnelles ?

Dans les entreprises, la collecte et le traitement des données personnelles des employés sont fréquents. Cela inclut des informations comme les coordonnées, les numéros de sécurité sociale, mais aussi des données plus sensibles, comme les évaluations de performance ou les antécédents médicaux. L’entreprise, en tant que responsable du traitement, doit respecter des règles strictes concernant la conservation de ces informations.

Le RGPD impose que les données personnelles ne soient conservées que le temps nécessaire au regard de l’objectif pour lequel elles ont été collectées. Par exemple, un CV d’un candidat non retenu n’a pas intérêt à être conservé plus de deux ans après le dernier contact, sauf consentement explicite. Ce délai pourrait être prolongé si l’intérêt de l’entreprise le justifie, mais cela doit être clairement indiqué et accepté par le candidat.

Pour améliorer la sécurité, des techniques comme la pseudonymisation ou le chiffrement peuvent être utilisées pour la protection de ces données. Il est également conseillé de maintenir un registre des traitements de données pour justifier de la durée de conservation et des raisons de celle-ci.

Les entreprises collectent souvent une grande quantité de données personnelles sur leurs clients, telles que des informations de contact ou des historiques d’achat. Une mauvaise gestion de ces données peut entraîner des violations de la vie privée et des sanctions légales.

Il est donc essentiel d’avoir une politique claire pour la suppression des données personnelles. En revanche, elle ne doit pas être d’une grande complexité mais doit définir quand et comment ces informations doivent être supprimées ou anonymisées.

Par exemple, un site internet peut décider de supprimer un compte Google inactif depuis plus de trois ans pour éviter des risques de sécurité. Avant cette suppression, l’entreprise envoie une notification à l’utilisateur pour l’avertir et lui offrir la possibilité de réactiver son compte.

Ce processus est essentiel pour protéger la sécurité des données et respecter les droits des utilisateurs. En cas d’absence de réponse à cette notification, le compte peut être supprimé.

Dans certains cas, au lieu de supprimer les données, l’anonymisation peut être utilisée. Cela permet à l’entreprise de conserver des informations utiles, notamment pour des exercices de recherche ou d’analyse de données, tout en garantissant la protection de la vie privée des individus. L’anonymisation est particulièrement utile pour des études ou des recherches, où des données doivent être analysées sans identifier les personnes concernées.

Il est aussi important que l’entreprise prenne en compte les coûts de mise en place de ses processus de gestion des données. Les solutions de sécurité, comme le chiffrement, peuvent être coûteuses, mais nécessaires pour protéger les données sensibles, surtout celles liées à la santé ou à des données sensibles utilisées dans des situations de revenge. Une mauvaise gestion de ces données pourrait causer des préjudices importants, tant pour l’entreprise que pour les utilisateurs.

Lorsqu’un utilisateur fait une demande de suppression de ses données via un formulaire de demande (suppression données personnelles), l’entreprise ou la société doit répondre rapidement et de manière transparente. Si l’entreprise ne répond pas, cela pourrait être perçu comme une négligence ou comme une tentative d’interprétation erronée des intentions de l’utilisateur.

Dans tous les cas, l’entreprise doit être vigilante et respecter les droits des utilisateurs tout en protégeant les données qu’elle collecte, conformément, à l’article 17 du RGPD . La défense de droits de l’entreprise pourrait également inclure des mesures pour protéger ses intérêts, mais toujours dans le respect de la législation en vigueur, et avec pour finalité, la protection des données à caractère sensible.

Comment procéder pour demander une suppression de ses données

Dans le cadre de la protection des personnes, chacun a le droit de maîtriser les informations le concernant, notamment celles diffusées sur Internet. Lorsqu’une constatation est faite par exemple, la publication en ligne de votre numéro de téléphone, d’une situation personnelle sensible (comme un conflit familial, un litige professionnel, un contenu diffamatoire) vous pouvez exercer votre droit à la suppression de ces données personnelles.

La première étape consiste à faire une demande d’accès aux données auprès du site ou service concerné, pour savoir quelles informations sont détenues sur vous. Si ces données sont inexactes, obsolètes ou vous portent préjudice, vous pouvez ensuite déposer une réclamation en demandant leur suppression.

Prenons l’exemple de Google, souvent utilisé comme point de départ. Vous pouvez demander la suppression d’informations personnelles directement via ce lien officiel https://support.google.com/legal/troubleshooter/1114905.
Il vous faudra :

• Expliquer la situation (ex. : « Mon numéro de téléphone personnel apparaît dans les résultats de recherche sans mon consentement »),
• Fournir une constatation claire (ex. : une capture d’écran ou une URL où les données apparaissent),
• Joindre une preuve d’identité (carte d’identité ou permis, pour vérifier que vous êtes bien la personne concernée),
• Suivre les étapes pour compléter et envoyer le formulaire.

Une fois la demande envoyée, vous recevrez une confirmation par mail, et Google vous informera ensuite de la suite donnée à votre demande. En cas de refus ou d’inaction ou en cas de réponse inadaptée, vous pouvez également adresser une réclamation à la CNIL via ce lien : https://www.cnil.fr/fr/plaintes.

Recours en cas de refus de suppression ou d’effacement des informations

En cas de refus injustifié d’une demande de suppression de données personnelles à caractère sensible, l’utilisateur peut exercer plusieurs recours pour faire valoir son droit à l’effacement . Il peut tout d’abord relancer l’entreprise concernée en envoyant un courrier recommandé avec accusé de réception, en rappelant le caractère obligatoire de la réponse dans les délais imposés par le RGPD ainsi que ses droits, notamment celui à la suppression et au droit de rectification de ses données, comme mentionné dans l’article 17 du RGPD.

Si l’entreprise persiste à ne pas répondre ou oppose un refus sans fondement valable, l’utilisateur peut alors saisir la CNIL. Cette autorité peut intervenir pour exiger l’effacement des données personnelles et, le cas échéant, prononcer des sanctions à l’encontre de l’organisme en cause. Enfin, si ces démarches demeurent sans effet, l’utilisateur peut engager une action en justice, que ce soit auprès d’un tribunal national ou, dans certains cas, devant la Cour de Justice.

Cette action vise à faire respecter l’exercice du droit numérique, obtenir la suppression effective des données, y compris lorsqu’elles sont diffusées sur un réseau et garantir leur effacement à partir d’une date précise.