Dans le cadre de la protection de la vie privée, le Règlement Général sur la Protection des Données (RGPD) confère aux citoyens européens des droits précis en matière de données personnelles, dont le célèbre « droit à l’oubli », ou droit à la suppression des données. Toutefois, certaines entreprises continuent de conserver les données personnelles de leurs anciens clients, parfois sans justification légale.

Cet article explore les cinq étapes essentielles pour obtenir la suppression de ses données personnelles en cas de violation du RGPD, en s'appuyant sur des dispositions légales européennes et la jurisprudence de la Cour européenne des droits de l’homme.

Contexte du cas : Monsieur X et la société Y

Monsieur X a mis fin à sa relation contractuelle avec une société Y.

Malgré cela, il découvre que la société continue de traiter ses données personnelles sans son consentement, et ce, au-delà de la période nécessaire à la finalité pour laquelle les données avaient été collectées.

Monsieur X décide de faire valoir ses droits à la suppression de ses données personnelles, conformément aux articles du RGPD et à la Convention européenne des droits de l’homme qui protège son droit à la vie privée (article 8).

1. Identifier la violation et formuler une demande de suppression (article 17 du RGPD)

Le premier réflexe de Monsieur X est d’adresser une demande formelle de suppression à la société Y, en invoquant son droit à l’effacement, prévu par l’article 17 du RGPD. Cet article précise que le responsable du traitement a l’obligation de supprimer les données personnelles lorsqu’elles ne sont plus nécessaires pour les finalités pour lesquelles elles ont été collectées ou traitées.

L’article 17 dispose que « la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant » dès lors qu’une des conditions suivantes est remplie :

  • Les données ne sont plus nécessaires.
  • Le consentement a été retiré.
  • Il n’y a pas de base légale pour leur traitement.

Dans le cas de Monsieur X, il n’y a plus de justification légitime pour que la société Y conserve ses données personnelles. Cette étape consiste à adresser une demande écrite, claire et formalisée, à l’entreprise, demandant expressément l’effacement.

2. Le refus de la société : saisir la CNIL pour faire respecter ses droits

Si la société refuse ou ne répond pas dans un délai de 30 jours, ce qui serait une violation de l'article 12 du RGPD, Monsieur X peut déposer une plainte auprès de la CNIL (Commission nationale de l'informatique et des libertés).

L’autorité de protection des données a pour mission de faire respecter les droits relatifs aux données personnelles et peut contraindre la société à se conformer à la demande de suppression.

L’article 12 du RGPD dispose que le responsable du traitement « fournit à la personne concernée des informations concernant l’action donnée à une demande » dans un délai d'un mois. Si ce délai n’est pas respecté, Monsieur X peut légitimement saisir la CNIL.

Dans l’affaire Satakunnan Markkinapörssi Oy et Satamedia Oy c. Finlande (CEDH, 27 juin 2017, requête no 931/13), la Cour européenne a souligné l’importance du droit à la protection des données dans le cadre du respect de la vie privée, en affirmant que la non-suppression des données personnelles pouvait constituer une atteinte à l’article 8 de la Convention européenne des droits de l’homme.

3. Action judiciaire : faire valoir ses droits devant le Juge judiciaire

Dès lors que la CNIL n’est pas parvenue à obtenir gain de cause ou que l’affaire nécessite Monsieur X a décidé de saisir les juridictions françaises pour demander l’effacement forcé des données.

Le Tribunal peut ordonner à une société de se conformer à une demande de suppression des données, et ce, sous peine d’amende.

Le tribunal se basera sur l’article 6 du RGPD, qui précise que le traitement des données doit être fondé sur une base légale, comme le consentement ou l'intérêt légitime.

Dans le cas de Monsieur X, la société ne dispose plus ni de son consentement ni d'un intérêt légitime à conserver les données.

Dans l’arrêt Barbulescu c. Roumanie (CEDH, 5 septembre 2017, requête no 61496/08), la Cour européenne a rappelé que toute ingérence dans la vie privée doit être proportionnée et justifiée.

Ainsi, si la société Y n’est pas capable de justifier l’importance de la conservation des données de Monsieur X, elle devra les supprimer.

La finalité de cette démarche est d’obtenir une décision judiciaire contraignante ordonnant la suppression immédiate des données.

Si la société Y ne se conforme pas à cette décision, elle s'expose à de lourdes amendes, conformément aux articles du RGPD.

Les sanctions pour non-respect des droits des personnes concernées, y compris la non-suppression des données, peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise (article 83 du RGPD).

4. Après avoir épuisé toutes les voies de recours françaises, la saisine de la Cour européenne des droits de l’homme pour atteinte à la vie privée

Dans les cas où les recours internes ne permettent pas de résoudre le litige, Monsieur X pourrait envisager de saisir la Cour européenne des droits de l’homme en dernier recours, en invoquant une atteinte à son droit au respect de la vie privée, protégé par l'article 8 de la Convention européenne des droits de l’homme.

La CEDH a plusieurs fois reconnu que la protection des données personnelles fait partie intégrante de la vie privée.

L’article 8 de la CEDH énonce que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

La non-suppression de données personnelles, surtout lorsque celles-ci ne sont plus nécessaires, peut être considérée comme une violation de ce droit fondamental.

Dans l’affaire Catt c. Royaume-Uni (CEDH, 24 janvier 2019, requête no 43514/15), la Cour a statué que la conservation prolongée de données personnelles sans justification légitime violait l’article 8 de la Convention.

Ce précédent montre que si la société Y continue de refuser de supprimer les données de Monsieur X sans base légale, elle pourrait être condamnée.

Conclusion

L’obtention de la suppression des données personnelles repose sur une démarche rigoureuse, basée sur le respect des textes du RGPD et de la Convention européenne des droits de l’homme.

Avec l’accompagnement d’un avocat spécialisé en protection des données, comme ceux du Cabinet Zakine, il est possible de faire respecter ces droits fondamentaux et d’obtenir réparation en cas de violation.

Le cabinet intervient dans toute la France (Paris, Ile de France, Bordeaux, Lyon, Marseille, Var, Toulouse), assurant un conseil stratégique et une assistance juridique dans des affaires complexes liées à la protection des données personnelles.

A lire aussi : https://www.cecile-zakine.fr/les-donnees-personnelles/