Sauvegardes et « droit à l’oubli » en vertu du RGPD : qu’en attendre ?

0

Selon le Règlement général de l’Union européenne sur la protection des données – RGPD, le responsable du traitement des données (la personne ou l’entreprise qui traite les données) doit proposer le droit à l’effacement, ou droit à l’oubli numérique dans certaines circonstances, aux personnes concernées (terme spécifique du RGPD pour désigner les individus).

Quand un citoyen de l’UE invoque son droit à l’oubli, le responsable du traitement des données doit supprimer toutes les données personnelles en sa possession concernant ladite personne. Mais une question se pose immédiatement : si le responsable du traitement des données fait appel à plusieurs sous-traitants (comme des fournisseurs tiers de stockage de données dans le cloud) et que certaines données personnelles de la personne concernée sont conservées par celui qui traite effectivement les données, qui est responsable de la suppression ? Le responsable du traitement des données (celui qui a capturé et détient les données personnelles) ou le(s) sous-traitant(s) ?

Le responsable du traitement des données doit veiller à ce qu’un individu puisse exercer ses droits vis-à-vis de ses données personnelles, à savoir :

  • L’accès (pouvoir consulter les données que le responsable du traitement et ses sous-traitants ont collectées le concernant)
  • La rectification (pouvoir demander que des corrections soient apportées)
  • La restriction du traitement
  • La portabilité
  • L’effacement

Tout sous-traitant que le responsable du traitement sollicite doit également pouvoir justifier « de mesures techniques et organisationnelles appropriées » pour aider à honorer les droits de la personne concernée.

Un individu a le droit de demander l’effacement de ses données personnelles si :

  • Les données ne sont plus nécessaires pour ce pour quoi elles ont été collectées
  • La personne concernée retire son consentement au traitement et aucun motif légal ne justifie le traitement, autrement dit la personne responsable du traitement ne peut pas justifier de motifs supérieurs légitimant le traitement
  • Le traitement est illégal.

Telles sont les circonstances qui obligent le responsable du traitement des données à honorer la demande d’une personne concernée à revendiquer son droit à l’oubli.

Au-delà des données primaires : le droit à l’oubli et les sauvegardes de données

Quand des utilisateurs exercent leur droit à l’oubli, ils s’attendent à ce que les copies de sauvegarde de leurs données personnelles soient supprimées également. Ceci constitue une difficulté technique pour les responsables du traitement des données et leurs sous-traitants. Tout d’abord, les données personnelles d’un individu peuvent être réparties entre de nombreuses applications au sein d’une entreprise (ex. CRM, automatisation du marketing, enregistrement des commandes, etc.) et distribuées dans plusieurs centres de données sur site et/ou dans le cloud. La sauvegarde associée à chaque application peut résider dans des archives séparées. Et une archive de sauvegarde comporte généralement les données de nombreuses autres applications et d’autres utilisateurs.

Le plus souvent, les fichiers originaux et les archives de sauvegardes sont organisés de telle façon qu’il est quasiment impossible de supprimer toutes les données personnelles d’un individu sans affecter les sauvegardes d’autres applications et utilisateurs. Le fait de supprimer les données d’un utilisateur pourrait nuire à la protection des données de nombreux autres utilisateurs, ce qui est contraire à l’intention d’origine de la création de sauvegardes.

Le juste équilibre entre différentes obligations

Les acteurs de la protection des données sont tenus de préserver les sauvegardes même en cas de demandes d’effacement. Mais n’ont aucune visibilité sur le type de données stockées dans ces sauvegardes, personnelles ou autres.

Même si l’on part du principe que la plupart des archives de sauvegarde contiennent des données personnelles pouvant faire l’objet de demandes d’effacement, dans de nombreux cas les spécialistes ne peuvent pas autoriser la modification de l’archive de sauvegarde du fait d’obligations contractuelles ou légales vis-à-vis de leurs clients et partenaires. Dans certains cas, c’est la fonction même de la sauvegarde : permettre la restauration de données perdues ou endommagées à partir d’une copie exacte effectuée à un moment précis. Dans d’autres cas, les spécialistes doivent préserver les archives de sauvegardes car leurs partenaires et clients comptent dessus pour s’acquitter de leurs propres obligations légales ou réglementaires.

Ils peuvent, par exemple, compter sur des sauvegardes parfaitement préservées pour répondre aux demandes d’investigation informatique dans le cadre de poursuites ou pour se mettre en conformité avec des réglementations fiscales ou sectorielles concernant la rétention des dossiers. Dans certains cas, le RGPD reconnaît qu’il n’est pas possible de supprimer immédiatement les données personnelles des sauvegardes sur demande d’effacement d’un utilisateur en raison d’autres considérations qui sont prioritaires.

La responsabilité primaire pour honorer le droit à l’oubli revient au responsable du traitement des données. Puisque la restauration d’un système de production à partir d’une sauvegarde risque de réintroduire les données précédemment supprimées, les responsables du traitement doivent prendre des mesures pour s’assurer que les données sont bien supprimées dans le système de production restauré.

About Author

Samy Reguieg

Directeur Général France d’Acronis et spécialiste de la protection des données

Leave A Reply