Le droit à l'oubli. Faire effacer vos données pour réduire votre empreinte numérique

Si vous avez déjà cessé d'utiliser une application, un service en ligne ou un compte, prenez un moment avant d'appuyer sur la touche "supprimer" de votre appareil. Auparavant, demandez-leur d'effacer de leur système les données qu'ils détiennent sur vous. C'est le moyen le plus simple et le plus efficace de réduire votre empreinte numérique et de vous protéger contre de futures violations.

Connaître vos droits vous permet de prendre le contrôle de votre présence numérique. Découvrez comment exercer votre droit à la suppression de vos données.

Qu'est-ce que le droit à l'effacement ?

Le droit à la suppression/à l'effacement (article 17 - RGPD) est communément appelé "le droit à l'oubli". Il vous permet de demander aux sociétés, organisations et entreprises de supprimer vos données de leurs systèmes.

Notez que le droit à l'oubli, la suppression ou l'effacement n'est pas le droit au déréférencement. Le droit au déréférencement s'applique spécifiquement à vos données qui peuvent être trouvées via les moteurs de recherche. Par exemple, lorsque vous demandez à Google de supprimer des résultats de recherche spécifiques associés à votre nom, vous exercez votre droit au déréférencement. Il empêchera vos données d'apparaître dans les résultats de recherche, mais ne les supprimera pas de ceux qui les détiennent.

Votre droit à l'effacement est plus large, englobant tous les responsables du traitement qui traitent vos données, sans se limiter aux moteurs de recherche, et nous vous encourageons à l'exercer.

Vous pouvez demander l'effacement de vos données dans les cas suivants :

• Le stockage ou l'utilisation de vos données n'est plus nécessaire aux fins de la collecte initiale. Par exemple, votre abonnement à la salle de sport a expiré il y a plusieurs mois, vous avez payé votre cotisation à temps et vous n'avez plus l'intention d'utiliser leurs services.
• Vous avez retiré votre consentement. (lisez ici comment retirer votre consentement)
• Vous vous opposez au traitement de vos données à des fins de marketing direct (voir plus d'informations sur le droit d'opposition).
• Le responsable du traitement traite vos données illégalement (par exemple, sans votre consentement).
• Les données à caractère personnel d'un enfant de moins de 16 ans sont utilisées pour un service payant sans le consentement des parents ou du tuteur.
• Les données doivent être supprimées pour des raisons juridiques. Par exemple, vous demandez à une banque de supprimer les données relatives à vos dettes après plusieurs années.

Exceptions à la suppression des données

Les organisations ne supprimeront pas vos données si celles-ci :

• ont été traitées pour se conformer à la loi. Par exemple, les contribuables ne peuvent pas demander que leurs données soient supprimées du système fiscal.
• sont utilisées pour des raisons de santé publique (un hôpital les conserve pour éviter la contamination par des virus)
• sont nécessaires à des fins d'archivage, de recherche, d'histoire, de science ou de statistique
• sont nécessaires pour des raisons de sécurité nationale, de liberté d'expression ou d'information (par exemple, un journal qui publie des enquêtes en ligne).

Exemple d'histoire

Après avoir passé des années avec son fournisseur d'accès à Internet, Jim décide de passer à un nouveau fournisseur offrant de meilleurs services. Il demande à son ancien fournisseur de supprimer ses données - compte en ligne, numéros de carte de crédit, numéros d'identification et autres informations personnelles - puisqu'il n'utilisera plus ses services. L'entreprise recherche et supprime toutes les données et lui répond en confirmant qu'elle a donné suite à sa demande.

Comment exercer votre droit à l'effacement

Voici trois étapes simples pour exercer votre droit à l'oubli.

Étape 1 - Identifiez et contactez les détenteurs de vos données

Lorsque vous cessez d'utiliser une appli, un service ou un compte en ligne et que vous souhaitez supprimer les données qu'ils ont recueillies à votre sujet, cherchez un courriel pour les contacter. Vous le trouverez probablement dans les sections "politique de confidentialité" et "contactez-nous" de leur site web.

Si vous souhaitez procéder à un nettoyage en profondeur de vos données numériques et que vous vous demandez si vous vous souvenez de tous les services auxquels vous vous êtes inscrit, utilisez Bitdefender Digital Identity Protection. Il s'agit d'un outil qui analyse et identifie tous les comptes associés à vous que vous avez pu ouvrir avec une adresse électronique Gmail ou Outlook.

Étape 2 - Rédigez votre demande de suppression

Dans votre demande :

• Indiquez clairement que vous demandez la suppression de vos données et demandez à l'organisation de vous confirmer qu'elle l'a fait.
• Précisez votre nom et mentionnez des détails tels que votre numéro de téléphone, votre nom d'utilisateur, le nom de votre compte ou votre adresse IP afin qu'ils puissent vous retrouver rapidement dans le système.
• Si vos données ont été partagées, insistez pour que les destinataires en soient informés et pour qu'ils suppriment les données de leurs systèmes.
• Mentionnez la ou les raisons pour lesquelles ils sont obligés de supprimer vos données et faites référence à l'article 17 du RGPD (règlement européen).

Étape 3 - Si vous le souhaitez, notre service de protection de l'identité numérique peut envoyer les demandes d'effacement en votre nom. Vous pouvez trouver ces courriels pré-rédigés comme l'une des actions que vous pouvez entreprendre pour chaque entreprise qui possède vos données et voir comment votre empreinte devient plus petite.

Ce qui vous attend

Après l'envoi de votre demande, le responsable du traitement dispose d'un mois pour répondre et confirmer qu'il a supprimé vos données. Ce délai peut être prolongé une fois dans des situations plus complexes, mais pour une durée maximale de deux mois supplémentaires.

Le responsable du traitement peut répondre en indiquant qu'il a choisi de ne pas supprimer tout ou partie des données dont vous avez demandé l'effacement. Dans ce cas, il doit expliquer pourquoi et montrer comment l'une des exceptions dont nous avons parlé précédemment s'applique à votre cas. Il ne peut pas refuser sans raison valable et ne peut pas vous donner une réponse générique et universelle.

Si vous n'êtes pas satisfait de sa réponse, vous avez la possibilité de déposer une plainte auprès d'une autorité de protection des données dans votre pays.

Sources : Commission européenne, noyb.eu