Article 17 – Droit à l’effacement («droit à l’oubli»)

Article 17 - Droit à l'effacement («droit à l'oubli»)

1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;
c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;
d) les données à caractère personnel ont fait l'objet d'un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;
f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

2. Lorsqu'il a rendu publiques les données à caractère personnel et qu'il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire: a) à l'exercice du droit à la liberté d'expression et d'information;
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;
d) à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou
e) à la constatation, à l'exercice ou à la défense de droits en justice.

En savoir plus...

L'article 17 confère à la personne concernée le droit d'obtenir l'effacement de ses données à caractère personnel, mais il ne s'agit pas d'un droit absolu. En pratique, l'article 17 du RGPD couvre principalement les cas où le responsable du traitement aurait dû interrompre le traitement de sa propre initiative, car la base légale du traitement des données à caractère personnel a disparu.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Principes relatifs aux traitements de données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

[Droit à l'effacement et rectification]
65. Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d'un «droit à l'oubli» lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l'Union ou du droit d'un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d'une autre manière le présent règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et n'était pas pleinement consciente des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu'elle n'est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu'elle est nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l'exercice ou à la défense de droits en justice.

[Informations des acteurs traitant des données publiques et ayant fait l'objet d'une demande d'effacement]
66. Afin de renforcer le «droit à l'oubli» numérique, le droit à l'effacement devrait également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d'informer les responsables du traitement qui traitent ces données à caractère personnel qu'il convient d'effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d'informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 5/2019 - Droit à l'oubli auprès des moteurs de recherche

07 juillet 2020

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...

> Article 6 - Licéité du traitement

> Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

> Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel

> Article 21 - Droit d'opposition

> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

Cet article est cité par...

> Article 11 - Traitement ne nécessitant pas l'identification

> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

> Article 19 - Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

> Article 20 - Droit à la portabilité des données

> Article 23 - Limitations

> Article 58 - Pouvoirs

> Article 83 - Conditions générales pour imposer des amendes administratives

> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

En savoir plus...

Droit souple (sectoriel ou transversal)

