Ces dernières années, le ‘droit à l’oubli’ a fait couler beaucoup d’encre. Si les procédures pour opposer son droit à l’oubli ont été simplifiées, peu de personnes en connaissent aujourd’hui l’étendue et les moyens de recours possible. Plus de trois ans après l’arrêt Google Spain (C-131/12, FR) rendue par la Cour de justice de l’Union européenne, EU-Logos Athéna fait le point sur cette notion majeure pour la protection de la vie privée des citoyens européens.
Nous ne sommes pas dans l’exagération si nous affirmons que la protection des données personnelles a toujours été l’une des préoccupations principales des citoyens européens lorsqu’ils naviguent sur l’internet. Cette inquiétude ne cesse de s’accroître au fur et à mesure des évolutions technologiques, la masse de données personnelles que nous laissons derrière nous étant de plus en plus importante. La protection des données personnelles nécessaire dans les années 1960 n’a plus rien à voir avec celle qui est adaptée pour notre époque. De nos jours, ce sont nos historiques sur les moteurs de recherche ou encore nos statuts, nos images, nos vidéos, nos intérêts (culturels, politiques, religieux, concernant nos loisirs, etc.) que nous laissons sur les réseaux sociaux. Ces informations en disent beaucoup sur les personnes que nous sommes. À cela, s’ajoute les informations nous concernant que d’autres (nos parents, nos amis, des journalistes, des administrations, etc.) publient.
C’est aussi l’ensemble de nos fichiers que nous laissons dans le cloud. Ces fichiers, contenant parfois des informations précieuses sur nos vies, ne quittent pas le monde matériel de notre disque dur pour entrer dans le ‘monde virtuel’. En réalité, il n’y a rien de plus matériel que l’internet : le cloud, pour fonctionner, a besoin de serveurs regroupés dans des data centres (avec tous les défis que cela pose) présents dans nos villes et de câbles pour pouvoir transporter l’information. Les services utilisés pour stocker nos données à distance sont la plupart du temps ceux proposés par les grandes entreprises d’internet comme Google ou Microsoft. C’est encore les services de streaming (Deezer, Spotify, Netflix, etc.) qui de part leur utilisation permettent de connaître dans les moindres détails nos goûts culturels. L’exploitation des données que nous laissons derrière nous est aussi facilité par le fait qu’un compte Facebook ou Google, par exemple, nous permet d’accéder à de nombreux contenus ou services sur une multitude de sites internets. Ceci vient, de ce fait, multiplier les données, concernant notre vie privée, auxquelles les grosses plateformes ont accès.
En dépit de la somme importante de données personnelles que nous acceptons (de manière plus ou moins explicite) de transmettre, il y a une différence de nature entre des données que nous laissons à des entreprises ou à des administrations et celles qui se retrouvent publiées par ces mêmes entités, par des tiers et, aussi, par nous-mêmes. Dans le premier cas, les données sont exploités pour des raisons commerciales (proposer des publicités ciblées) ou pour le bon fonctionnement d’un service. Dans le second cas, ce sont des éléments de nos vies qui nous échappent (de manière volontaire ou non) pour se présenter à la vue de tous. Qui n’a jamais tapé son propre prénom et nom dans un moteur de recherche afin de savoir quelles étaient les informations qui finissaient par apparaître ? À la puissance de certains moteurs de recherche, s’additionne tout le contenu disponible sur les réseaux sociaux dont les profils, selon l’activité de l’utilisateur, sont de réels condensés d’une vie. Un mauvais paramétrage des profils (c’est-à-dire, le plus souvent, aucune modification des paramètres par défaut) n’arrangent rien à la protection de notre vie privée.
La vie d’adultes et d’adolescents est donc, chaque jour, exposée à la vue de tous. Un fait plus inquiétant, encore, est celui du sharenting (mot valise créé à partir de ‘share’ et ‘parenting’), c’est-à-dire le fait de publier des photos de son nouveau-né ou bambin sur les réseaux sociaux. S’il est compréhensible que des parents souhaitent partager la vie de leurs progénitures à leurs amis, cette pratique nous prouve qu’un enfant a, dès les premiers jours de sa vie, une identité numérique qui se construit. Cet usage peut révéler de réels dangers pour l’enfant. Alors que, par définition, l’enfant ne donne pas son accord à ses parents et n’est même pas conscient de ce qui est fait, il voit des pans entiers de sa vie privée publiés sur internet. Parfois, ce sharenting va plus loin puisque certains bambins ont déjà leur propre profil sur Facebook. Un article (FR) du blog ‘Big Browser’ du journal français Le Monde, nous rappelle qu’un tel usage de l’internet ne fait que refléter « [l’]usage forcément narcissique des réseaux sociaux [et] doit inciter les parents à s’interroger sur leurs méthodes éducatives ». De plus, cette pratique sur l’internet ne vient que donner le mauvais exemple aux enfants. Au lieu de leur imposer une exposition excessive dans le monde virtuel, il vaudrait mieux les habituer à avoir un usage raisonné du net. L’idée qu’un enfant héritera d’une identité virtuelle, construite par ses parents, laisse penser que dans un futur pas si lointain des jeunes adultes pourraient opposer un « droit à l’oubli » à leurs géniteurs.
