- RGPD L'article 17 donne aux particuliers le droit de demander la suppression de données à caractère personnel dans des circonstances définies
- Le droit n'est pas absolu — six exemptions spécifiques vous permettent de refuser ou de limiter l'effacement
- Les entités assujetties à la LAM ne peuvent pas effacer les enregistrements KYC pendant la période de conservation obligatoire
- L'effacement s'applique à toutes les copies — y compris les sauvegardes et les données détenues par les processeurs
Le droit à l'effacement — parfois appelé droit à l'oubli — donne aux individus le droit de faire supprimer leurs données personnelles sans retard excessif dans certaines circonstances. L'article 17 du RGPD définit à la fois le droit et ses limites. La compréhension des deux est essentielle pour toute entreprise réglementée qui reçoit des demandes d'effacement de clients, d'anciens clients, d'employés ou de perspectives.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Lorsque le droit à l'effacement s'applique
Une personne peut demander l'effacement lorsqu'un des motifs suivants s'applique :
- Les données à caractère personnel ne sont plus nécessaires aux fins de leur collecte
- La personne retire son consentement (et il n'y a pas d'autre base légale pour le traitement)
- L'individu s'oppose au traitement au titre de l'article 21 et il n'existe pas de motifs légitimes
- Les données à caractère personnel ont été traitées illégalement
- L'effacement est nécessaire pour se conformer à une obligation légale
- Les données ont été recueillies en relation avec l'offre de services de la société de l'information à un enfant
Quand vous pouvez refuser l'effacement
Le droit à l'effacement ne s'applique pas lorsque la transformation est nécessaire aux fins suivantes (article 17, paragraphe 3):
- Exercer le droit à la liberté d ' expression et d ' information
- Respect d'une obligation légale — par exemple, exigences en matière de conservation de la LAM/CJK, documents fiscaux ou exigences en matière de droit du travail
- Santé publique (dans l'intérêt public)
- Archivage dans l'intérêt public, à des fins scientifiques, historiques ou statistiques — lorsque l'effacement compromettrait gravement ces fins
- Établissement, exercice ou défense de créances — si vous avez besoin des données pour les litiges en cours ou prévus
Pour les entreprises réglementées: L'exemption la plus couramment applicable est le motif d'obligation juridique. Les entités assujetties à la LMA doivent conserver les dossiers de la CJA pendant cinq ans après la relation. Un client vous demandant de supprimer leur fichier KYC pendant cette période peut être refusé sur cette base — mais vous devez leur dire ceci et expliquer quelle obligation juridique s'applique.
Délai de réponse de 30 jours
Comme les DSA, les demandes d'effacement doivent être traitées dans les 30 jours civils suivant leur réception. Vous devez soit confirmer que l'effacement a été effectué, expliquer pourquoi vous refusez (y compris l'exemption spécifique), soit demander une prolongation (maximum deux mois, avec préavis dans les 30 premiers jours).
Ce que signifie l'effacement dans la pratique
L'effacement ne signifie pas simplement supprimer l'enregistrement primaire. Cela signifie retirer les données personnelles de l'individu de tous les endroits où elles existent:
- Vos systèmes primaires (CRM, gestion de cas, RH)
- Archives électroniques et correspondance
- Copies de sauvegarde (les sauvegardes doivent être traitées séparément — une suppression immédiate de toutes les sauvegardes peut ne pas être proportionnée, mais les données doivent être supprimées lorsque la sauvegarde est ensuite restaurée ou écrasée)
- Processeurs — vous devez donner des instructions aux processeurs de données qui détiennent les données pour les effacer
- Destinataires tiers — lorsque des données ont été communiquées à des tiers, vous devez prendre des mesures raisonnables pour les informer de la demande d'effacement (article 17, paragraphe 2)
Documenter les décisions d'effacement
Que vous respectiez ou refusiez, documentez la décision. Dossier : qui a fait la demande, quand, quelles données ont été touchées, quelle décision a été prise, les motifs de cette décision et quelles mesures ont été prises. Cette documentation est essentielle si la personne se plaint à une autorité de contrôle.
Quand vous refusez
Votre avis de refus doit : informer l'individu des motifs spécifiques de refus, l'informer de son droit de porter plainte auprès d'une autorité de contrôle et l'informer de son droit de recours judiciaire. Soyez précis quant à l'exemption qui s'applique — «nous en avons besoin pour des raisons juridiques» ne suffit pas.
L'effacement s'applique-t-il aux documents papier et aux documents numériques?
Oui. Le droit à l'effacement s'applique à toutes les données à caractère personnel, qu'elles soient conservées sous forme numérique ou physique. Les documents papier contenant les données personnelles de l'individu doivent également être détruits, selon vos procédures d'élimination sécurisées.
Et si l'effacement des données rendait d'autres documents incomplets ou inexacts?
C'est une véritable tension. Lorsque l'effacement complet fausserait d'autres documents (p. ex., le retrait d'une partie d'un document d'opération qui doit être tenu aux fins de l'impôt), il faut déterminer si la restriction du traitement plutôt que l'effacement complet est plus appropriée. Restriction signifie que les données sont stockées mais non utilisées — et peuvent répondre aux préoccupations de l'individu sans exiger la destruction des documents légalement requis.
Gérer les demandes d'effacement avec confiance
HubSecure s Vault et CRM vous donnent une vue complète de toutes les données détenues sur chaque client — rendant les audits d'effacement, la rédaction et la suppression rapides et entièrement documentées.
Réservez une démoExamen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale