En octobre 2014, la protection des données personnelles et le droit à l’oubli numérique étaient évoqués dans ces pages au travers de la jurisprudence de la Cour de Justice de l’Union Européenne.
Deux ans plus tard, l’évolution initiée par la directive européenne du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données à caractère personnel, se poursuit.
Dans un contexte où le rôle de l’Europe est au cœur du débat, cette situation est une parfaite illustration de l’intervention silencieuse de l’Union Européenne dans la résolution de nos problèmes quotidiens et de l’investissement des Etats membres dans des domaines aussi spécifiques que multiples.
Le Conseil d’Etat revient dans un arrêt du 24 février 2017 sur les obligations auxquelles sont tenus les moteurs de recherche dans le traitement de données à caractère personnel.
- Le droit à l’oubli numérique, évolution d’une garantie jurisprudentielle :
C’est le 13 mai 2014 que la Cour de Justice de l’Union Européenne a reconnu l’existence du droit à l’oubli numérique.
CJUE 13 mai 2014 Affaire C-131/12
Depuis cette décision précédemment évoquée, l’exploitant d’un moteur de recherche, sur demande de l’intéressé et sous certaines conditions, tenu de supprimer de la liste des résultats obtenus à la suite d’une recherche effectuée par le nom d’une personne les liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne.
Ce droit est né de l’interprétation de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation de ces données.
Il implique l’analyse de l’équilibre entre l’intérêt du moteur de recherche les droits fondamentaux de la personne concernée.
Pour autant, sa portée est limitée à la liste des résultats car le déréférencement n’entraine pas l’effacement de l’information sur le site internet source dont le contenu original restera consultable sur le site.
Ce droit constitue néanmoins une avancée dans la protection des personnes qui n’est pas demeuré sans effet.
Forte de ce droit jurisprudentiel, la Loi du 7 octobre 2016 pour une république numérique a suivi cette évolution.
Ainsi elle a instauré un droit à l’autodétermination informationnelle consacré par son article 54 selon lequel « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».
Elle a élargi le cadre du droit à l’oubli numérique pour les mineurs aux données personnelles et non plus au seul déréférencement en disposant dans son article 40 :
« I. — Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».
En cela, la Loi du 7 octobre 2016 pour une république numérique a devancé une autre évolution.
Elle a, en effet, anticipé l’entrée en vigueur du règlement européen du 27 avril 2016 sur la protection des données personnelles qui sera applicable en mai 2018 dans tous les pays de l’Union Européenne.
Ce texte intègre le droit à l’effacement pour toute personne mineure ou majeure dans un article 17 au terme duquel il indique que celle-ci « a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».
Mais malgré ces nombreuses avancées, le droit à l’oubli numérique tel que dégagé par la Cour de Justice de l’Union Européenne suscite encore plusieurs interrogations.
- Le droit à l’oubli numérique, notice d’utilisation :
L’arrêt du 24 février 2017 témoigne des questionnements de le Conseil d’Etat connait dans la mise en œuvre du droit au déréférencement.
Dans cette affaire, quatre personnes avaient demandé à la société Google le déréférencement de liens vers des contenus les concernant.
Face au refus du moteur de recherche, ils avaient alors saisi la Commission nationale de l’informatique et des libertés (CNIL) de plaintes tendant au déréférencement de résultats obtenus à la suite de recherches effectuée à partir de leurs noms sur le moteur de recherche Google.
Cependant, la commission a clôturé ces plaintes sans y donner suite.
C’est ainsi que le Conseil d’État, saisi par les justiciables mécontents, a eu à connaitre des recours engagés contre les décisions de la CNIL.
Ceux-ci concernaient des quatre situations différentes de déréférencement :
– Un photomontage satirique mis en ligne, sous pseudonyme, le 18 février 2011 sur Youtube, la mettant en scène au côté du maire de la commune dont elle était directrice de cabinet et évoquant de manière explicite la relation intime qui les lierait ainsi que l’incidence de cette relation sur son propre parcours politique (Requête n°391000),
– un article du quotidien Libération du 9 septembre 2008, reproduit sur le site du Centre contre les manipulations mentales (CCMM), relatif au suicide d’une adepte de l’Eglise de scientologie en décembre 2006 (Requête n°393769),
– des articles, principalement de presse, relatifs à l’information judiciaire ouverte au mois de juin 1995 sur le financement du parti républicain (PR) dans le cadre de laquelle, avec plusieurs hommes d’affaires et personnalités politiques, il a été mis en examen, (Requête n°399999),
– et deux articles publiés dans Nice Matin et le Figaro rendant compte de l’audience correctionnelle au cours de laquelle il a été condamné à une peine de sept ans d’emprisonnement et à une peine complémentaire de dix ans de suivi socio-judiciaire pour des faits d’agressions sexuelles sur mineurs de quinze ans (Requête n°401258).
Le Conseil retient que « lorsque les conditions (…) sont satisfaites, l’exploitant d’un moteur de recherche mettant en œuvre son traitement en France doit faire droit aux demandes qui lui sont présentées tendant au déréférencement de liens, c’est-à-dire à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant ».
Mais la mise en œuvre du droit au déréférencement soulève ici plusieurs difficultés sérieuses relatives à la portée de la directive européenne du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
La question se pose notamment de savoir si l’interdiction faite aux responsables de traitement de traiter certaines données serait applicable à l’exploitant d’un moteur de recherche en tant que responsable du traitement.
Avant de statuer sur ces affaires, le Conseil d’État a donc décidé de saisir cette cour de plusieurs questions préjudicielles concernent les obligations de déréférencement pesant sur l’exploitant d’un moteur de recherche dans l’hypothèse où les pages web qu’il traite contiennent des informations sensibles dont la collecte et le traitement est illicite ou très encadré.
Conseil d’État 24 février 2017 Décision n° 391000
Il faudra attendre encore quelques mois avant que les contours du droit à l’oubli numérique et sa mise en œuvre soient précisément dessinés.
D’ici-là, le règlement européen du 27 avril 2016 sera peut-être entré en vigueur : cette réforme globale permettra à l’Europe de s’adapter aux nouvelles réalités du numérique grâce à une législation unique.
Pas de contribution, soyez le premier