Le sujet des données personnelles regroupe donc un certain nombre de questions plus ou moins importantes, allant de la responsabilisation de l’internaute à une utilisation plus transparente de nos données personnelles par des entreprises et administrations. Le sujet des données personnelles passe aussi par un droit à l’oubli qui viendrait s’opposer aux « autres » lorsque l’utilisateur souhaite reprendre le contrôle des données et des informations lui appartenant et donc reprendre le contrôle de son identité virtuelle qui elle-même vient influencer l’image que notre identité ‘physique’ renvoie.
La vie privée sur internet et l’usage qui est fait de nos données personnelles préoccupent les Européens. Selon un sondage Eurobaromêtre (EN) sur la protection des données publié en 2015, l’opinion est assez claire. La protection des données personnelles est l’un des sujets de préoccupation majeur lorsque les européens utilisent l’internet. Huit européens sur dix pensent qu’ils ne peuvent pas contrôler suffisamment leurs données personnelles. Environ 90 % des personnes ayant répondu au sondage estiment qu’il est important que toutes les entreprises se voient appliquer le même droit quant à la protection des données personnelles, et ce quel que soit l’endroit où l’entreprise est basée. Enfin, nous pouvons constater qu’une grande partie des Européens font plutôt confiance aux autorités publiques pour conserver leurs données (74 % on confiance en les institutions médicales, 66 % en les autorités nationales publiques mais seulement 51 % de confiance envers les institutions européennes) mais aussi aux banques (56 % d’opinion favorable). Au contraire, les citoyens européens se méfient de l’usage que peuvent faire d’autres entités de leurs données personnelles (notamment les entreprises de téléphonie, de fournisseurs d’internet et les moteurs de recherches).
Retour sur la genèse du droit à l’oubli
Depuis quelques années, la question des données personnelles va de paire avec celle du droit à l’oubli. Et celle du droit à l’oubli appelle, comme nous l’avons vu plus haut, à s’interroger sur la notion d’identité numérique qui est une question relativement récente puisqu’elle est apparue avec l’internet et l’évolution des usages que nous en faisons. De plus, la notion de ‘droit à l’oubli’ est polysémique. Elle s’applique à des réalités qui sont parfois différentes puisque son étendue évolue au cours du temps et de l’espace.
Comme nous le rappelle Fabienne Dumontet, journaliste pour le quotidien Le Monde, certains font la différence entre ‘le droit à l’oubli’ et ‘le droit à être oublié’. Le premier serait plus général. Il concernerait, principalement, un droit à l’oubli pour préserver l’intérêt général. Nous pensons aux lois d’amnistie qui peuvent être adoptées par le législateur ou encore à la loi pénale qui prévoit la prescription des poursuites et des peines concernant les contraventions, les délits et les crimes. Le but, ici, est de pouvoir permettre à la société de dépasser certains événements afin de continuer la vie commune. Ce type d’oubli organisé permet aussi d’assurer une certaine sécurité aux individus, de s’assurer de ne plus être inquiété, théoriquement, pour un délit commis il y a plus de six années, par exemple.
Le second serait le plus récent dans l’histoire. C’est aussi à cette notion que nous faisons référence lorsque nous parlons du ‘droit à l’oubli’. En France, d’abord, dès le milieu des années 1960, le droit à l’oubli est mentionné par les juges suite à une affaire opposant la société de production de Claude Chabrol et Fernande Segret, la dernière maîtresse de Henri Désiré Landru, un tueur en série français. Le célèbre cinéaste retraçait dans le film Landru la vie du criminel et traite de la relation qu’il entretenait avec Fernande Segret. Cette notion du ‘droit à être oublié’ est donc un droit individuel visant à protéger sa vie privée et non plus nécessairement à préserver la cohésion d’une société. Toutefois, à cette époque, le droit à l’oubli n’avait aucune existence légale.
