Le droit à l'oubli, également appelé droit à l'effacement, et le droit à la limitation du traitement sont deux des droits fondamentaux accordés aux personnes concernées par le Règlement général sur la protection des données (RGPD). Néanmoins, il convient de noter que ces droits ne sont pas absolus et qu'il existe des limitations à leur exercice.
La Cour de justice de l'Union européenne (CJUE) est ainsi venue apporter une nuance à l'exercice de ces droits.
Pour rappel
Le droit à l’oubli est prévu par l'article 17 du RGPD. Il permet à la personne concernée par un traitement de demander la suppression des données personnelles la concernant.
Le droit à la limitation prévu à l’article 18 du RGPD permet aux personnes concernées par un traitement de demander la limitation de ce dernier. Ce droit est souvent exercé en alternative à la demande de suppression des données.
Le principe est que ces droits peuvent être invoqués lorsque, notamment, les données à caractère personnel ont fait l'objet d'un traitement illicite.
Décision de la CJUE
La question est de savoir si la personne concernée peut exercer son droit à l'effacement ou à la limitation du traitement en cas de violation par le responsable du traitement des articles 26 et 30 du RGPD.
L'article 26 du RGPD prévoit que lorsque deux ou plusieurs responsables de traitement déterminent conjointement les finalités et les moyens du traitement des données personnelles, ils doivent conclure un accord spécifique pour déterminer leurs responsabilités respectives.
L'article 30 du RGPD prévoit les obligations de tenue de registres du responsable du traitement et du sous-traitant.
La CJUE répond par la négative, en indiquant que la méconnaissance par le responsable de traitements des articles 26 et 30 du RGPD ne constitue pas un traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité ».
Qu'est-ce que cela signifie ?
Conformément à l'article 5 du RGPD, le responsable du traitement doit s’assurer du caractère « licite » du traitement des données qu’il effectue.
La licéité du traitement fait référence à l'article 6, qui évoque les 6 bases légales permettant de justifier le traitement de données personnelles.
Les articles 7 à 11, relatifs au consentement et aux données sensibles, ont pour objet de préciser la portée des obligations incombant au responsable du traitement prévu par l'article 5.
Mais, selon la Cour, les articles 26 et 30 n’ont pas pour objet de préciser la portée des exigences énoncées à l’article 5 et 6.
Qu'en retenir ?
Afin de pouvoir exercer son droit à l'oubli ou à la limitation du traitement, la violation du responsable de traitement doit résulter de la méconnaissance des articles 5 et 6 du RGPD. Cela concerne donc :
- l'absence d'une base légale valide pour le traitement des données ;
- si le traitement est basé sur le consentement de la personne concernée, la violation des conditions nécessaires pour obtenir ce consentement ;
- le non-respect des obligations relatives au traitement des données sensibles.
Si la violation découle d'un autre article du RGPD, elle ne permet pas à la personne concernée d'exercer son droit à l'oubli ou à la limitation du traitement.
Dastra vous permet de constituer un registre de demandes d'exercice de droits centralisant toutes les demandes passées, présentes et à venir. Essayez notre outil gratuitement pendant 30 jours.