Le droit à l’oubli sur Internet, ou le droit au déréférencement

Article 8 de la Charte des droits fondamentaux de l’Union Européenne.
1. Toute personne a droit à la protection des données à caractère personnel la concernant. 

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

Des photos que l’on préférerait voir disparaître de la surface de la Terre, des messages honteux datant d’une époque révolue, une réputation ternie suite à un incident… Qui n’aimerait pas se refaire une virginité et tout recommencer à zéro ? Telle est la thématique du droit à l’oubli, qui s’applique aussi bien dans la vraie vie que sur Internet.Le droit à l’oubli correspond, dans l’environnement numérique, au droit à ce que toutes ses données soient effacées, soit au droit à l’effacement.

Le droit à l’effacement comprend globalement deux situations :
– L’interdiction pour les responsables de traitement de conserver les données plus que nécessaire.
– Le droit de demander l’effacement de ses données.

Les responsables de traitement ont ainsi l’obligation de conserver les données « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées » (article 6 de la loi du 6 janvier 1978, dite « loi informatique et libertés »). Une conservation plus longue que ce qui est autorisé est punie de 5 ans d’emprisonnement et de 300.000€ d’amende, sauf si elle est effectuée à des fins historiques, statistiques ou scientifiques.
En revanche, si les données sont anonymisées une fois que les finalités du traitement ont été accomplies, il n’y a plus de durée légale maximum de conservation. Le but est ici la protection de la vie privée des personnes.

Concernant la possibilité d’effacement de ses données, l’article 40 de la loi « Informatique et libertés » dispose que « toute personne physique justifiant de son identité peut exiger du responsable de traitement que soient (…) rectifiées, complétées ou effacées les données à caractère personnel la concernant ». En cas de refus du responsable de traitement, il est possible d’en informer la CNIL.

Une directive européenne du 24 octobre 1995 (Directive 95/46/CE), relative à la protection des personnes physiques et à la libre circulation des données, a donné lieu à une transposition en droit français par la loi dite « LCEN », loi pour la confiance dans l’économie numérique, en date du 21 juin 2004.
Un projet de règlement européen visant à moderniser la précédente directive est actuellement en cours d’évaluation. Le 12 mars 2014, le Parlement Européen a approuvé le texte proposé. Ce dernier prévoit par exemple une notification des violations de traitement des données personnelles, le durcissement de la définition du consentement (explicite et exprès), la création de nouveaux droits concernant l’oubli et la portabilité de données, ou des sanctions pouvant aller jusqu’à 5% du chiffre d’affaires mondial. Il ne reste plus qu’au Conseil européen de se prononcer dessus, ainsi que les nouveaux Parlementaires européens élus si le texte est à nouveau modifié. Ce règlement est désormais prévu pour 2015 et sera automatiquement applicable sans transposition préalable.
Le nouveau règlement consacrerait ainsi un certain droit à l’oubli, à travers le droit au déréférencement.


1. Le salut en provenance de la Cour de Justice de l’Union Européenne

Le 13 mai 2014, la Cour de Justice de l’Union Européenne a rendu un grand arrêt dit « Google Spain » (Google Spain SL, GoogleInc. / Agencia Española de Protección de Datos) concernant le droit au déréférencement de tout citoyen de l’Union Européenne.

En l’espèce, une personne de nationalité espagnole et domiciliée en Espagne a introduit une réclamation à l’encontre d’un quotidien de grande diffusion et du groupe Google (Google Spain et Google Inc). Lorsqu’un internaute introduit son nom dans le moteur de recherche, il obtient des liens vers deux pages du quotidien sur lesquelles figurait une annonce, mentionnant le nom de cette personne pour une vente aux enchères immobilières liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale.
Cette dernière a alors contesté cette situation auprès de l’AEPD – la CNIL espagnole – afin de modifier ou supprimer lesdites pages du quotidien pour que ses données personnelles n’y apparaissent plus, et d’ordonner à Google le déréférencement de ces informations. Il explique que cette saisie a été entièrement réglée depuis plusieurs années, dès lors la mention de la saisie est devenue dépourvue de pertinence.
L’AEPD a rejeté la réclamation concernant le quotidien, estimant que la publication était légalement justifiée car elle avait pour but de conférer une publicité maximale à la vente publique. En revanche, elle a accueilli la réclamation de l’Espagnol concernant Google : les exploitants des moteurs de recherche sont soumis à la législation en matière de protection des données, donc Google est tenu de faire en sorte d’interdire l’accès aux données personnelles.
Google a fait appel de cette décision, la juridiction espagnole a alors décidé de surseoir à statuer et de poser à la Cour des questions préjudicielles.