Le premier système juridique à intégrer le droit à l’oubli est celui de la Suède. En 1973, le droit suédois prévoit que « les données doivent être utilisées seulement pendant la durée nécessaire à la finalité de leur collecte ». Il s’agit, en réalité, d’appliquer la notion de proportionnalité à l’exploitation des données personnelles. La France fait référence à une telle notion proportionnalité dès 1975 en interdisant de conserver les noms des personnes interdites de chéquiers au-delà d’une certaine période. Le droit à l’oubli se diffusa donc lentement et a été repris, plus tard, dans plusieurs droits nationaux et par plusieurs autorités indépendantes s’occupant de ce qui a trait à l’informatique. Nous le retrouvons également dans la directive européenne sur la protection des données personnelles de 1995. Il s’agit donc d’un droit plutôt ancien qui s’est généralisé, en Europe, à partir des années 1990.
La révolution technologique des années 1980/1990 a rendu toujours plus nécessaire ce droit à l’oubli. L’utilisation de l’internet dès les années 1990 a affirmé le besoin de protéger le droit à la vie privée. Cependant, de tels besoins ne se sont faits ressentir qu’avec le développement de l’internet et de son usage. Une directive européenne datant de 1995 intégrait des éléments afin de protéger la vie privée des individus. Les évolutions numériques ont rapidement rendu une telle directive inadaptée à la protection de notre vie privée. Cependant, elle a eu le mérite d’entraîner l’intégration de la notion de droit à l’oubli dans certains droits nationaux. Ainsi, en Belgique, le droit à l’oubli existe dans la législation étatique depuis 1998. Une telle intégration dans le droit national s’est accompagnée de nombreuses questions notamment concernant la compétence territoriale : à qui s’appliquait ce droit à l’époque ? Un moteur de recherche qui ne fait que référencer du contenu doit-il respecter le droit à l’oubli ? Si la réponse était positive, alors il fallait se demander s’il était possible d’opposer un tel droit à un moteur de recherche non-belge. Vu la place que l’internet occupait dans les vies des années 1990 et son caractère transfrontière, nous imaginons bien que de telles dispositions avaient peu de chance de protéger correctement les citoyens. Ceci est d’autant plus vrai que la protection des données personnelles, malgré une directive européenne, restait principalement du fait des droits nationaux.
Il était donc nécessaire et urgent que de nouvelles dispositions soit adoptées à l’échelle de l’Union afin de proposer à tous une protection correcte de la vie privée. Comme l’indique Yves Poullet, dans un entretien au Monde, le droit à l’oubli, tel que nous l’entendons aujourd’hui va même plus loin que le simple fait de protéger la vie privée des individus. Il s’agit aussi d’avoir un contrôle sur nos données personnelles, le pouvoir de décider des informations qui peuvent être laissées à la vue d’autrui.
Le droit à l’oubli peut donc revêtir différentes fonctions (préserver la cohésion sociale ou la vie privée des individus) selon la forme qu’il prend. Dans le monde numérique, le droit à l’oubli peut aussi pointer deux éléments différents qui n’ont pas les mêmes effets. D’un côté, nous avons le droit à l’oubli le plus total, c’est-à-dire le droit à l’effacement. Ce droit implique, tout simplement, la suppression du contenu que nous jugeons comme portant atteinte à nos vies actuelles. Ce droit est total puisqu’il s’agit de supprimer l’information à la source. Elle est aussi compliquée à appliquer sur l’internet car l’information se duplique facilement et rapidement. Si un tel droit à l’effacement existe, se pose alors la question de savoir s’il est réellement applicable ou, du moins, s’il est applicable dans tous les cas.
De l’autre côté, nous avons le droit au déréférencement. Son ampleur est moindre par rapport à celle du droit à l’effacement, mais ce droit est sûrement plus efficace. Il s’agit, ici, de demander aux moteurs de recherches d’exclure certains résultats d’une requête. Ainsi, cela n’implique pas la suppression du contenu sur l’internet mais en limite grandement la diffusion puisque le moyen le plus simple pour y accéder est d’utiliser de tels moteurs de recherche. Sans, il faudrait, dès le départ, savoir sur quel site trouver l’information que nous recherchons.
Les notions de droit à l’effacement et de droit au déréférencement se complètent et ne s’excluent pas. Déréférencer du contenu sur internet ne signifie pas, comme nous venons de le voir, que le contenu a été supprimé d’internet. Inversement, la suppression d’un contenu sur internet n’entraîne pas systématiquement son déréférencement car les moteurs de recherche proposent, en règle général, d’accéder à une page ‘en cache’. Cela signifie que le moteur a effectué une copie d’une page web à une certaine date (lors de la dernière indexation). Il peut alors être possible d’accéder à du contenu un certain temps après sa suppression.
