Droit à l'oubli et RGPD : avez-vous oublié les sauvegardes ? - Nouveau Monde Avocats - Avocats en droit du numérique et de l'innovation.

Le droit à l’oubli et la suppression des données personnelles

Le droit à l’oubli, consacré par l’article 17 du RGPD, permet à toute personne de demander la suppression de ses données personnelles lorsqu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées. Pour une entreprise, cela implique de supprimer ces données de ses systèmes actifs. Mais qu’en est-il des sauvegardes ?

Les sauvegardes informatiques sont essentielles pour assurer la sécurité des systèmes et la continuité des activités. Cependant, elles posent un défi lorsqu’un individu exerce son droit à l’oubli : comment concilier la protection des données et leur suppression ?

Une problématique complexe : protéger et effacer à la fois

Les sauvegardes sont par nature conçues pour être conservées et protégées, parfois sur des périodes longues, afin de permettre une restauration fiable en cas de sinistre. Plusieurs éléments compliquent leur gestion vis-à-vis du RGPD :

Différents types de sauvegarde : sauvegardes incrémentales, snapshots, archives à froid… toutes ne sont pas aussi accessibles et certaines sont même, par définition, immuables.
Sécurisation complexe des backups : les sauvegardes sont souvent chiffrées, dupliquées et stockées en plusieurs lieux, ce qui rend leur modification délicate.
Le premier enjeu reste généralement d’éviter de corrompre les données, ce qui rendrait difficile une restauration de sauvegarde.

Checklist : 7 éléments que vous pouvez vérifier pour concilier au mieux le droit à l’oubli avec vos process de sauvegardes

L’objet de cette checklist n’est pas de fournir une liste exhaustive ou une analyse juridique approfondie, mais de vous aider à vous poser les bonnes questions pour anticiper les enjeux du droit à l’oubli appliqué aux sauvegardes.

1️⃣ Votre processus de restauration inclut-il une vérification des données récemment supprimées en raison d’un droit à l’oubli ?

2️⃣ Disposez-vous d’un registre des demandes de suppression ?

3️⃣ Comment traitez-vous les archives légales vs les sauvegardes courantes ?

4️⃣ Vos sauvegardes permettent-elles une suppression sélective des données ?

5️⃣ Avez-vous une procédure de contrôle après une restauration ?

6️⃣ Vos backups sont-ils chiffrés et sécurisés ?

7️⃣ Avez-vous des sauvegardes immuables ou protégées contre les modifications ?

Nos avocats peuvent vous accompagner dans votre conformité RGPD, en ayant une bonne compréhension de vos enjeux stratégiques et techniques.

La date de publication de cet article est : 31/01/2025 . Des évolutions de la loi ou de la jurisprudence pouvant intervenir régulièrement, n’hésitez pas à nous contacter pour plus d’information.