RGPD : quand devez-vous supprimer les données du client ?
Céline – De Digitale Versnelling / L’Accélération Digitale - 27 mai 2019
Vos clients ont droit à l’oubli. Que dit la réglementation RGPD à ce sujet ? Quand devez-vous supprimer les données du client ?
Le RGPD prévoit un droit à l’oubli. Qu'est-ce que cela signifie ? Quand un client peut-il demander la suppression de ses données ?
Les clients ont « droit à l’oubli »
Le droit à l’oubli permet aux clients et autres personnes concernées de demander à votre organisation ou entreprise de supprimer leurs données. Ce droit est décrit dans le règlement général sur la protection des données, autrement dit le règlement RGPD. Les indépendants et les entreprises qui ne répondent pas à la demande de suppression des données risquent des amendes pouvant atteindre 20 millions d'euros ou 4% de leur chiffre d'affaires annuel. La prudence est donc de mise !
6 raisons de supprimer des données
L'article 17 de la réglementation RGPD prévoit 6 motifs pour lesquels des clients et prospects peuvent demander la suppression de leurs données personnelles :
- Plus nécessaires
Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.
- Pas de consentement
La personne concernée retire son consentement au traitement des données (sensibles).
- Objection
La personne concernée s'oppose au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.
- Traitement illicite
L'organisation traite des données personnelles alors qu'elle n'est pas autorisée à le faire.
- Délai de conservation
Un délai donné a été dépassé.
- Enfants
Les données personnelles concernent des enfants de moins de 16 ans.
Mesures à prendre
Le cabinet d'avocats Claeys & Engels recommande aux indépendants et aux chefs d’entreprise de mettre en place un certain nombre de procédures internes :
- ne pas conserver les données personnelles plus longtemps que nécessaire,
- fournir des informations claires aux personnes concernées,
- surveiller la diffusion des données personnelles à d'autres responsables du traitement,
- établir un règlement interne,
- effacer rapidement les données.