L’action au niveau de l’Union européenne en faveur du droit à l’oubli
L’apparition d’un droit à l’oubli à l’échelle européenne a été progressive. Depuis quelques années maintenant, cette notion fait régulièrement parler d’elle afin d’en effectuer le bilan, d’en mesurer l’étendue de son application, etc. L’évolution majeure de ces dernières années a été la reconnaissance à l’échelle de l’Union européenne d’un droit au déréférencement, concernant donc les moteurs de recherche sur internet.
Cet apport, pour la protection de la vie privée des personnes sur internet, est le résultat d’une question préjudicielle posée à la Cour de justice de l’Union européenne (CJUE) par la Audiencia nacional espagnole. Dans cette affaire, opposant Google Spain et la Agencia Española de Protección de Datos (la CNIL espagnole) et M. Mario Costeja González, le requérant principal demandait au journal La Vanguardia de supprimer un article de son site internet considérant que les informations fournies n’avaient plus d’intérêt particulier. Dans la continuité de cette demande, et dans le cas où la suppression à la racine, c’est-à-dire sur le site internet du journal, ne pouvait être obligatoire, M. Costeja González demandait à Google Spain de faire disparaître les résultats de recherche liés aux données personnelles à la cause du litige. L’une des questions principales de cette affaire était donc de savoir s’il pouvait être demandé à un moteur de recherche de déréférencer du contenu concernant un individu et, de ce fait, révélant certains pans de sa vie privée.
De manière non surprenante, Google s’est battu et prononcé en défaveur de la reconnaissance d’un tel droit au déréférencement avançant, à juste titre, que chaque individu possède également un droit à l’information. Cette affaire est venue poser une question importante opposant droit à l’information et droit à la vie privée. La Cour de justice de l’Union européenne, de par l’occasion qui lui a été donnée, s’est prononcée en faveur d’un droit au déréférencement tout en apportant des précisions visant à trouver un équilibre entre le droit à la vie privée et le droit à l’information. Malgré tout, étant donné la responsabilité des moteurs de recherche vis-à-vis de l’accès à certaines données, il est légitime de vouloir protéger la vie privée des citoyens. Sans le rôle de référencement des moteurs de recherche, l’accès à certaines informations seraient beaucoup plus difficile, si ce n’est impossible.
Alors que nous pouvons désormais connaître des éléments importants de la vie de certaines personnes en faisant une simple requête sur des moteurs de recherche, la Cour de justice de l’Union européenne reconnaît un droit au déréférencement lorsque les informations sont « inadéquates, pas ou plus pertinentes ou excessives ». Toutefois, les juges précisent clairement que la solution du déréférencement n’est pas systématique, toujours pour préserver l’équilibre entre le droit à l’information et le droit à la vie privée. Cet arrêt a entraîné de grands changements pour les moteurs de recherche qui se doivent de proposer, à leurs utilisateurs, des formulaires afin que puisse s’exercer leur droit au déréférencement. Dans un premier temps, ce sont les moteurs de recherche qui jugeront de l’opportunité des demandes.
Google contestait une telle application du droit à l’oubli. L’entreprise étasunienne considérait que le droit européen ne lui était pas applicable du fait de sa “nationalité”. La Cour s’est débarrassée de cet argument en précisant que toute entreprise ayant un établissement sur le territoire d’un des États membres de l’Union européenne se voyait appliquer le droit européen pour ses activités au sein de l’Union. Ceci signifie que, même si nous nous concentrant sur Google, il ne s’agit pas de la seule grande entreprise concernée. C’est aussi le cas du moteur de recherche Bing (Microsoft) ou encore Yahoo! par exemple.
Parallèlement à l’activisme de la Cour de justice de l’Union européenne, le Parlement européen a constaté, dès 2013, que la législation européenne organisant la protection des données personnelles était dépassée. Il était donc nécessaire pour la protection de la vie privée des Européens de se pencher sur un nouveau texte venant remplacer la directive de 1995. L’un des acteurs clés dans les négociations sur le projet de règlement au Parlement européen a été Jan-Phillip Albrecht (Verts/ALE, DE), rapporteur du texte (il est possible de témoigner de son travail en regardant le documentaire Democracy de David Bernet). Après de longues discussions, la version finale du règlement a été adoptée par le Parlement le 14 avril 2016. Ces dispositions s’appliqueront pleinement d’ici mai 2018. Suite à un tel succès, la CNIL, par exemple, a considéré que ce texte était « un tournant majeur dans la régulation des données personnelles ».