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
40/2022	Mme X	17/03/2022	2022	Belgique	CNIL ou équivalent	Procédure		Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission		12. La Chambre Contentieuse souligne à cet égard que ce n'est que dans les cas spécifiques où conformément à l'article 5.2 du RGPD, le responsable du traitement est à même de démontrer qu'il ne peut pas identifier cette personne concernée (art. 11.2 du RGPD) et/ou qu'il a des doutes raisonnables quant à l'identité de la personne physique présentant la demande (art. 12.6 du RGPD) qu'il peut réclamer les données supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d'identité ou d’un autre document prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant. Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès , qui indiquent notamment que « demander des copies de la carte d'identité de leurs clients, ne devrait généralement pas être considérée comme un moyen d'authentification approprié ».	5, 15, 16, 17, 18, 20, 21	9346b8f8025fa833c91990e632c9a5d53a732c83		Accéder à la décision
C-136/17	GC e.a.	24/09/2019	2019	France	Cour de Justice de l'UE	Données sensibles et pénales	Technologie	Déréférencement de données sensibles et pénales: principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice.	Afficher GC, AF, BH et ED ont, chacun, demandé à Google de déréférencer, dans la liste de résultats affichée par le moteur de recherche exploité par cette société en réponse à une recherche effectuée à partir de leur nom respectif, divers liens menant vers des pages web publiées par des tiers, ce que ladite société a toutefois refusé. En particulier, certaines des informations concernaient des informations relatives à des procédures judiciaires qui n'étaient plus exactes à la date de la demande. À la suite des refus opposés par Google à leurs demandes de déréférencement, les requérants au principal ont saisi la CNIL de plaintes tendant à ce qu’il soit enjoint à cette société de procéder au déréférencement des liens en cause. Par courriers respectivement datés des 24 avril 2015, 28 août 2015, 21 mars 2016 et 9 mai 2016, la présidente de la CNIL a informé les requérants au principal de la clôture de leurs plaintes. Les requérants au principal ont alors introduit devant la juridiction de renvoi, le Conseil d’État (France), des requêtes dirigées contre ces refus de la CNIL de mettre en demeure Google de procéder aux déréférencements demandés. L'affaire arrive finalement devant la CJUE.	69. Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 [articles 9 et 10 du RGPD] doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions. L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière. Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte.	9, 10, 17	1e8656ea42e419dc857d077aca14615f16874373		Accéder à la décision
C-507/17	Google	24/09/2019	2019	France	Cour de Justice de l'UE	Portée	Technologie	Droit à l'oubli et déréférencement - Portée territoriale - Ensemble des Etats membres		73. Au vu de tout ce qui précède, il y a lieu de répondre aux questions posées que l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que l’article 17, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.	17	1e8656ea42e419dc857d077aca14615f16874373		Accéder à la décision
C-131/12	Google Spain	13/05/2014	2014	Espagne	Cour de Justice de l'UE	Portée		Qualification de l'exploitant du moteur de recherche de responsable de traitement - Admission - Droit à l'oubli - Application territoriale : intégralité de l'UE		60. L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre. 88. Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.	3, 17	1e8656ea42e419dc857d077aca14615f16874373		Accéder à la décision
C-60/22	Bundesrepublik Deutschland	04/05/2023	2023	Allemagne	Cour de Justice de l'UE	Illicéité du traitement		Absence d’accord déterminant la responsabilité conjointe du traitement et de la tenue du registre des activités de traitement - Traitement illicite conférant un droit à l’effacement - Absence	Afficher Le 7 mai 2019, le requérant au principal a introduit une demande de protection internationale auprès de l’Office fédéral, lequel l’a rejetée. Pour adopter sa décision de rejet (ci-après la « décision litigieuse »), l’Office fédéral s’est fondé sur le dossier électronique « MARIS » qu’il a établi, lequel contient les données à caractère personnel relatives au requérant au principal. Ce dernier a formé un recours contre la décision litigieuse devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), qui est la juridiction de renvoi dans la présente affaire. Cette juridiction doute cependant que la tenue du dossier électronique établi par l’Office fédéral et la transmission, à elle, de ce dossier par la boîte postale électronique judiciaire et administrative soient conformes au RGPD. Cette juridiction se demande, dès lors, dans quelle mesure elle peut, dans le cadre de son activité juridictionnelle, prendre en compte les données à caractère personnel fournies dans le cadre d’une telle procédure relevant du pouvoir exécutif. En effet, si la tenue du dossier électronique ou sa transmission par la boîte postale électronique judiciaire et administrative devait être qualifiée de traitement illicite au regard du RGPD, ladite juridiction participerait, par une telle prise en compte, au traitement illicite en cause. Elle s'interroge également sur les droits dont la personne concernée peut bénéficier.	