a) Le champ d’application territorial de la directive européenne

La juridiction de renvoi espagnole se demandait s’il était possible d’appliquer la législation nationale transposant la directive européenne de 1995 étant donné que Google Search est proposé au niveau mondial (http://www.google.com), malgré des versions locales adaptées à la langue nationale (http://www.google.es).
L’indexation des sites web du monde entier, parmi lesquels se trouvent les sites situés en Espagne, est faite de façon méthodique et automatisée, de telle sorte que l’emplacement des serveurs stockant le contenu des sites Internet est dans un État non connu autre que l’Espagne. Google Spain demeure toutefois responsable du traitement de deux fichiers enregistrés auprès de l’AEPD – la CNIL espagnole. La juridiction s’interroge donc sur la notion « d’établissement » et de « recours à des moyens situés sur le territoire dudit Etat membre ».

La CJUE considère que Google Spain se livre à l’exercice effectif et réel d’une activité en Espagne, étant donné qu’il y a une personnalité juridique propre. Il s’agit donc d’une filiale de Google Inc. Sur le territoire espagnol, et consiste en un « établissement ».
Pour que la directive européenne s’applique, il faut que cet établissement soit responsable d’un traitement de données à caractère personnel, et qu’il soit effectué dans le cadre de ses activités.
La CJUE rappelle que les publicités sont liées aux termes de recherche : le traitement de données personnelles est donc effectué dans le cadre de l’activité publicitaire et commerciale de l’établissement sur le territoire de l’Espagne. De ce fait, si l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires, et que cette activité vise les habitants de l’État membre, il doit être tenu responsable du traitement de données à caractère personnel.
Le moteur de recherche ne peut dès lors se soustraire des droits et obligations garantis par la directive européenne de 1995, car Google se livre à une activité soumise aux dispositions de la directive en Espagne par le biais de Google Spain.

b) La qualification de traitement de données à caractère personnel

L’activité de Google est-elle comprise dans la notion de « traitement de données à caractère personnel » ?
Google estime que l’activité des moteurs de recherche n’est pas considérée comme un traitement de données, étant donné que les moteurs ne font pas le tri entre les données à caractère personnel et les autres informations. Il n’a pas connaissance de ces données et n’exerce aucun contrôle sur celles-ci. Son algorithme est automatique, ce qui l’empêche d’être qualifié de responsable d’un traitement de données. L’avocat général de la CJUE s’était prononcé en ce sens.

En revanche, pour la Cour, le moteur de recherche explore de manière automatisée, constante et systématique Internet afin de collecter des données qu’il extrait, enregistre, organise dans ses programmes d’indexation, communique et met à disposition des utilisateurs. Il s’agit donc impérativement d’un traitement de données.
Google joue un rôle décisif dans la diffusion globale des données puisqu’elle les rend accessible à tout internaute effectuant une recherche à partir du nom de la personne concernée. L’activité d’un moteur de recherche est donc susceptible d’affecter significativement les droits fondamentaux de la personne et la protection des données à caractère personnel.
De fait, le fait de trouver les informations publiées sur Internet, de les indexer de manière automatique, de les stocker temporairement et de les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifié de traitement de données à caractère personnel.
Google est donc responsable d’un traitement de données à caractère personnel, ce qui implique que la directive de 1995 doit s’appliquer.

c) L’étendue de la responsabilité de l’exploitant d’un moteur de recherche

La juridiction de renvoi se demandait, en cas de réponse positive à la qualification de responsable de traitement de données à caractère personnel, si lorsque la publication des données était licite sur un site Internet, l’exploitant d’un moteur de recherche était obligé de supprimer de la liste de résultats les liens vers des pages web comprenant des informations personnelles. Autrement dit, elle se demandait si Google pouvait être condamné à un déréférencement de certains sites alors même que la publication des informations était licite.

