Comment répondre aux demandes de suppression de données personnelles publiées sur votre site ?

Tout internaute a la possibilité de demander à un responsable de site web que ses données personnelles ne soient plus diffusées en ligne, et que les pages diffusant ces données ne soient plus indexées par les moteurs de recherche. En tant que responsable d’un site web, comment répondre à ces demandes ?

Que dit le RGPD ?

En application des articles 17 et 21 du RGPD, toute personne peut demander à ce que ses données personnelles soient supprimées d’un site web.

Le responsable du traitement saisi d’une telle demande dispose d’un délai d’un mois maximum pour y apporter une réponse (article 12 du RGPD).

Lorsqu’il procède à la suppression du contenu, il est également tenu de prendre des mesures pour avertir les responsables de traitement qui auraient repris ces données que la personne concernée a demandé l’effacement de tout lien vers ces données personnelles, ou de toute copie ou reproduction de celles-ci (article 17.2 du RGPD).

Je reçois un courrier me demandant de supprimer des données personnelles : que faire ?

  • Etape 1 : vérifier que la demande est complète
    L’internaute est tenu d’indiquer les raisons qui motivent sa demande de suppression : impact négatif de cette diffusion, données obsolètes, retrait du consentement qui avait été donné à l’époque de la publication, etc.
    Le responsable de traitement peut demander des informations supplémentaires sur la personne en cas de doute sur votre identité (article 12 du RGPD). En revanche, il ne peut pas demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande. Il ne peut par exemple demander une copie de la pièce d’identité si le demandeur effectue sa demande à partir d’un espace où il est authentifié.
  • Etape 2 : répondre par écrit à la demande (courriel ou lettre) et procéder à la suppression si nécessaire
    Le responsable de traitement dispose d’un délai légal de 1 mois à compter de la date de réception du courrier pour répondre à la demande (article 12 du RGPD). Il est tenu d’y répondre même s’il ne compte pas y donner suite.Le responsable de traitement doit préciser au demandeur les mesures prises ou les raisons qui justifient son refus.
  • Dans quels cas le responsable de traitement peut refuser de faire droit à la demande ?
    S’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts et les droits et libertés de la personne concernée. Par exemple, lorsque le traitement est nécessaire à la liberté d’expression ou d’information, ou lorsqu’il s’agit d’un intérêt public dans le domaine de la santé, de l’archivage ou de la recherche ;
    • si les données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice ;  
    • si un contrat vous lie avec l’organisme ;
    • si une obligation légale lui impose de publier ces données.

Comment répondre favorablement à une demande d’opposition ?

En fonction de la demande de l’internaute (suppression du contenu, correction, anonymisation, désindexation des moteurs de recherches), le responsable de traitement dispose de différentes solutions pour y répondre. 

Lorsque le contenu a été repris par d’autres responsables de traitement, il est tenu de prendre des mesures afin de les informer de la demande de suppression de la personne concernée. Ainsi, dans la mesure où tout contenu web a par défaut vocation à être indexé par les moteurs de recherche, la prise en compte effective de la demande de suppression implique, outre la suppression ou modification du contenu (par la suppression de la page web ou des données du demandeur), de s’assurer également de sa désindexation par les moteurs de recherche.

Par exemple, le moteur de recherche Google met à disposition des responsables de sites une fonctionnalité « Search console » permettant d’optimiser et de gérer finement le référencement des contenus de leurs sites sur Google. L’activation de cette fonctionnalité nécessite des droits « administrateur » sur le ou les sites que vous gérez et l’ouverture d’un compte Google.

Solution 1 – Supprimer / dépublier intégralement la page

Cette solution permet à la fois de répondre simplement et rapidement à la demande.

Lorsque vous supprimez une page web, l’URL obsolète disparaît d’elle-même des résultats des moteurs de recherche. Toutefois, cela peut prendre un peu de temps, en fonction de la fréquence à laquelle votre site est visité par les robots d’indexation des moteurs de recherche.

Ainsi, si les robots d’indexation tardent à passer, il est possible que, malgré votre démarche de suppression de la page web concernée, les données de l’internaute apparaissent toujours indexées sur les moteurs de recherche en raison de la copie de la page web conservée dans le cache.

