Webmaster ou responsables de sites : comment répondre aux demandes de suppression de données personnelles publiées sur votre site ?

18 November 2020

Tout internaute a la possibilité de demander à un responsable de site web que ses données personnelles ne soient plus diffusées en ligne, et que les pages diffusant ces données ne soient plus indexées par les moteurs de recherche. En tant que responsable d'un site web, comment répondre à ces demandes ?

Que dit le RGPD ?

En application des articles 17 et 21 du RGPD, toute personne peut demander à ce que ses données personnelles soient supprimées d’un site web.

Le responsable du traitement saisi d’une telle demande dispose d’un délai d’un mois maximum pour y apporter une réponse (article 12 du RGPD).

Lorsqu’il procède à la suppression du contenu, il est également tenu de prendre des mesures pour avertir les responsables de traitement qui auraient repris ces données que la personne concernée a demandé l'effacement de tout lien vers ces données personnelles, ou de toute copie ou reproduction de celles-ci (article 17.2 du RGPD).

Je reçois un courrier me demandant de supprimer des données personnelles : que faire ?

L’internaute est tenu d’indiquer les raisons qui motivent sa demande de suppression : impact négatif de cette diffusion, données obsolètes, retrait du consentement qui avait été donné à l’époque de la publication, etc.

Le responsable de traitement peut demander des informations supplémentaires sur la personne en cas de doute sur votre identité (article 12 du RGPD). En revanche, il ne peut pas demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande. Il ne peut par exemple demander une copie de la pièce d’identité si le demandeur effectue sa demande à partir d’un espace où il est authentifié.

Le responsable de traitement dispose d’un délai légal de 1 mois à compter de la date de réception du courrier pour répondre à la demande (article 12 du RGPD). Il est tenu d’y répondre même s’il ne compte pas y donner suite.

Le responsable de traitement doit préciser au demandeur les mesures prises ou les raisons qui justifient son refus.

  • S’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts et les droits et libertés de la personne concernée. Par exemple, lorsque le traitement est nécessaire à la liberté d’expression ou d’information, ou lorsqu’il s’agit d’un intérêt public dans le domaine de la santé, de l’archivage ou de la recherche ;
  • si les données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice ;  
  • si un contrat vous lie avec l’organisme ;
  • si une obligation légale lui impose de publier ces données.

Comment répondre favorablement à une demande d’opposition ?

En fonction de la demande de l'internaute (suppression du contenu, correction, anonymisation, désindexation des moteurs de recherches), le responsable de traitement dispose de différentes solutions pour y répondre.  

Lorsque le contenu a été repris par d’autres responsables de traitement, il est tenu de prendre des mesures afin de les informer de la demande de suppression de la personne concernée. Ainsi, dans la mesure où tout contenu web a par défaut vocation à être indexé par les moteurs de recherche, la prise en compte effective de la demande de suppression implique, outre la suppression ou modification du contenu (par la suppression de la page web ou des données du demandeur), de s’assurer également de sa désindexation par les moteurs de recherche.

Par exemple, le moteur de recherche Google met à disposition des responsables de sites une fonctionnalité « Search console » permettant d'optimiser et de gérer finement le référencement des contenus de leurs sites sur Google. L'activation de cette fonctionnalité nécessite des droits « administrateur » sur le ou les sites que vous gérez et l'ouverture d'un compte Google.

Solution 1 - Supprimer / dépublier intégralement la page

Solution 2 - Supprimer ou anonymiser uniquement les données en cause

Solution 3 - Désindexer le contenu en cause