Google faisait valoir que le principe de proportionnalité implique que toute demande visant à l’élimination d’informations doit être adressée directement à l’éditeur du site web concerné, puisque c’est lui qui prend la responsabilité de rendre des informations publiques. Il s’agit du moyen le plus efficace et le moins restrictif pour rendre les informations inaccessibles.

La CJUE considère que le « traitement de données à caractère personnel (…) est susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l’aide de ce moteur est effectuée à partir du nom d’une personne physique ». Une simple recherche du nom d’une personne sur Google « touche potentiellement à une multitude d’aspects de sa vie privée », alors même que sans le moteur de recherche, il aurait été très difficile d’établir un profil détaillé de celle-ci.
L’effet de l’ingérence dans les droits de la personne concernée se trouve « démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne. »

Autrement dit, la CJUE reconnaît l’effet important d’une recherche via Google : si on désire connaître quelque chose d’une personne, il est difficile de savoir sur quels sites Internet aller. Il est alors plus simple de taper son nom sur Google pour en savoir davantage, ce qui implique une plus grande responsabilité du moteur de recherche.
De ce fait, en raison de la gravité de cette situation, il faut rechercher « un juste équilibre entre l’intérêt légitime des internautes potentiellement intéressés » à avoir accès à ces informations, et le droit à la vie privée des personnes.

La Cour rappelle que même si cet intérêt prévaudra généralement sur l’intérêt des internautes, ce pourra être le contraire dans certains cas particuliers, notamment si la personne joue un rôle dans la vie publique. Cela variera en fonction de la sensibilité de la vie privée de la personne concernée et de l’intérêt du public à disposer de cette information. L’on procédera alors à une balance entre le droit à la liberté d’expression et la liberté d’information d’une part, et le droit à la vie privée d’autre part.

Par ailleurs, une protection efficace de la vie privée ne peut être réalisée si les personnes devaient d’abord obtenir l’effacement des informations auprès des éditeurs de sites Internet, compte tenu de la facilité de réplication sur d’autres sites. L’accessibilité de ces informations par une simple recherche de la personne concernée consiste en une ingérence plus importante que la publication par l’éditeur de la page web.
L’exploitant d’un moteur de recherche doit ainsi être obligé de supprimer de la liste des résultats des liens vers des pages web comportant des informations privées si les conditions sont remplies, et ce même si la publication de ces informations est licite.
La licéité des informations et le droit au déréférencement ne sont dès lors pas nécessairement liés.

d) La portée des droits de la personne garantis par la directive

La juridiction de renvoi demandait enfin si le droit à la vie privée du demandeur devait primer sur l’intérêt légitime des internautes potentiellement intéressés. Elle se questionnait ainsi sur le fait de savoir si la personne pouvait exiger de Google de supprimer de la liste des résultats les liens vers les pages web au motif qu’elles sont susceptibles de lui porter préjudice et qu’elle désire que celles-ci soient oubliées après un certain temps. Existe-t-il un véritable droit au déréférencement ?

Google, les gouvernements suisse, autrichien, polonais et la Commission Européenne estimaient que le moteur de recherche ne devait pas supprimer de la liste des résultats les liens litigieux, donc qu’il ne devait pas y avoir de droit au déréférencement.
Les gouvernements espagnol et italien considéraient quant à eux que la personne concernée pouvait s’opposer à l’indexation de ses données personnelles par un moteur de recherche lorsqu’elle lui porte préjudice et que ses droits fondamentaux prévalent sur les intérêts légitimes de l’exploitant du moteur et sur la liberté d’information.