Le règlement adopté vient acter le droit à l’oubli et plus précisément le droit à l’effacement venant ainsi compléter la décision de la Cour de justice de l’Union européenne. Les premières pages le justifient de la manière suivant : « Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d’un ‘droit à l’oubli’ lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l’Union ou du droit d’un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées devraient avoir le droit d‘obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regards des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière[.] […] Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu’elle est nécessaire à l’exercice du droit à la liberté d’expression et d’information, au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l‘exercice de l’autorité publique dont est investi le responsable du traitement, pour des motifs d’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l’exercice ou à la défense de droits en justice » (Paragraphe 65 du Règlement).
Avec cette – longue – citation, nous le voyons, le législateur européen prévoit de nombreuses exceptions pour l’exercice d’un droit à l’oubli. Ce droit n’est donc pas absolu et de nombreux cas – notamment lorsqu’il s’agit de préserver l’intérêt public – peuvent permettre de justifier de conserver certaines données. L’article 17 du règlement est celui qui traite directement du droit à l’effacement. Il permet aux citoyens qui le souhaitent de pouvoir demander à une entreprise ou administration la suppression des données personnelles les concernant. Nous venons de le voir, une telle possibilité reste encadrée du fait d’un nombre important d’exceptions à la règle. Plus loin dans le texte, l’article 19, qui vient créer une obligation de notification concernant l’effacement des données à caractère personnel, nous montre aussi les limites du règlement. En effet, les notifications ne s’opèrent que dans l’éventualité où “une telle communication [ne se révèle pas] impossible ou [n’]exige [pas] des efforts disproportionnés”. Il y a donc des atténuations importantes au droit à l’effacement. De plus la disposition reste floue. À partir de quel moment considérons-nous qu’il s’agit “d’efforts disproportionnés” ? Si les droits nationaux ne sont pas plus clair sur ce point, ce sera certainement aux juges européens de répondre à cette question le moment venu.
Dans la logique qui s’est affirmée ces dernières décennies, une place toujours plus large est laissée aux autorités de contrôle des États membres (la CNIL pour la France ou la CPVP en Belgique). Ce sont elles qui ont pour rôle d’ordonner l’effacement de données à caractère personnel ou la limitation de leur traitement. Cela implique une certaine harmonisation des pratiques ou du moins des critères à appliquer pour juger de l’opportunité d’ordonner la suppression de données. Ces critères peuvent être décidés suite à une décision de leur part. Le Comité européen de la protection des données à lui aussi son rôle à jouer puisqu’il a la charge de « publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données à caractère personnel ».
Avec de telles dispositions, le but est clairement de protéger au mieux les citoyens européens. Il semble difficile de se tromper en affirmant que le droit que l’Union européenne offre en la matière est l’un des plus protecteurs. Le respect de la vie privée des individus est donc mis en avant. Il faudra attendre au moins jusqu’en mai 2018 pour savoir si de telles dispositions auront un effet sur la pratique des entreprises du net (et notamment les plus grosses d’entre elles). Il sera intéressant de savoir si elles ont revu leur politique de collecte des données personnelles par défaut ou si elles ont innovés afin de récolter une masse moins importante de données personnelles. Jan-Philipp Albrecht l’affirme lui-même, le but de ce règlement est de « rendre aux citoyens le contrôle de leurs données personnelles » et de « créer un niveau élevé et uniforme de protection de données à travers l’UE ». Ceci facilitera également le travail des entreprises qui feront face à une législation harmonisée donc plus claires afin de développer leur activité.
L’application de ces règles visant à protéger la vie privée des individus serait vaine s’il n’y avait pas de mécanisme de répression prévu. Ainsi, des amendes allant jusqu’à 4% du chiffre d’affaire annuel total dans le monde entier des entreprises peuvent être données et, nous pouvons l’imaginer, viennent constituer une véritable force de dissuasion pour éviter que les règles ne soient pas respectées.
De plus, une centralisation des plaintes et de leur application est également prévue. Si un citoyen n’est pas satisfait de la réponse obtenue par une entreprise ou une administration, les autorités nationales en charge de la protection des données seront celles qui accueilleront les plaintes et qui se chargeront de rendre des décisions en première instance. Ce rôle engage toujours plus les autorités de protection des données à coopérer entre-elles que ce soit au sein d’un État membre, s’il y a plusieurs autorités compétentes, ou au-delà des frontières nationales.