69. En conséquence, il convient de répondre à la première question que l’article 17, paragraphe 1, sous d), et l’article 18, paragraphe 1, sous b), du RGPD doivent être interprétés en ce sens que la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d’un accord déterminant la responsabilité conjointe du traitement et à la tenue d’un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier	17	1e8656ea42e419dc857d077aca14615f16874373	[Objectif du RGPD d'assurer une protection élevée] CJUE, 1er août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20 (point 125), disponible ici	Accéder à la décision
18-14.675	M. N...	27/11/2019	2019	France	Cour de cassation	Données sensibles et pénales	Police-Justice	Données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté - Demande de déréférencement - Conditions d’appréciation du bien-fondé de la demande - Application	Afficher M. N..., qui exerce la profession d'expert-comptable et commissaire aux comptes, a, par jugement du tribunal correctionnel de Metz du 17 novembre 2011, été déclaré coupable d'escroquerie et de tentative d'escroquerie et condamné à quatre mois d'emprisonnement avec sursis et 20 000 euros d'amende, ainsi qu'à payer une certaine somme à l'administration fiscale. Par arrêt du 9 octobre 2013, devenu définitif, la cour d'appel de Metz a confirmé ce jugement, sauf en ce qu'elle a porté la peine d'emprisonnement à dix mois avec sursis. Les 18 novembre 2011 et 15 novembre 2013, deux comptes-rendus d'audience relatant cette condamnation pénale ont été publiés sur le site Internet du journal « Le Républicain lorrain ». Soutenant que ces articles, bien qu'archivés sur le site du journal, étaient toujours accessibles par le biais d'une recherche effectuée à partir de ses nom et prénom sur le moteur de recherche Google, et reprochant à la société Google Inc., aux droits de laquelle vient la société Google LLC, exploitant de ce moteur de recherche, d'avoir refusé de procéder à la suppression des liens litigieux, M. N... l'a assignée aux fins de déréférencement.	9. Il s'ensuit que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. [...] 11. En se déterminant ainsi, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de M. N... au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées, à défaut de quoi serait caractérisé un trouble manifestement illicite au sens de l'article 809 du code de procédure civile, la cour d'appel n'a pas donné de base légale à sa décision.	17	1e8656ea42e419dc857d077aca14615f16874373	[Déréférencement de données sensibles: principe - Conditions de rejet de la demande ] CJUE, 24 septembre 2019, GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17 (points 48 et 69)ici	Accéder à la décision
17-10.499	M. Thierry Y...	14/02/2018	2018	France	Cour de cassation	Conditions		Appréciation du bien-fondé d’une demande de déréférencement - Mise en balance des intérêts - Illégalité d’une injonction d’ordre général	Afficher Il est reproché à l'arrêt attaqué d'avoir enjoint à la société GOOGLE INC. de supprimer les liens qui conduisent, lors de recherches opérées sur le moteur [...] incluant les nom et prénom de M. Thierry Y..., à toute adresse URL identifiée et signalée à la société GOOGLE INC. par M. Y... comme portant atteinte à sa vie privée, dans un délai de sept jours à compter de la réception par la société du signalement par M. Y..., sous astreinte de 10 000 euros par infraction constatée par procès-verbal d'huissier de justice.	Que, dès lors, la juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence, de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne ;	17	1e8656ea42e419dc857d077aca14615f16874373	[Examen du bien-fondé de la demande par le responsable de traitement] CJUE, 13 mai 2014, Google Spain et Google, C-131/12 (points 77 à 81), disponible ici	Accéder à la décision
13-25.156	M. X	19/11/2014	2014	France	Cour de cassation			Consultation du registre paroissial et publicité limitée - 1) Absence d’atteinte au droit au respect de la vie privée - Admission - 2) Refus d’effacement - Admission	Afficher M. X..., né le 9 août 1940 à Fleury (Manche), a été baptisé deux jours plus tard ; qu'après avoir obtenu, en 2001, que la mention du reniement de son baptême fût inscrite en regard de son nom sur le registre des baptêmes, M. X... a, en 2010, saisi un tribunal d'une demande tendant à l'effacement de la mention de son baptême du registre paroissial ;	(3.) Mais attendu qu'après avoir relevé que la consultation du registre qui portait mention du baptême n'était ouverte, l'intéressé mis à part, qu'aux ministres du culte, eux-mêmes tenus au secret, et que la seule publicité donnée à cet événement et à son reniement émanait de M. X..., la cour d'appel a pu retenir que ce dernier ne pouvait invoquer aucune atteinte au droit au respect de sa vie privée ; que le moyen n'est pas fondé ; [...] (5.)Mais attendu que l'arrêt relève que les représentants légaux de M. X... avaient pris l'initiative de le faire baptiser et, par là-même, donné leur consentement à la relation de cet événement sur le registre des baptêmes et constate qu'à la demande de l'intéressé, la mention « a renié son baptême par lettre datée du 31 mai 2001 » a été inscrite sur ce registre le 6 juin 2001 en regard de son nom ; qu'en l'état de ces constatations, la cour d'appel, qui a justement retenu que, dès le jour de son administration et en dépit de son reniement, le baptême constituait un fait dont la réalité historique ne pouvait être contestée, a décidé, à bon droit, qu'il n'y avait pas lieu d'ordonner l'effacement de sa mention du registre ; que le moyen n'est pas fondé ;	17	1e8656ea42e419dc857d077aca14615f16874373	/	Accéder à la décision
