Le droit à l’oubli au cœur des contrôles en 2025 : que faut-il savoir ?

Par Haas Avocats

Dans l'univers du droit du numérique, la protection des données personnelles demeure une préoccupation centrale. Parmi les droits conférés par le Règlement Général sur la Protection des Données (RGPD), le droit à l'effacement, souvent appelé « droit à l'oubli », en est le fer de lance et permet aux individus de demander la suppression de leurs données personnelles par un organisme. 

Ce droit, consacré par l’article 17 du RGPD, est l'un des plus fréquemment exercés et génère une part très importante des plaintes reçues par les autorités de protection des données.

Face à l'importance de ce droit et aux défis de sa mise en œuvre, le Comité européen de la protection des données (CEPD) et les autorités européennes, dont la Commission nationale de l’informatique et des libertés (CNIL) en France, ont choisi le droit à l'effacement comme thème de leur action coordonnée pour l'année 2025. Cette initiative s'inscrit dans la continuité des actions précédentes axées sur le cloud (2022), les DPO (2023) et le droit d'accès (2024).

Pourquoi ce focus en 2025 ?

Le choix du droit à l'effacement s'explique par le fait qu'il est l'un des droits les plus sollicités au titre du RGPD. Pour la seule CNIL en 2024, il représentait 37 % des plaintes reçues.

Cela illustre les difficultés rencontrées par les personnes dans l'exercice de ce droit et, potentiellement, par les responsables de traitement dans sa bonne application.

En quoi consistent les contrôles prévus en 2025 ?

Pour l'année 2025, 32 autorités européennes participeront à cette initiative coordonnée. Elles contacteront un certain nombre de responsables du traitement dans divers secteurs d'activité.

L'objectif principal de ces vérifications sera d'examiner la manière dont les responsables du traitement gèrent et répondent aux demandes d'effacement qu'ils reçoivent. Les autorités accorderont une attention particulière à la façon dont les conditions et les exceptions à l'exercice de ce droit sont appliquées.

Ces actions pourront prendre la forme de nouvelles enquêtes formelles ou d'exercices d'établissement des faits (« fact-finding »).

Dans ce cadre, les conclusions seront partagées par les autorités pour une analyse agrégée au niveau européen.

Quelles implications pour les responsables de traitement ?

Cette focalisation des autorités signifie qu'il est plus important que jamais pour les organismes traitant des données personnelles de s'assurer de leur conformité en matière de droit à l'effacement.

Rappelons les obligations essentielles :

• Tout organisme détenant des données personnelles doit répondre à une demande d'effacement et cela peu importe le canal de la demande (oral, mail, lettre).
• Le responsable du traitement dispose d'un délai maximal d'un (1) mois pour répondre à la demande. Ce délai peut être prolongé à trois (3) mois en cas de complexité, à condition d'en informer la personne concernée et de justifier cette prolongation.
• En cas de doute raisonnable sur l'identité du demandeur, l'organisme peut demander des informations supplémentaires, mais celles-ci ne doivent pas être abusives, non pertinentes ou disproportionnées (par exemple, une copie de pièce d'identité est injustifiée si la demande provient d'un espace authentifié).
• La réponse doit être fournie par écrit (courriel ou lettre) en raison du principe d’accountability[1].
• Si la demande est justifiée par l'une des situations prévues par le RGPD (données non nécessaires, retrait de consentement, traitement illicite, données de mineur, prospection, obligation légale, opposition sans motif légitime impérieux), l'organisme doit procéder à l'effacement dans les meilleurs délais.
• Lorsque le contenu a été repris par d'autres responsables de traitement (y compris les moteurs de recherche), le responsable du traitement est tenu de prendre des mesures pour les informer de la demande d'effacement afin qu'ils suppriment les liens ou copies. Cela implique notamment de s'assurer de la désindexation des contenus par les moteurs de recherche.

Des outils comme la Google Search Console permettent d'accélérer ce processus (suppression temporaire d'URL, mise à jour du cache, demande de réindexation). Des solutions techniques comme la suppression ou l'anonymisation des données sur la page, ou l'utilisation de balises meta « noindex » sont possibles.

• Il est également important de connaître les limites légales au droit à l'effacement, notamment lorsque l'effacement porte atteinte à la liberté d'expression, au respect d'une obligation légale, à des fins d'intérêt public (santé, archives, recherche, statistiques) ou à la constatation/défense de droits en justice.

Quelles Suites en Cas de Non-Conformité ?

À la suite des contrôles, les autorités pourront décider de mesures correctrices si des manquements sont constatés. Ces mesures peuvent aller de rappels à l'ordre à des mises en demeure, voire des sanctions financières.

Le droit à l'effacement est dès lors un droit fondamental qui renforce la maîtrise des personnes sur leurs données. La décision des autorités de contrôle européennes d'en faire leur priorité en 2025 est un signal fort.

Les responsables de traitement doivent donc revoir leurs procédures de gestion des demandes d'effacement, s'assurer de leur capacité technique à mettre en œuvre les suppressions et désindexations nécessaires, et bien comprendre les conditions d'application et les exceptions à ce droit.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

[1] Article 5 du RGPD