Accéder au contenu principal

CJUE : effacement de données personnelles traitées de manière illicite

L'autorité de contrôle d’un Etat membre peut ordonner l’effacement de données traitées de manière illicite, même en l’absence d’une demande préalable de la personne concernée. Cet effacement peut aussi bien viser les données collectées auprès de cette personne que celles provenant d’une autre source.Dans un arrêt du 14 mars 2024 (affaire n° C-46/23), la Cour de justice de l'union européenne précise que l’autorité de contrôle d’un Etat membre peut ordonner d’office, à savoir même en l’absence d’une demande préalable de la personne concernée présentée à cet effet, l’effacement de données illicitement traitées si une telle mesure est nécessaire pour remplir sa mission consistant à veiller au plein respect du RGPD (Règlement 2016/679 du 27 avril 2016 - Règlement général sur la protection des données).

Si cette autorité constate qu'un traitement de données ne respecte pas le RGPD, elle doit remédier à la violation constatée, et ce même sans demande préalable de la personne concernée.En effet, l’exigence d’une telle demande signifierait que le responsable du traitement pourrait, en son absence, conserver les données en cause et continuer à les traiter de manière illicite. Par ailleurs, l'autorité de contrôle d'un Etat membre peut ordonner l’effacement de données à caractère personnel traitées de manière illicite, qu'elles proviennent directement de la personne concernée ou d'une autre source.