Avis 396168	Projet de décret (évaluation des personnes se déclarant mineures)	18/12/2018	2018	France	Conseil d'Etat		Administration	Évaluation de la minorité de personnes étrangères - Effacement des données du traitement en cas d’établissement de la nationalité française (finalité atteinte)	Information non disponible	À l’occasion de l’examen d’un projet de décret relatif aux modalités d’évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d’un traitement de données à caractère personnel relatif à ces personnes, le Conseil d’État (section de l’intérieur) introduit, à l’article R. 221-15-5 du code de l’action sociale et des familles une disposition visant à effacer les données à caractère personnel relatives à des personnes dont il serait établi au cours de la procédure d’évaluation de la minorité qu’elles sont de nationalité française. En effet dès qu’il est établi que l’intéressé est français, l’effacement des données du traitement, au regard de ses finalités, s’impose en tant que la vocation du traitement est l’aide à l’évaluation de la minorité.	17	1e8656ea42e419dc857d077aca14615f16874373	/	Non publié en intégralité.
C-136/17	GC e.a.	24/09/2019	2019	France	Cour de Justice de l'UE	Données sensibles et pénales	Police-Justice	Déréférencement de données pénales - Obligation de faire droit à une demande portant sur des informations obsolètes - Prévalence des intérêts de la personne concernée	Afficher GC, AF, BH et ED ont, chacun, demandé à Google de déréférencer, dans la liste de résultats affichée par le moteur de recherche exploité par cette société en réponse à une recherche effectuée à partir de leur nom respectif, divers liens menant vers des pages web publiées par des tiers, ce que ladite société a toutefois refusé. En particulier, certaines des informations concernaient des informations relatives à des procédures judiciaires qui n'étaient plus exactes à la date de la demande. À la suite des refus opposés par Google à leurs demandes de déréférencement, les requérants au principal ont saisi la CNIL de plaintes tendant à ce qu’il soit enjoint à cette société de procéder au déréférencement des liens en cause. Par courriers respectivement datés des 24 avril 2015, 28 août 2015, 21 mars 2016 et 9 mai 2016, la présidente de la CNIL a informé les requérants au principal de la clôture de leurs plaintes. Les requérants au principal ont alors introduit devant la juridiction de renvoi, le Conseil d’État (France), des requêtes dirigées contre ces refus de la CNIL de mettre en demeure Google de procéder aux déréférencements demandés. L'affaire arrive finalement devant la CJUE.	79. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que les dispositions de la directive 95/46 doivent être interprétées en ce sens que, – d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et – d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la Charte, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de la Charte.	10, 17	1e8656ea42e419dc857d077aca14615f16874373	[Déréférencement de données inadéquates, pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé] CJUE, 13 mai 2014, Google Spain et Google, C-131/12 (point 93), disponible ici	Accéder à la décision
399922	Société Google Inc	27/03/2020	2020	France	Conseil d'Etat	Portée		Portée territoriale du droit au déréférencement - 1) Obligation extra-UE - Absence - 2) Faculté de la CNIL d'imposer un déréférencement mondial - a) Absence de disposition législative le permettant - b) Nécessité d'une mise en balance entre les intérêts	Afficher Par une décision du 21 mai 2015, la présidente de la CNIL a mis en demeure la société Google Inc., lorsqu'elle fait droit à une demande d'une personne physique tendant à la suppression de la liste des résultats, affichée à la suite d'une recherche effectuée à partir de son nom, de liens menant vers des pages web, d'effectuer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche. En effet, Google se borne à supprimer les liens en cause des seuls résultats affichés en réponse à des recherches menées depuis les noms de domaine correspondant aux déclinaisons de son moteur de recherche dans les Etats membres de l'Union européenne. Par une délibération du 10 mars 2016, après avoir constaté que la société ne s'était pas, dans le délai imparti, conformée à cette mise en demeure, la formation restreinte de la CNIL a prononcé à son encontre une sanction, rendue publique, de 100 000 euros. La société Google Inc. demande l'annulation de cette délibération.	