Le droit à l’effacement, souvent appelé « droit à l’oubli », est l’un des droits phares prévus par le RGPD pour redonner la maîtrise des données personnelles aux personnes concernées. Mais contrairement à une idée reçue, ce droit n’est pas absolu : dans certains cas, l’entreprise peut légalement refuser une demande de suppression.
Que prévoit le RGPD sur le droit à l’effacement ?
L’article 17 du RGPD consacre le droit pour toute personne d’obtenir du responsable de traitement l’effacement de ses données « dans les meilleurs délais » lorsque certaines conditions sont remplies. La CNIL rappelle que ce droit peut être invoqué, par exemple, lorsque :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
- La personne retire son consentement.
- La personne s’oppose au traitement et il n’existe aucun motif légitime impérieux pour le maintenir.
- Les données ont fait l’objet d’un traitement illicite.
- Les données ont été collectées lorsque la personne était mineure dans le cadre de services de la société de l’information (réseaux sociaux, blogs, forums, etc.).
Dans toutes ces situations, la personne peut exiger que le responsable de traitement procède à la suppression de ses données personnelles.
Un droit fort… mais limité : les cas de refus prévus par la loi
Le même article 17 du RGPD liste des cas où l’entreprise peut refuser l’effacement, parce que d’autres intérêts ou obligations juridiques doivent primer. La CNIL détaille ces limites dans ses fiches pédagogiques, en expliquant que la demande d’effacement peut être refusée notamment lorsqu’elle empêcherait :
- L’exercice du droit à la liberté d’expression et d’information.
- Le respect d’une obligation légale de conservation (par exemple la conservation des factures pendant 10 ans).
- La poursuite d’objectifs d’intérêt public en matière de santé.
- Des finalités d’archivage dans l’intérêt public, de recherche scientifique ou historique, ou des fins statistiques.
- La constatation, l’exercice ou la défense de droits en justice.
Autrement dit, l’entreprise doit analyser la demande d’effacement au regard de l’ensemble de ses obligations légales et des finalités du traitement, et ne peut pas se contenter d’un refus générique.
Exemple concret : la facture que l’entreprise ne peut pas supprimer
La CNIL donne un exemple très parlant pour illustrer la limite du droit à l’effacement : les données contenues dans des documents comptables.
Imaginons le scénario suivant :
- Vous demandez à un site de commerce en ligne de supprimer toutes vos données personnelles.
- Le site ferme votre compte, supprime vos préférences et vos données marketing.
- En revanche, il conserve vos factures et certaines informations liées à vos achats.
Ce maintien de certaines données n’est pas un refus illégal, mais la conséquence d’une obligation légale : les règles comptables et fiscales imposent de conserver les factures pendant une certaine durée (souvent 10 ans). Dans ce cas, l’entreprise est en droit de répondre qu’elle ne peut pas effacer ces données tant que le délai légal de conservation n’est pas expiré.
Comment l’entreprise doit‑elle répondre à une demande d’effacement ?
Au‑delà de la théorie, la CNIL insiste sur la manière dont les organismes doivent traiter concrètement les demandes d’effacement :
- Répondre dans un délai d’un mois (prolongeable jusqu’à trois mois en cas de demande complexe, avec information de la personne).
- Procéder à l’effacement effectif des données concernées lorsqu’il n’existe pas de motif légal de les conserver.
- Informer la personne de manière claire et motivée en cas de refus, en précisant la base juridique (ex. obligation légale de conservation, défense en justice, recherches d’intérêt public, etc.).
- Indiquer les voies de recours possibles : réclamation auprès de la CNIL ou action devant les tribunaux.
Pour les entreprises, documenter ces décisions (registre des demandes, motifs de refus, textes applicables) est une bonne pratique de conformité et un atout en cas de contrôle.
