RGPD : Comment le droit à l’oubli affecte-t-il les sauvegardes ?

Le Règlement Général Européen sur la Protection des Données (RGPD) est une loi importante, complexe et dont certains éléments se contredisent parfois. L’une de ces contradictions concerne l’aspect le plus connu du RGPD : le droit à l’effacement (aussi connu sous le nom de « droit à l’oubli »).

Ce droit – l’un des 8 mis en avant par le RGPD – permet aux individus de demander aux entreprises de supprimer toutes les données personnelles les concernant, si :

  • L’organisation n’a plus besoin des données aux fins pour lesquelles elles avaient été collectées ;
  • La personne concernée retire son consentement ;
  • La personne concernée refuse le traitement et que l’entreprise n’ait pas d’intérêt légitime impérieux ;
  • L’entreprise a collecté les données de manière illégitime ;
  • Les données doivent être supprimées afin d’être conforme aux obligations légales ; ou
  • Les données ont été traitées en lien avec l’offre de services à un mineur.

Cela peut paraitre simple mais, en pratique, les règles sont beaucoup plus compliquées.

Dans certaines situations les entreprises peuvent rejeter la demande, et il existe donc de nombreuses interrogations concernant la gestion des données sauvegardées.

 

Supprimer les sauvegardes

Lorsque les personnes concernées exercent leur droit à l’oubli, elles peuvent penser que toutes leurs données seront supprimées, y compris les sauvegardes. Mais, comme vous le savez peut-être déjà, il peut être irréaliste de devoir parcourir diverses sauvegardes afin de supprimer des données. Le droit à l’oubli sera surement exercé régulièrement et si vous décidez de supprimer les données de toutes vos sauvegardes, se conformer à ces demandes deviendra un job à temps plein.

Acronis, entreprises de logiciel spécialisée dans les sauvegardes et la reprise après sinistre, indique que la solution idéale est d’organiser les sauvegardes de sorte que chaque personne concernée ait ses propres archives. Cependant, elle admet que « la mise en place de cette approche est surement irréaliste pour de nombreuses entreprises puisque les données personnelles d’un individu sont souvent dispersées dans divers emplacements, applications, appareils de stockage et sauvegardes ».

Alors, quelles sont les alternatives ? Selon l’autorité de contrôle française – la CNIL, les entreprises ne sont pas obligées de supprimer les sauvegardes afin de se conformer au droit à l’oubli.

Néanmoins, elles doivent expliquer clairement aux personnes concernées que les sauvegardes seront conservées pour une durée déterminée (précisée dans votre politique de rétention).

Si vous souhaitez suivre cette voie, il faudra garder certains points à l’esprit. Premièrement, les autres autorités de contrôle seront peut-être plus strictes, Deuxièmement, vous devez pouvoir démontrer qu’il serait irréaliste de vouloir supprimer les données des sauvegardes. Vous devrez au moins mener une analyse des risques, une analyse d’impact sur les activités ainsi qu’une analyse d’impact sur la protection des données afin de le démontrer. Vous devrez également documenter les politiques et procédures vous permettant de garantir la sécurité des sauvegardes de données. Cela comprend les instructions de chiffrement des sauvegardes ainsi que l’emplacement où seront conservés les appareils de sauvegarde.

 

Vous souhaitez en savoir plus ?

Apprenez-en plus sur les droits des personnes concernées selon le RGPD et comment répondre aux exigences en lisant notre livre vert gratuit : Règlement Général Européen sur la Protection des Données – Guide de conformité.

Ce guide fournit un aperçu sur les changements clés mis en place par le RGPD, le champ d’application et l’impact du règlement ainsi que les domaines sur lesquels les entreprises doivent se concentrer.

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.