La CJUE penche davantage du côté du droit au déréférencement. Elle souligne préalablement que la constatation d’un tel droit ne présuppose pas que l’inclusion de l’information dans la liste de résultats cause nécessairement un préjudice à la personne concernée. Il faut que ces informations soient obsolètes, injurieuses, ou qu’elles portent atteinte au droit de la vie privée de la personne.

En l’espèce, eu égard à la sensibilité des informations (saisie pratiquée aux fins de recouvrement de dettes en matière de sécurité sociale), étant donné que la publication initiale a été effectuée 16 ans auparavant, la personne justifie d’un droit à ce que ces informations ne soient plus liées à son nom au moyen d’une liste de recherche sur Google. Il ne semble par ailleurs pas exister de raisons particulières justifiant un intérêt prépondérant du public à avoir accès à ces informations.
Le demandeur n’étant ni journaliste, ni une personne publique, les informations semblent être moins importantes pour le grand public et peuvent lui causer préjudice. Dès lors, la personne doit avoir un droit au déréférencement concernant les informations qui la concernent sur Internet.

En rappelant la nécessité de rechercher un juste équilibre entre le droit à la vie privée et l’intérêt du public à avoir accès à ces informations, notamment lorsque la personne joue un rôle dans la vie publique, la Cour fait prévaloir des droits individuels (droit à la vie privée, droit à l’oubli) aux intérêts économiques des moteurs de recherche (Google) et aux intérêts du public (liberté d’information). Elle reconnaît ainsi un certain droit au déréférencement, à condition que ce droit soit applicable au cas par cas dans des conditions déterminées.

2. Le droit au déréférencement, un droit dont les modalités restent à définir

La Cour de Justice de l’Union Européenne, par cet arrêt « Google Spain » du 13 mai 2014, a reconnu un droit au déréférencement, applicable pour tous les justiciables européens.
Toutefois, les modalités de ce droit au déréférencement ne sont pas forcément prévues : le déréférencement concerne-t-il toutes les versions du même moteur de recherche, ou simplement les versions les plus courantes utilisées dans le pays (google.fr, google.com…) ? Le déréférencement concerne-t-il tous les moteurs de recherche, ou uniquement le plus utilisé (Google) ? Un plaignant doit-il viser tous les moteurs de recherche dans sa plainte pour effacer ses données personnelles ?

a) La position du Conseil d’État

Le Conseil d’État, dans son rapport annuel en date du 9 septembre 2014, consacré cette année au numérique et aux droits fondamentaux, a évoqué de nombreux sujets touchant aux droits et libertés sur Internet : principe de neutralité du net dans une certaine mesure seulement, encadrement des activités des renseignements et de surveillance, obligation de loyauté pour les futures plate-formes qui viendraient s’insérer entre les statuts d’hébergeur et d’éditeur, etc.

Concernant le droit au déréférencement (p277 du rapport), le Conseil d’État prend acte de ce nouveau droit créé par la CJUE.
Il préconise tout d’abord que les procédures définies par les exploitants de moteur de recherche (Google par exemple) permettent à l’éditeur du site de faire valoir ses observations, notamment au sujet de l’intérêt du public à avoir accès à ces informations, et le cas échéant de saisir le juge en cas de désaccord.
Cette position semble, de prime abord, plutôt contestable : est-ce vraiment à un moteur de recherche, donc une entreprise privée, de décider des procédures de déréférencement et d’aviser, et de lui-même décider si la vie privée est atteinte ? Cette procédure aurait certes le mérite d’être rapide et pratique pour les citoyens, mais est-ce réellement à une entreprise privée de prendre la décision de déréférencer des articles litigieux, quitte à égratigner la liberté d’expression et la liberté d’information ? Est-ce à Google de juger de ce qui doit être connu et porté à l’attention des citoyens ?
En revanche, l’obligation qui serait faite à l’éditeur du site tombe sous le sens : c’est l’éditeur du site qui a mis en avant les informations litigieuses, son avis quant à un potentiel déréférencement est alors nécessaire.