10. Si la CNIL soutient en défense que la sanction contestée trouve son fondement dans la faculté que la Cour de justice a reconnue aux autorités de contrôle d'ordonner de procéder à un déréférencement portant sur l'ensemble des versions d'un moteur de recherche, il ne résulte, en l'état du droit applicable, d'aucune disposition législative qu'un tel déréférencement pourrait excéder le champ couvert par le droit de l'Union européenne pour s'appliquer hors du territoire des Etats membres de l'Union européenne. Au surplus, il résulte en tout état de cause des motifs énoncés au point 7 qu'une telle faculté ne peut être ouverte qu'au terme d'une mise en balance entre, d'une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d'autre part, le droit à la liberté d'information. Or, il ressort des termes mêmes de la délibération attaquée que, pour constater l'existence de manquements persistants et reprocher à la société Google Inc. d'avoir méconnu l'obligation de principe de procéder au déréférencement portant sur l'ensemble des versions d'un moteur de recherche, la formation restreinte de la CNIL n'a pas effectué une telle mise en balance. Il s'ensuit qu'il n'y a pas lieu de faire droit à la substitution de base légale demandée en défense par la CNIL.	17	1e8656ea42e419dc857d077aca14615f16874373	[Portée territoriale du droit à l'oubli et déréférencement: l'ensemble des Etats membres] CJUE, 24 septembre 2019, Google, C-507/17 (point 73), disponible ici [Absence d'interdiction à l'extension de la portée du droit à l'oubli (en dehors de l'UE) - Nécessité d'une mise en balance] CJUE, 24 septembre 2019, Google, C-507/17 (point 72), disponible ici	Accéder à la décision
C-460/20	Google	08/12/2022	2022	Allemagne	Cour de Justice de l'UE	Conditions		Demande de déréférencement d'un lien menant vers des articles contenant des informations prétendument inexactes - Mise en balance des intérêts - Absence de condition que la question de l'exactitude des données soit résolue	Afficher Les 27 avril, 4 juin et 16 juin 2015, trois articles qui présentaient de manière critique le modèle d’investissement mis en œuvre par la cinquième société et le groupe de sociétés gérés par TU, ont été publiés sur le site Internet www.g...net (ci-après le « site g-net »). L’article du 4 juin 2015 était en outre illustré de trois photographies de TU, respectivement, au volant d’une automobile de luxe, dans une cabine d’hélicoptère et devant un avion, ainsi que d’une photographie de [sa femme] RE dans une automobile décapotable. L’exploitant du site g-net est, selon les mentions légales (« Impressum »), G-LLC, ayant son siège à New York (États-Unis). L’objet social de G-LLC est, selon ses propres indications, de « contribuer durablement, par une diffusion active de l’information et une transparence de tous les instants, à la prévention de la fraude dans l’économie et la société ». Différentes publications ont rendu compte de manière critique du modèle d’entreprise de G-LLC, notamment en lui reprochant d’exercer un « chantage » sur les entreprises en publiant d’abord des rapports négatifs sur celles-ci et en proposant ensuite, en échange d’une somme d’argent, d’effacer ces rapports ou d’empêcher la publication de ceux-ci. Google référençait les articles ainsi que les images publiées par les journalistes. Les requérants ont demandé, sans succès, le déréférencement des articles et des images. L'affaire arrive finalement devant la CJUE.	77. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question que l’article 17, paragraphe 3, sous a), du RGPD doit être interprété en ce sens que, dans le cadre de la mise en balance qu’il convient d’opérer entre les droits [à la vie privée et à la protectoin des données d'une part, et à la liberté d'information d’autre part], aux fins de l’examen d’une demande de déréférencement adressée à l’exploitant d’un moteur de recherche et tendant à ce que soit supprimé de la liste de résultats d’une recherche le lien menant vers un contenu comportant des allégations que la personne ayant introduit la demande estime inexactes, ce déréférencement n’est pas soumis à la condition que la question de l’exactitude du contenu référencé ait été résolue, au moins à titre provisoire, dans le cadre d’un recours intenté par cette personne contre le fournisseur de contenu.	17	1e8656ea42e419dc857d077aca14615f16874373	[Mise en balance des intérêts à réaliser ; varie en fonction du rôle public de la personne] CJUE, 24 septembre 2019, GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17 (points 57 à 66)ici [Distinction entre affirmations de fait et jugements de valeur] CEDH, 23 avril 2015, Morice c. France (point 126)	Accéder à la décision