Pour accélérer la disparition de la page dans les résultats de recherche de Google, vous pouvez supprimer l’URL obsolète de l’index et du cache de ce moteur de recherche en suivant la procédure suivante :

  •  Si vous êtes le propriétaire validé de cette page auprès de Google Search console :

Vous pouvez demander la mise à jour du cache et de l’index et provisoirement supprimer l’indexation d’une URL de votre site.

Rendez-vous dans la rubrique « URL à supprimer »

Google search console urls à supprimer

Sélectionnez le bouton « Masquer temporairement » et saisissez l’URL que vous souhaitez faire disparaître ou actualiser.

2-Google search console : page à supprimer

Choisissez ensuite l’option « Masquer temporairement la page des résultats de recherches et la supprimer du cache » et validez.

3- Google search console confirmation
  •  Si vous ne disposez pas de compte affilié à ce site sur Google Search Console

Vous pouvez demander la mise à jour du cache auprès de Google en demandant la suppression du contenu devenu obsolète. Il suffit d’indiquer l’adresse obsolète puis demander sa suppression.

Demande suppression site web - Signaler contenu obsolète

Solution 2 – Supprimer ou anonymiser uniquement les données en cause

Lorsque cette suppression de la page n’est pas possible ou que cela risque de nuire à la cohérence du site (par exemple, dans un forum ou un fil de discussion) il est également possible d’anonymiser les données concernant l’internaute.

Cela implique de modifier les données identifiantes de la personne concernée mais aussi de modifier ou masquer que toute information susceptible de l’identifier, directement ou indirectement (par exemple, remplacer un nom par un pseudonyme, flouter les visages ou supprimer toute référence à toute situation personnelle permettant d’identifier la personne concernée).

Certaines informations référencées par les moteurs de recherche peuvent être contenues dans le code d’une page sans être forcément affichées à l’utilisateur, il est alors nécessaire d’intervenir directement dans le code de cette page pour en supprimer toute référence.

Vous pouvez accélérer la prise en compte de vos modifications par les moteurs de recherches en agissant au niveau de votre serveur pour associer la page modifiée à une nouvelle URL et dissocier l’ancienne URL de celle-ci. La nouvelle URL sera indexée avec de nouveaux mots-clés et l’ancienne URL désormais supprimée disparaîtra d’elle-même.

Pour le moteur de recherche Google, vous pouvez ensuite demander une nouvelle exploration des adresses URL depuis le Google Search Console.

Depuis cet environnement, vous pouvez sélectionner la rubrique « Exploration > Explorer comme Google » et saisissez l’URL de la page à réindexer.

4- Google search console demander l'exploration d'une  url

La page s’ajoute à la liste des URL explorées. Vous disposez alors d’un bouton vous permettant d’envoyer cette URL pour qu’elle soit réindexée par Google.

5- Google search console envoyer pour indexation

Pour terminer la demande, choisissez si vous souhaitez uniquement réindexer le contenu de la page, ou si vous souhaitez que l’ensemble des liens de la page soient également réindexés.

La réindexation est prise en compte immédiatement.

Solution 3 – Désindexer le contenu en cause

Lorsque la demande de la personne concernée concerne uniquement la visibilité des contenus de votre site dans les moteurs de recherches (par exemple, l’internaute ne souhaite pas que des photos de lui publiées sur un site soient indexées dans Google Images lorsque l’on tape son nom), une solution consiste à minimiser la portée de votre publication, en agissant uniquement sur l’indexation des contenus incriminés dans les moteurs de recherches.

Pour cela, vous pouvez inclure la balise suivante dans l’en-tête HTML de votre page :

<meta name=”robots” content=”noindex”>

Si vous souhaitez désindexer uniquement les contenus de type image, vous pouvez utiliser la balise meta spécifique :

<meta name=”robots” content=”noimageindex”>

Si vous utilisez cette méthode pour répondre à une demande de désindexation, vous devrez mettre à jour l’index et le cache Google pour que la modification soit prise en compte dans les résultats de recherche.

Si vous utilisez un outil de gestion de contenus (CMS) pour votre site (WordPress, Drupal…) de nombreux plugins vous permettent de configurer les balises meta de vos pages web.

Source : Webmaster ou responsables de sites : comment répondre aux demandes de suppression de données personnelles publiées sur votre site ? | CNIL


Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

Laisser un commentaire