Droit à l'effacement (droit à l'oubli)
Le droit à l'effacement, communément appelé droit à l'oubli, permet à toute personne de demander la suppression de ses données personnelles lorsqu'elles ne sont plus nécessaires, que le consentement est retiré ou que le traitement est illicite. Consacré par l'article 17 du RGPD, ce droit n'est pas absolu et doit être mis en balance avec d'autres obligations légales.
Le droit à l'effacement trouve son origine dans l'arrêt Google Spain de 2014 de la Cour de justice de l'Union européenne, avant d'être codifié dans le RGPD. Il oblige les responsables de traitement à supprimer les données personnelles « sans délai injustifié » dans plusieurs cas : lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, lorsque la personne retire son consentement, ou lorsque le traitement est illicite.
Dans le contexte du KYC et de la conformité, ce droit entre souvent en tension avec les obligations de conservation imposées par les réglementations anti-blanchiment. En France, la LCB-FT exige de conserver les pièces d'identité et les résultats de vérification pendant cinq ans après la fin de la relation d'affaires. Durant cette période, une demande d'effacement peut légitimement être refusée au titre de l'obligation légale de conservation.
Lorsqu'un effacement est effectué, il doit être complet : bases de données de production, sauvegardes, systèmes tiers et sous-traitants doivent tous être notifiés. Le responsable de traitement doit également informer les destinataires auxquels les données ont été communiquées, conformément à l'article 19 du RGPD.
Réglementations
Exemples concrets
- 1.Un ancien client d'une banque demande l'effacement de ses données KYC : la banque refuse car la relation commerciale a pris fin il y a moins de cinq ans, l'obligation légale de conservation LCB-FT prévaut.
- 2.Un utilisateur ayant créé un compte sur une plateforme de crédit sans jamais finaliser sa demande exerce son droit à l'oubli : la plateforme doit supprimer toutes ses données car aucune obligation légale de conservation ne s'applique.
- 3.Un courtier en assurances reçoit une demande d'effacement et doit notifier ses trois sous-traitants (vérification d'identité, scoring, archivage) pour qu'ils suppriment également les données de la personne concernée.