C-460/20	Google	08/12/2022	2022	Allemagne	Cour de Justice de l'UE	Conditions		Demande de déréférencement d’images d'une personne - Mise en balance des intérêts - 1) Prise en compte du contexte de leur publication sur la page internet - Absence - 2) Prise en compte du texte accompagnement directement l'image - Existence	Afficher Les 27 avril, 4 juin et 16 juin 2015, trois articles qui présentaient de manière critique le modèle d’investissement mis en œuvre par la cinquième société et le groupe de sociétés gérés par TU, ont été publiés sur le site Internet www.g...net (ci-après le « site g-net »). L’article du 4 juin 2015 était en outre illustré de trois photographies de TU, respectivement, au volant d’une automobile de luxe, dans une cabine d’hélicoptère et devant un avion, ainsi que d’une photographie de [sa femme] RE dans une automobile décapotable. L’exploitant du site g-net est, selon les mentions légales (« Impressum »), G-LLC, ayant son siège à New York (États-Unis). L’objet social de G-LLC est, selon ses propres indications, de « contribuer durablement, par une diffusion active de l’information et une transparence de tous les instants, à la prévention de la fraude dans l’économie et la société ». Différentes publications ont rendu compte de manière critique du modèle d’entreprise de G-LLC, notamment en lui reprochant d’exercer un « chantage » sur les entreprises en publiant d’abord des rapports négatifs sur celles-ci et en proposant ensuite, en échange d’une somme d’argent, d’effacer ces rapports ou d’empêcher la publication de ceux-ci. Google référençait les articles ainsi que les images publiées par les journalistes. Les requérants ont demandé, sans succès, le déréférencement des articles et des images. L'affaire arrive finalement devant la CJUE.	108. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que l’article 17, paragraphe 3, sous a), du RGPD doivent être interprétés en ce sens que, dans le cadre de la mise en balance qu’il convient d’opérer entre les droits [à la vie privée et à la protectoin des données d'une part, et à la liberté d'information d’autre part], aux fins de l’examen d’une demande de déréférencement adressée à l’exploitant d’un moteur de recherche et tendant à ce que soient supprimées des résultats d’une recherche d’images effectuée à partir du nom d’une personne physique des photographies affichées sous la forme de vignettes qui représentent cette personne, il y a lieu de tenir compte de la valeur informative de ces photographies indépendamment du contexte de leur publication sur la page Internet d’où elles sont extraites, mais en prenant en considération tout élément textuel qui accompagne directement l’affichage de ces photographies dans les résultats de recherche et qui est susceptible d’apporter un éclairage sur la valeur informative de celles-ci.	17	1e8656ea42e419dc857d077aca14615f16874373	[Recherche du caractère informatif de l'image pour les internautes] CJUE, 24 septembre 2019, GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17 (point 66)ici [Mise en balance peut diverger selon le responsable de traitement (moteur de recherche ou éditeur) concerné] CJUE, 13 mai 2014, Google Spain et Google, C-131/12 (points 86 et 87), disponible ici	Accéder à la décision
490416	Mme D... F...	27/01/2025	2025	France	Conseil d'Etat	Procédure		Exercice des droits - Adresser une demande au responsable de traitement préalablement à une saisine de la CNIL - Obligation	Afficher Par deux plaintes formées devant la CNIL, Mme F... a demandé à la Commission d'enjoindre, respectivement, aux docteurs E... et C..., auxquels elle reproche d'avoir réalisé une expertise médicale à la demande de l'assureur avec lequel elle est en litige à la suite d'un accident de la circulation dont elle a été victime, de supprimer toutes les données à caractère personnel concernant sa santé qu'ils ont reçues de l'assureur et conservées, d'interrompre tout traitement de ces données, et de retirer les rapports qu'ils ont établis à partir de ces données des mains de l'assureur ainsi que des débats judiciaires auxquels ils ont été versés. La CNIL a procédé à la clôture de ces plaintes en retenant qu'elle n'avait pas à se substituer aux personnes concernées par un traitement dans l'exercice de leurs droits garantis notamment par la loi du 6 janvier 1978 (LIL) et qu'il leur appartenait préalablement de les exercer auprès du responsable du traitement avant de la saisir des difficultés rencontrées dans l'exercice de ceux-ci. Elle a ajouté qu'elle n'était pas habilitée à contrôler ou apprécier la pertinence des informations médicales communiquées à titre de preuves dans le cadre d'un débat judiciaire. Par deux requêtes qu'il y a lieu de joindre pour statuer par une seule décision, Mme F... demande l'annulation pour excès de pouvoir de ces décisions.	4. Lorsqu'une personne entend exercer, à l'égard d'un traitement de données à caractère personnel la concernant, les droits garantis par le RGPD et la loi du 6 janvier 1978, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de cette loi, il lui appartient, ainsi que cela découle des dispositions qui fondent ces droits, d'adresser sa demande au responsable du traitement auquel incombent les obligations définies par ces dispositions, préalablement à une éventuelle saisine de la CNIL, chargée, en application du 2° du I de l'article 8 de la même loi, de traiter les réclamations, pétitions et plaintes introduites par une personne concernée. A défaut d'une telle saisine préalable du responsable du traitement, la CNIL peut prononcer la clôture de la plainte qui lui a été adressée directement.	15, 16, 17, 18, 20, 21, 77	9346b8f8025fa833c91990e632c9a5d53a732c83	/	Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