Le Conseil d’État envisage également le déréférencement de l’ensemble des versions nationales d’un même moteur de recherche (i-e toutes les versions nationales des pays européens, google.de, google.fr, google.it, google.es, etc, ainsi que google.com).
La CJUE n’oblige toutefois qu’à un déréférencement des versions européennes du moteur de recherche. Toutes les versions d’un même moteur devraient être concernées pour assurer l’effectivité de ce droit, sinon le déréférencement serait contourné par une version autre que celle nationale du site et perdrait de son intérêt.

Il considère en outre que les pouvoirs publics devraient intervenir pour expliquer les principes généraux de l’arrêt et aider à leur mise en œuvre dans des cas particuliers. Les autorités nationales de protection des données, à l’instar de la CNIL, devraient définir les orientations permettant de guider la décision de déréférencement.
Cela permettrait d’amoindrir le pouvoir discrétionnaire conféré à Google, et aux moteurs de recherche en général, dans le choix des informations référencées.

Enfin, le Conseil d’État estime que le droit au déréférencement doit concerner l’ensemble des moteurs de recherche. Même si Google est majoritaire en Europe, la demande de déréférencement doit s’appliquer à l’ensemble des exploitants des moteurs de recherche (Google, Bing, Orange, Voila, Yahoo…). Des particuliers pourraient être découragés de devoir adresser des demandes distinctives à chaque exploitant, avec des décisions potentiellement discordantes. Une décision unique devrait ainsi être prise sur les demandes de déréférencement.
Le Conseil préconise trois voies permettant de parvenir à cette possibilité : soit la reconnaissance mutuelle des décisions prises par chaque exploitant, sur la base d’un accord volontaire entre ceux-ci, soit la création d’une instance commune de décision par les exploitants, permettant de mutualiser leurs charges, soit la création par la loi de la possibilité d’étendre à tous les exploitants une décision de déréférencement prise par l’un d’entre eux, sous condition d’homologation par le juge et sur saisine du demandeur.

b) La position de la CNIL

La position du Conseil d’État n’est qu’un simple rapport opéré par une juridiction administrative. La CNIL, Commission Nationale de l’Informatique et des Libertés, a en l’espèce un certain pouvoir de décision et de préconisations en la matière.
Le G29 est un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales. Cette organisation réunit donc l’ensemble des CNIL européennes, et vise à contribuer à l’élaboration des normes européennes en adoptant des recommandations, rendant des avis et en conseillant la Commission européenne sur tout projet ayant une incidence sur la protection des données et libertés des personnes.

Le G29 s’est réuni en séance plénière les 16 et 17 septembre 2014. Il s’est doté d’une « boîte à outils » pour le traitement des plaintes et coordonner les suites des réponses négatives des moteurs de recherche à une demande de déréférencement. Il a mis en place un réseau de points de contact au sein des autorités chargé d’élaborer un référentiel commun aux autorités pour traiter les plaintes dont elles sont saisies.
Ce réseau fournira aux autorités un registre commun des suites données aux plaintes, et un tableau de bord pour faciliter l’identification des plaintes similaires ou des cas les plus complexes. Il y aurait ainsi un référentiel qui serait fourni à Google pour savoir si l’entreprise doit déréférencer ou non le site Internet.

Les CNIL européennes souhaiteraient par ailleurs que Google applique le droit à l’effacement, ou droit à l’oubli, auprès des versions extra-européennes de son moteur de recherche, de telle sorte que le déréférencement serait mondial.

c) Les questionnements quant à la décision de déréférencer

De nombreuses questions demeurent à l’heure actuelle sur la décision de déréférencement.

– Les pouvoirs unilatéraux d’une entreprise privée. Doit-on réellement confier à une entreprise privée le pouvoir de décider de ce qui est référencé ou non ? Google se targue par exemple d’être d’une neutralité exemplaire en procédant à des algorithmes automatiques.
Mais est-ce réellement à Google de décider de lui-même du déréférencement ? Son appréciation ne serait-elle pas trop subjective ? Ne devrait-on pas confier ces pouvoirs directement à une autorité indépendante, comme la CNIL ? Google – ou les autres moteurs de recherche – ne devraient-ils pas statuer que sur les cas clairement évidents, et laisser les autres à la CNIL ou à la justice ?

– Le droit à l’information. Il est prévu que l’application par Google du droit au déréférencement efface toute possibilité de rechercher ledit article. Ne devrait-on pas, à l’instar des sites de contrefaçon, ajouter une mention permettant de savoir que des adresses ont été déréférencées ?
Cela permettrait de savoir que des informations ont disparu du moteur de recherche, ce qui garantirait une certaine neutralité et éviterait des tentations de museler le droit à l’information. Par un telle mesure, le public serait au courant qu’une action a été entreprise.

– Le droit à la vie privée des mineurs ou personnes sous protection. Devrait-on accepter le déréférencement automatique lorsque la demande provient d’un mineur ou d’une personne protégée, ou devrait-on les responsabiliser en observant, à l’instar des adultes, le cas par cas selon si l’information est obsolète ou injurieuse ?

– L’information aux éditeurs du site. Il y a 3 acteurs en jeu : le demandeur, le moteur de recherche et les éditeurs du site litigieux. Ne pourrait-on pas imaginer une information automatique aux éditeurs du site, qui pourraient faire valoir leur opinion, l’intérêt à voir cette publication référencée ? Ne pourrait-on pas envisager que la demande serait automatiquement refusée en cas de refus de la part de l’éditeur du site, de telle sorte que ce serait la CNIL nationale qui déciderait ensuite de la légitimité de la demande ?

Toutes ces questions restent actuellement en suspens, en attendant que les CNIL européennes statuent et/ou que des lois nationales éventuelles fixent les modalités pratiques du droit au déréférencement.

3. Le droit au déréférencement en pratique

Suite à l’arrêt Google Spain du 13 mai 2014, Google s’est doté d’un formulaire de demande de suppression de résultats de recherche.
Ce formulaire prévoit de préciser le nom des personnes (avec identification nécessaire via une pièce d’identité), le nom utilisé pour la recherche ou encore les pages que l’on souhaite voir supprimer. Google se réserve le droit de refuser la demande de déréférencement en cas de prédominance du droit du public à accéder à ces informations, notamment en cas de « négligence professionnelle, escroqueries financières, condamnations pénales ou conduite publique adoptée par un fonctionnaire ».
Google annonçait avoir déjà reçu 135.000 demandes de déréférencement de justiciables européens en l’espace de 4 mois.

Le 16 septembre 2014, le Tribunal de Grande Instance de Paris a statué en référé sur une procédure de déréférencement. Il a enjoint Google de supprimer des liens vers des articles diffamatoires (propos diffamatoires reconnus devant le tribunal correctionnel le 13 mars 2014) pour obtenir un déréférencement effectif. Il a par ailleurs assorti cette injonction d’une astreinte provisoire de 1.000€ par jour de retard pendant deux mois.
En pratique, il n’est pas nécessaire de passer par la voie judiciaire pour obtenir un déréférencement. Toutefois, le fait qu’un tribunal correctionnel reconnaisse le côté diffamatoire des propos tenus sur les sites Internet appuie fortement la demande de déréférencement puisqu’elle semble être justifiée par une décision de justice.

Il est plus simple, pour un particulier, de demander à Google – et aux autres sites de moteurs de recherche – le déréférencement des sites par le biais des formulaires proposés. Google a actuellement en l’absence de position claire des différents États membres de l’Union Européenne une entière liberté de déréférencer ou non les sites litigieux.

En cas de refus de la part de Google de déréférencer, il est possible de contacter la CNIL pour obtenir satisfaction. Cette dernière conseille toutefois aux particuliers de s’abstenir pour le moment et de patienter, afin que des règles communes soient établies et que le déréférencement soit pleinement efficace.

Advertisements
Cet article, publié dans Droit des nouvelles technologies, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s