Suppression des données à caractère personnel auprès des entreprises sous le coup de la critique
de T. Mielke
Le 24 avril 2013, le commissaire fédéral à la protection des données et à la liberté d'information, Peter Schaar, a présenté son 24e rapport d'activités pour les années 2011 et 2012. Il y critique entre autres le manque de définitions et de réglementations concernant l'effacement des données à caractère personnel par les entreprises et présente une ligne directrice pour un concept d'effacement.
Dans son rapport d'activité, le commissaire fédéral à la protection des données présente entre autres une ligne directrice sur l'effacement des données. Cette ligne directrice montre que de nombreuses entreprises ont encore du mal à effacer les données numériques. De nombreuses entreprises ne voient pas non plus l'intérêt de supprimer les données dont elles n'ont plus besoin.
Les principes de données relatifs à la nécessité, à la prévention des données et à l'économie des données obligent à supprimer les données qui ne sont plus nécessaires. L'article 6 de la directive européenne sur la protection des données contient une exigence d'effacement et d'anonymisation. Dans la loi fédérale allemande sur la protection des données (BDSG), l'article 35, paragraphe 2, BDSG prévoit l'effacement des données à caractère personnel qui ne sont plus nécessaires aux fins légalement autorisées.
Afin de garantir un effacement ordonné et conforme à la loi des données à caractère personnel, les auteurs de la ligne directrice proposent de développer un ensemble de règles relatives à l'effacement, appelé "concept d'effacement". La ligne directrice recommande entre autres l'utilisation de délais d'effacement standardisés et de ce que l'on appelle des classes d'effacement. Ces classes de suppression doivent réduire la complexité des différentes exigences de suppression. Les classes d'effacement sont utilisées pour associer des stocks de données à caractère personnel à des règles d'effacement.
L'élaboration d'un concept d'effacement complexe dans les entreprises présenterait les avantages suivants :
- les processus d'effacement sont clairement définis - cela concerne en particulier le délai d'effacement
- Le nettoyage des stocks de données et la suppression des redondances éventuelles permettent de réduire les coûts informatiques.
- L'organisme responsable remplit ses obligations légales et documente sa conformité en matière de protection des données.
- La protection de la personne concernée est renforcée
La ligne directrice offre aux responsables de la protection des données et aux responsables de la sécurité informatique une bonne base pour l'élaboration d'un concept d'effacement, mais elle ne dispense pas les entreprises d'élaborer leur propre concept qui tienne compte des données utilisées dans l'entreprise, de la structure de l'entreprise et des risques individuels dans l'entreprise.
Image : Wikipedia / Tobias Klenze / CC-BY-SA 4.0 (creativecommons.org/licenses/by/3.0) sous fr.wikipedia.org/wiki/Peter_Schaar#/media/Datei:2013-12-30_30C3_-_Peter_Schaar_3533.JPG