ANSPDCP (autorité roumaine)

20 mars 2025

Marketing non sollicité : l’autorité roumaine condamne une entreprise à 2 000 euros d’amende

L’autorité roumaine a aujourd’hui annoncé avoir condamné l’opérateur ONE UNITED PROPERTIES S.A à une amende d’environ 10 000 lei, soit 2 000 euros (au total), en raison de marketing non sollicité. Au cours de l’enquête, qui a été ouverte à la suite de plaintes de la part de particuliers, [...]

ANSPDCP (autorité roumaine)

11 mars 2025

Un hôtel condamné pour ne pas avoir accordé l’accès aux images de vidéosurveillance

L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction à l’encontre de Noy Business Transactions SRL (avec une amende de 1 000 euros à la clef) pour ne pas avoir répondu correctement à une demande d’exercice des droits. L’enquête a été initiée à la suite d’une plainte [...]

CNIL

08 février 2025

IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable

Le Sommet pour l’action sur l’intelligence artificielle, organisé par la France du 6 au 11 février 2025, accueillera de nombreux évènements qui confirment que l’IA recèle un potentiel d’innovation et de compétitivité pour les prochaines années. Depuis 1978, la France s’est dotée de règles pour encadrer l’usage des donn [...]

ANSPDCP (autorité roumaine)

28 janvier 2025

Orange Roumanie condamné à 40 000 euros d’amende, notamment pour ne pas avoir accordé une demande d’effacement

Ce 27 janvier, l’autorité roumaine a publié (partiellement) une décision de sanction à l’encontre de l’entité roumaine de l’opérateur de télécommunications en raison de lacunes dans le traitement d’une demande d’effacement. Après une tentative infructueuse d&rsqu [...]

DPA (autorité grecque)

22 janvier 2025

En Grèce, Google condamné pour ne pas avoir fait entièrement droit à une demande de « droit à l’oubli » et pour son manque de transparence sur son traitement des demandes

Dans une décision publiée ce jour, l’autorité grecque a annoncé avoir condamné Google pour ne pas avoir donné droit à une demande d’effacement alors qu’elle aurait dû. Comme souvent, cette affaire commence par une plainte déposé [...]

DPA (autorité grecque)

19 décembre 2024

30 000 euros d’amende pour un médecin ayant publié des photographies médicales sur un réseau social

L’autorité hellénique a publié aujourd’hui une décision de sanction à l’encontre d’un médecin, avec 30 000 euros d’amende à la clé, pour avoir publié des photographies d’une partie du corps de la plaignante sur un réseau social géré par le médecin à des fins médicales et scientifi [...]

UODO (autorité polonaise)

15 novembre 2024

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contr [...]

CNIL

06 novembre 2024

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victi [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu