Prendre Rendez-vous

Comment gérer efficacement une demande de suppression de données client (RGPD) – Cas Pratique

Le droit à l’effacement, ou « droit à l’oubli », est un pilier central du RGPD, article 17. Mais comment le mettre en œuvre concrètement lorsqu’un client vous sollicite pour supprimer ses données personnelles ?

Suivons ensemble les étapes clés et les bonnes pratiques à adopter, illustrées par un cas pratique réaliste.

Le contexte : une demande de suppression légitime.

Imaginez la situation suivante : M. Dumont (nom fictif), votre client depuis plusieurs années, vous contacte par mail ou via votre formulaire en ligne pour exercer son droit à l’effacement. Il souhaite que toutes les données personnelles le concernant soient supprimées de vos systèmes, invoquant un changement de prestataire et ne souhaitant plus bénéficier de vos services.

Étape 1 : Vérification de la légitimité de la demande.

Avant toute action, il est crucial de vérifier l’identité du demandeur pour s’assurer qu’il s’agit bien de M. Dumont. Une justification de l’identité du demandeur doit être faite en cas de doute : le plus classiquement par une copie d’une pièce d’identité officielle (carte d’identité, passeport), en veillant à ne conserver que les informations strictement nécessaires à la vérification et à les supprimer après confirmation mais également en indiquant le numéro client ou en joignant copie d’une facture voir si la demande est faite dans un contexte déjà sécurisé (via le formulaire en ligne accessible depuis le compte client) cela est inutile.

Conseil : le DPO doit lui-même avoir une fiche de traitement pour expliquer cette vérification avec des modèles de messages déjà prêts, une procédure de vérification et de suppression des éléments ainsi reçus et ainsi prévoir et organiser la durée de conservation du justificatif d’identité ainsi traité.

Étape 2 : Identification des données concernées.

Une fois l’identité confirmée, il faut identifier toutes les données personnelles de M. Dumont présentes dans vos différents systèmes (CRM, base de données marketing, historique des commandes, etc.).  Un registre RGPD précis et à jour est ici indispensable pour faciliter cette recherche. Ainsi identifier où est stockée une donnée client ne doit pas s’apparenter à la recherche d’une aiguille dans une botte de foin mais bien à appliquer une check-liste déjà prête.

Car le délai de 1 mois ou 3 mois si la demande présente des difficultés particulières a commencé à courir.

Conseil : le DPO doit avoir cette check-liste prête et à jour et la partager avec les directions métiers concernées. D’ailleurs un exercice grandeur nature chaque année avec un client test peut être organisé.

Étape 3 : Suppression effective des données.

La suppression doit être complète et irréversible. Cela implique non seulement la suppression des données dans vos bases actives, mais aussi l’anonymisation ou la pseudonymisation des données archivées si elles ne peuvent pas être supprimées définitivement pour des raisons légales (ex: obligations comptables). 

Attention : la simple désactivation d’un compte n’est pas suffisante.

Données hébergées par des tiers: Si certaines données sont hébergées par des sous-traitants, assurez-vous qu’ils respectent également le droit à l’effacement dans les mêmes délais que vous.

Sauvegardes: Vérifiez que les données supprimées ne subsistent pas dans vos sauvegardes et mettez en place une politique de suppression automatique des anciennes sauvegardes.

Et au sujet des obligations légales, la facture pièce comptable de référence, doit bien être conservée 10 ans minimum même si le client a demandé la suppression de ses données.

Conseil : dans le registre des traitements, les durées de conservations doivent être indiquées. De même que les politiques de confidentialité doivent les annoncer avec leurs finalités.

Et surtout les règles d’archivage et suppression doivent être établies.

Si certaines données ne peuvent être immédiatement supprimées, il faut :

  • Les identifier
  • Justifier leur conservation
  • Et bien entendu les supprimer à la fin de la période supplémentaire.

Étape 4 : Information du client, Sécurisation des échanges et traçabilité.

Confirmez à M. Dumont la suppression effective de ses données personnelles, en précisant les délais et les éventuelles limitations (ex: données conservées pour des raisons légales).  Soyez transparent sur le processus et répondez à toutes ses questions.

La transmission des informations relatives à la demande de suppression doit se faire par un canal sécurisé autant que possible.

Attention, il n’est pas nécessaire de transmettre les informations mais bien d’indiquer leur suppression !

Dans le Registre RGPD : Enregistrez chaque étape du processus dans votre registre, incluant la date de la demande, les actions entreprises, les outils utilisés et les confirmations obtenues.

Conclusion

Gérer efficacement une demande de suppression de données client est un gage de transparence et de respect de la vie privée. En adoptant une approche structurée, sécurisée et documentée, vous démontrez votre engagement envers le RGPD et renforcez la confiance de vos clients. N’hésitez pas à faire appel à un consultant DPO externe pour vous accompagner dans cette démarche et optimiser votre processus de gestion des droits des personnes concernées.

Article 17 – Droit à l’effacement («droit à l’oubli»)

  1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:
  1. a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  2. b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;
  3. c) la personne    concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;
  4. d) les données à caractère personnel ont fait l’objet d’un traitement illicite;
  5. e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  6. f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
  1. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
  2. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:
  1. a) à l’exercice du droit à la liberté d’expression et d’information;
  2. b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  3. c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;
  4. d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou
  5. e) à la constatation, à l’exercice ou à la défense de droits en justice.