Le droit à l'effacement
Vous pouvez demander à un organisme privé ou public (le responsable du traitement) d’effacer les données personnelles pour lesquelles il n'y a pas ou plus de motif de les traiter.
Dans quelles situations pouvez-vous demander l’effacement de vos données ?
- les données personnelles ne sont plus nécessaires à la réalisation de la finalité poursuivie, p.ex. après avoir clôturé votre compte sur une application de fitness, celle-ci n’a en principe plus besoin de vos données personnelles,
- vous retirez votre consentement et les données ne sont pas nécessaires à d’autres finalités, p.ex. vous retirez le consentement donné à un site pour recevoir des newsletters
- vous ne souhaitez pas que vos données soient utilisées à des fins de prospection, p.ex. vous vous opposez à la prospection par courrier postal,
- les données personnelles sont traitées de manière illicite, p.ex. la création d’un profil par un tiers sur un réseau social,
- les données personnelles doivent être effacées en raison d'une obligation légale, p.ex. l’effacement du casier judiciaire par un employeur collecté dans le cadre d’un recrutement,
- un service de la société de l’information a collecté vos données lorsque vous étiez mineur(e), p.ex. si vous avez utilisé un blog ou réseau social en tant que mineur,
- vous vous opposez à l’utilisation de vos données et l’organisme n’a pas de motif légitime et impérieux de ne pas donner suite à l’opposition.
Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale
Vous disposez également d’un droit à l’effacement des données à caractère personnel traitées par la Police grand-ducale, le Service de renseignement de l’État, l’Autorité nationale de sécurité, l’Armée luxembourgeoise, la Cellule de renseignement financier et l'Administration des Douanes et Accises dans les conditions prévues à l’article 15 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
Les limites du droit à l’effacement
Le droit à l’effacement ne s’applique pas si le traitement de vos données est nécessaire :
- à l'exercice du droit à la liberté d'expression et d'information,
- pour que l’organisme puisse respecter une obligation légale qui requiert le traitement ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi l’organisme,
- pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3 du RGPD,
- à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, du RGPD et les articles 63 à 65 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement, ou
- à la constatation, à l'exercice ou à la défense de droits en justice.
Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale
Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement lorsque :
- l'exactitude des données personnelles est contestée par la personne concernée et qu'il ne peut être déterminé si les données sont exactes ou non, ou
- les données personnelles doivent être conservées à des fins probatoires.
Lorsque le traitement est limité, le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.
Comment faire valoir votre droit et à quelle procédure s’attendre ?
- Ciblez l’organisme responsable et le(s) moyen(s) pour le contacter (informations disponibles sur le site de l’organisme ou dans un document intitulé : « notice d’information sur la protection des données », « politique de confidentialité », « politique vie privée », « mentions légales », etc.).
- Utilisez votre droit à l’effacement :
- La demande est à faire de préférence par écrit (lettre, e-mail ou via un formulaire de demande d’effacement sur le site internet de l’organisme).
Vous pouvez, si vous le souhaitez, utiliser le modèle de lettre de la CNPD (traitements de données soumis au RGPD) pour faire valoir votre droit à l’effacement auprès du responsable de traitement.
S’il s’agit de traitements de données à caractère personnel en matière pénale ou en matière de sécurité nationale, veuillez utiliser le modèle de lettre pour les traitements de données en matière pénale et de sécurité nationale.
Vous pouvez d’ores et déjà spécifier, si vous le souhaitez, les données pour lesquelles vous sollicitez l’effacement.
- Vérification potentielle de votre identité : si l’organisme a des doutes raisonnables sur votre identité ou doit vérifier votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité. Si vous utilisez un moyen d’identification déjà connu comme une adresse e-mail ou un numéro client/adhérent, cela devrait être suffisant pour l’organisme.
- Recherche par l’organisme de la possibilité d’effacer vos données.
- Envoi de la réponse par l’organisme. Lorsque vous exercez votre droit sous forme électronique, la réponse est fournie par voie électronique à moins que vous n’ayez demandé qu’il en soit autrement. La réponse est à vous transmettre en des termes clairs et simples.
- Si l’organisme doit effacer vos données, il notifie à chaque organisme avec lequel il a partagé vos données qu’un effacement a été effectué, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés. Sur demande, l’organisme vous fournit des informations sur ces destinataires.
- Si l’organisme a rendu publiques vos données et qu’il doit les effacer, il prend des mesures raisonnables, y compris d'ordre technique, pour informer les autres organismes qui traitent ces données que vous avez demandé l'effacement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.
Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale
Lorsque des données personnelles ont été effacées ou que le traitement a été limité, le responsable du traitement adresse une notification aux destinataires afin que ceux-ci effacent les données à caractère personnel ou limitent le traitement des données personnelles sous leur responsabilité.
Quand l’organisme doit-il vous répondre ?
Dans un délai de 1 mois maximum à compter de la réception de la demande :
- soit en faisant suite à votre demande,
- soit en vous informant de l’impossibilité de donner suite à votre demande et de la possibilité de déposer une réclamation auprès de la CNPD et de former un recours en justice,
- soit, en cas de demande complexe, en vous informant de la prolongation du délai initial (de deux mois supplémentaires maximum) et de ses raisons.
Traitements des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale
Le responsable du traitement efface les données dans les meilleurs délais.
Il informe la personne concernée par écrit de tout refus d'effacer des données personnelles ou de limiter le traitement, ainsi que des motifs du refus. Le responsable du traitement peut limiter, en tout ou en partie, la fourniture de ces informations, dès lors qu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique, eu égard à la finalité du traitement concerné, et en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
- éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
- éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ;
- protéger la sécurité publique ;
- protéger la sécurité nationale et la défense nationale ; ou
- protéger les droits et libertés d'autrui.
Si l’organisme ne respecte pas ces délais ou que vous n’êtes pas satisfait de sa réponse et que vous décidez de saisir la CNPD, vous pouvez introduire une réclamation via notre formulaire en ligne en prenant soin d’y joindre les pièces justificatives de vos démarches antérieures.
Quels frais peuvent vous être demandés ?
Aucun paiement ne peut en principe être exigé pour prendre les mesures demandées, sauf si vos demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Dans ce cas, l’organisme peut soit exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour prendre les mesures demandées, soit refuser de donner suite à vos demandes.
L’organisme doit vous expliquer pourquoi un paiement est exigé.