La protection européenne apportée par la CJUE et par le législateur a, cependant, des limites. Comme nous avons pu le voir plus haut, ces protections ne s’appliquent qu’aux seules entreprises ayant un établissement sur le territoire d’un pays de l’Union européenne. Ceci est, tout de même, une limite de taille dans un monde numérique. En effet, nous pouvons accéder de n’importe quel endroit à n’importe quel site ou contenu (sans prendre en considération la censure qui peut s’opérer dans certains pays). C’est notamment pour cela que Google et Microsoft doivent se plier aux dispositions du règlement. Mais imaginons que des éléments, pouvant compromettre la vie privée d’un individu, soient accessibles depuis le moteur de recherche chinois Baidu ; dans ce cas, la législation européenne ne pourra pas être d’une grande aide et les données présentes sur le moteur de recherche ne pourront pas être déréférencées. Ainsi, si un tel droit à l’oubli s’applique dans un État non-membre de l’Union européenne c’est parce que ce même État aura décidé de prévoir une telle protection des données personnelles.
Puisque certaines zones d’ombre persistent quant à l’application du droit au déréférencement sur le sol européen, des précisions sont attendues de la part du juge européen. C’est pour cette raison, par exemple, que le Conseil d’État français souhaite, par le biais d’une question préjudicielle, que la CJUE précise s’il est interdit pour les entreprises de collecter et traiter des données considérées comme “sensibles” (origine ethnique, opinions politiques, conviction religieuse, etc). Et si tel est le cas, la question se pose de savoir si des exceptions légales peuvent s’appliquer.
Quel bilan, du côté de Google, pour le droit à l’oubli ?
Grâce à ces droits affirmés ou réaffirmés par le juge européen et par le législateur, le G29 (groupe réunissant toutes les autorités nationales européennes en charge de la protection des données personnelles) s’est réuni afin de trouver un accord sur les critères à appliquer en cas de contestation des décisions prises par les moteurs de recherche, en premier lieu desquels Google, en matière de déréférencement. Des positions communes ont été adoptées et transmises à Google dès 2014.
Afin de faire preuve de transparence, Google communique sur le droit à l’oubli et son application. L’entreprise met à jour régulièrement les statistiques en rapport avec le droit au déréférencement. Ces statistiques ne concerne que le moteur de recherche Google. Sur l’ensemble de l’Union européenne et des autres pays membres de l’Espace Économique Européen (pays qui doivent aussi respecter les décisions de la CJUE dans certains domaines), ce n’est pas moins de 584 658 demandes qui ont été reçues par Google au 2 juillet 2017. La France se situe en tête de peloton aussi bien pour le nombre total de demandes (129 639, le 2 juillet 2017) que pour le taux d’URL supprimés (48,7% des URL dont il était souhaité la suppression l’ont effectivement été ; à deux points prêt le taux belge est similaire). D’un pays à l’autre les statistiques sont très fluctuantes. Alors que, comme nous venons de le voir, la France est le pays européen dont les demandes font l’objet de plus de réponses positives quant à la suppression d’URL, le Portugal est l’un des pays qui a les taux de suppression les plus bas : seul 24,7% des URL faisant l’objet d’une demande de suppression le sont effectivement.
Nous pouvons ainsi constater que 10 sites représentent à eux seuls 8% des URL supprimées. Dans cette liste de site, il y a par exemple Facebook, Youtube, Twitter ou Google Plus mais aussi, plus surprenant, l’annuaire téléphonique 118 712 (ceci peut être du fait des bons taux de suppression que connaît la France).
Ces statistiques viennent nous montrer que l’ouverture d’un droit au déréférencement (et de l’obligation qui en découle pour les moteurs de recherche de mettre à disposition un formulaire de demande de suppression d’URL) est bien exploité par les individus sur le sol européen. Le nombre de demandes est important mais les taux de suppression restent relativement faibles (environ 43% de moyenne pour tous les pays concernés). Ces chiffres viennent rappeler que les moteurs de recherche disposent de pouvoirs important quant à savoir s’il est opportun ou non de supprimer des liens étant jugés par les requérants comme portant atteinte à leur vie privée.
Enfin ces chiffres ne permettent pas une analyse en profondeur de la situation. Par exemple, il pourrait être intéressant de savoir quel est le pourcentage de décisions négatives (c’est-à-dire de non-suppression des URL) qui ont entraîné une contestation auprès des autorités nationales de protection des données personnelles. Il est facile de remplir un formulaire sur internet pour demander à ce que des liens soient déréférencés. En revanche, demander une nouvelle décision ou engager des actions en justice face à des géants du net peuvent avoir un caractère dissuasif. Si tel est le cas, alors les moteurs de recherche ont un pouvoir de décision initial qui est important. Les faibles taux pourraient être, aussi, le fait d’une certaine résistance de la part de l’entreprise.
Google fait de la résistance
Si nous nous concentrons sur Google lorsque nous parlons du droit à l’oubli et si les chiffres que cette entreprise nous fournit sont importants c’est parce que, malgré une concurrence présente, Google reste le principal moteur de recherche utilisé en Europe et dans le reste du monde. En France, selon le site Journal du net, il y aurait plus de 93% des internautes qui utilisent Google en 2015 contre environ 89% à l’échelle mondiale. Son attitude vis-à-vis de la législation européenne est donc intéressante. En effet, lorsque cette entreprise applique une législation qui concerne les moteurs de recherche, cela protégera un nombre important d’internautes.
Google ne semble pas avoir accueilli avec plaisir la décision de la Cour de justice de l’Union européenne en 2014. Sur son blog européen, Google a réagit à plusieurs reprises sur le droit à l’oubli tel qu’envisagé par le droit européen : “We believe it is important to be transparent about how much information we’re removing search results while being respectful of individuals who have made requests. Releasing this information to the public helps hold us for our process and implementation”. Par ces mots, le moteur de recherche rappelle qu’il y a un équilibre à trouver entre droit à l’information et droit à la vie privée. Cependant, s’il est clair que le droit à l’information doit être protégé, Google paraît l’utiliser pour justifier ses réticences à l’égard du droit européen qu’il doit appliquer.
Selon la présidente de la CNIL, Isabelle Falque-Pierrotin, dans un entretien au journal Le Figaro : « Les demandes d’effacement sont prévues par la loi depuis longtemps et sont appliquées par les possesseurs de sites. Google n’était pas considéré comme responsable du traitement de données personnelles ». C’est pour ces raisons que les changements apportés par le juge européen n’ont pas vraiment plu à Google qui se retrouve, de fait, l’un des garants du respect de l’équilibre entre droit à la vie privée et droit à l’information.
Ainsi, lorsque Google déréférence du contenu, il ne le fait que pour les versions européennes de Google venant, donc, affaiblir la portée du droit à l’oubli. Un contenu sera déréférencé sur google.fr ou google.hu, par exemple, mais contiuera d’apparaître sur google.com ou google.co.id. Nous avons, ici, l’une des plus grande limite pratique du droit à l’oubli. Le droit connaît des frontières mais le numérique, en revanche, n’en a pas. Cela montre que si nous voulons obtenir une information, internet nous fournit toujours les moyens nécessaires pour la trouver.
C’est pour cela que la CNIL, compétente en France en première instance lorsqu’il y a un différend sur le déréférencement d’une page, a demandé, en 2015, à Google de supprimer du contenu sur toutes les versions que l’entreprise gère. Et pour cause, si le contenu n’est pas déréférencé sur toutes les versions alors la portée du droit à l’oubli est quasi nulle. En retour, Google s’est plaint à la CNIL pour que la décision soit révisée. Bien qu’il soit peu probable que la CNIL revienne en arrière, ce que veut certainement Google c’est épuiser toutes les voies de recours en France pour pouvoir se retrouver devant la CJUE afin que cette problématique soit tranchée dans l’ensemble des États membres de l’Union européenne.
Sur son blog européen, toujours, Google avait encore une fois réagi considérant que “this is a troubling development that risks serious chilling effects on the web”. L’argument avancé par Google est que la logique de la CNIL peut s’avérer dangereuse : « Aucun pays ne devrait avoir le pouvoir de contrôler les contenus auxquels quelqu’un, dans un autre pays, peut accéder ». En effet, dans certains pays, des contenus sur internet sont illégaux et pas dans d’autres. Par exemple, la Thaïlande criminalise certains discours critiques vis-à-vis du Roi. Ces critiques sont autorisées sur des sites européens. Google affirme que si nous suivons la logique de la CNIL, ce serait la porte ouverte à ce que la Thaïlande demande la même chose et donc que les sites que ce pays considère comme illégaux soient déréférencés par Google. L’entreprise au célèbre moteur de recherche affirme donc lutter contre un nivellement par le bas. Aussi, élargir le droit à l’oubli à toutes les versions de Google serait disproportionné car « l’immense majorité des utilisateurs d’internet utilisent une version européenne du moteur de recherche ».
Il est certain que les citoyens européens ont pu voir un renforcement de la protection de leurs données personnelles au cours des dernières années. Ces évolutions sont notamment dues, à la fois, au juge et au législateur européen. Néanmoins, les évolutions récentes apportent leur lot de questionnements. Il est donc essentiel que nous gardions un œil sur l’effectivité réelle du ‘droit à l’oubli’ au cours des prochaines années. Il est essentiel de savoir si un équilibre entre le droit à l’information et le droit à la vie privée sera atteint et préservé ou si la balance penchera vers la protection d’un de ces deux droits fondamentaux plutôt qu’un autre.
Pierre Angelloz-Pessey
Sources :
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) : http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR.
Communiqué de presse du Parlement européen, « De nouvelles règles sur la protection des données placent les citoyens aux commandes », 17 décembre 2015.
Parlement européen, « Réforme sur la protection des données : le Parlement approuve de nouvelles règles adaptées à l’ère numérique », 14 avril 2016 : http://www.europarl.europa.eu/news/fr/press-room/20160407IPR21776/reforme-sur-la-protection-des-donnees-des-regles-adaptees-a-l-ere-numerique.
Background du Parlement européen, « Q&R : Les nouvelles règles de l’UE sur la protection des données placent les citoyens aux commandes », 1er juin 2016 : http://www.europarl.europa.eu/pdfs/news/expert/background/20160413BKG22980/20160413BKG22980_fr.pdf.
Communiqué de presse de la CJUE, « L’exploitant d’un moteur de recherche sur internet est responsable du traitement qu’il effectue des données à caractère personnel qui apparaissent sur des pages web publiées par des tiers », 13 mai 2014 : https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070fr.pdf.
Eurobaromètre concernant la protection des données personnelles (EN) : http://ec.europa.eu/commfrontoffice/publicopinion/index.cfm/Survey/getSurveyDetail/yearFrom/2013/yearTo/2015/surveyKy/2075.
Google, « Demandes de suppression de contenus liés à la vie privée dans les résultats de recherche dans l’Union européenne » : https://www.google.com/transparencyreport/removals/europeprivacy/.
« Transparence and accountability for the ‘right to be forgotten’ », Google Europe Blog, 10 octobre 2014 (EN) : https://europe.googleblog.com/2014/10/transparency-and-accountability-for.html.
« Implementing a European, not global, right to be forgotter », Google Europe Blog, 30 juillet 2015 (EN) : https://europe.googleblog.com/2015/07/implementing-european-not-global-right.html.
CNIL, « Adoption du règlement européen par le Parlement européen : un grand pas pour la protection des données en Europe », 14 avril 2016 : https://www.cnil.fr/fr/adoption-du-reglement-europeen-par-le-parlement-europeen-un-grand-pas-pour-la-protection-des-donnees.
CPVP, « Le droit à l’oubli : peut-on effacer ses traces en ligne et comment doit-on procéder ? » : https://www.privacycommission.be/fr/droit-a-loubli-details.
Fabienne Dumontet, « Le ‘droit à l’oubli numérique’, genèse d’une idée neuve », lemonde.fr, 3 octobre 2013 : http://www.lemonde.fr/technologies/article/2013/10/03/le-droit-a-etre-oublie-genese-d-une-idee-neuve_3489511_651865.html.
Martin Untersinger, « ‘Droit à l’oubli’ : Google débouté par la justice européen », lemonde.fr, 13 mai 2014 : http://www.lemonde.fr/technologies/article/2014/05/13/droit-a-l-oubli-google-deboute-par-la-justice-europeenne_4415804_651865.html.
« La CNIL met Google en demeure d’élargir son ‘droit au déréférencement’ », lemonde.fr, 12 juin 2015 : http://www.lemonde.fr/pixels/article/2015/06/12/la-cnil-met-google-en-demeure-d-elargir-son-droit-au-dereferencement_4652699_4408996.html.
Martin Untersinger, « Google ne veut pas appliquer le ‘droit à l’oubli’ dans le monde entier », lemonde.fr, 30 juillet 2015 : http://www.lemonde.fr/pixels/article/2015/07/30/google-ne-veut-pas-appliquer-le-droit-a-l-oubli-dans-le-monde-entier_4705274_4408996.html?.
Martin Untersinger, « ‘Droit à l’oubli’ numérique : le conseil d’État demande une explication de texte à la justice européen », lemonde.fr, 24 février 2017 : http://www.lemonde.fr/pixels/article/2017/02/24/droit-a-l-oubli-numerique-le-conseil-d-etat-demande-une-explication-de-texte-a-la-justice-europeenne_5085123_4408996.html.
Benjamin Ferran et Lucie Ronfaut, « Google dramatise la situation pour discréditer le droit à l’oubli », lefigaro.fr, 25 septembre 2014 : http://www.lefigaro.fr/secteur/high-tech/2014/09/25/32001-20140925ARTFIG00003-google-dramatise-la-situation-pour-discrediter-le-droit-a-l-oubli.php.